Inicio /Email spoofing: comprueba quién te envía un correo sospechoso

Email spoofing: comprueba quién te envía un correo sospechoso

Enviado por csirtutpl el Dom, 11/15/2020 - 15:56
email spoofing

Miles de correos fraudulentos se envían por correo electrónico cada día, y aunque la mayoría son detenidos por los filtros antispam, muchos terminan llegando a las bandejas de entrada de los usuarios. Existen varios elementos en los que podemos fijarnos para identificar este tipo de ataques y uno de los más recomendables es comprobar el remitente del correo. Sin embargo, este no es un factor decisorio, ya que cada vez hay más ataques de phishing, en los que el correo ha sido suplantado debido al email spoofing. 

El término spoofing, que en inglés significa falsificar o engañar, es una técnica de suplantación de identidad muy común, especialmente a través del correo electrónico, aunque existen otras modalidades.

El email spoofing se lleva a cabo mediante un correo electrónico fraudulento en el que el atacante ha cambiado la dirección del remitente y el asunto para conseguir que parezca una comunicación real. Habitualmente, los ciberdelincuentes la llevan a cabo para realizar estafas y engañar a sus víctimas, con el objetivo de conseguir datos personales de los usuarios (contraseñas, números de tarjeta de crédito, cuentas bancarias, DNI, correos y otros datos personales) y obtener un beneficio económico.

También se debe tener en cuenta que existen dos perfiles a la hora de convertirnos en víctima de este ciberataque:

Víctima directa: Un usuario puede estar recibiendo correos fraudulentos de una entidad o servicio al que han suplantado la identidad.
Víctima indirecta: la cuenta de un usuario puede haber sido suplantada y un ciberdelincuente puede estar utilizando el correo electrónico de la víctima para engañar a sus contactos u otros usuarios. Además, no se puede saber en que momento ocurre la suplantación, ya que el usuario afectado no es el que recibe el correo..

¿Cómo funciona el email spoofing?
Este tipo de spoofing se caracteriza por enmascarar la dirección de correo electrónico original del atacante por el de la víctima indirecta, que puede ser un usuario o una entidad o servicio. Podríamos interpretarlo como si un tercero, el atacante, realizase una suplantación de identidad y se hiciese pasar por alguien en quien nosotros podemos confiar para obtener algún beneficio, como puede ser dinero o información personal, mediante un segundo fraude.

Esto es posible debido a que el protocolo Simple Mail Transfer o SMTP, el principal protocolo utilizado en el envío de correos electrónicos, no incluye mecanismos de autenticación. Alguien con determinados conocimientos en informática es capaz de introducir comandos en las cabeceras del correo para alterar la información que luego nos aparecerá en el mensaje.Como consecuencia, el atacante es capaz de enviar un mensaje que parezca ser de cualquiera desde cualquier lugar. 

¿Cómo podemos identificarlo?
Existen diferentes pautas y elementos clave a la hora de saber si un usuario es víctima de un email spoofing. Como se mencionó anteriormente, hay dos perfiles diferentes a la hora de ser víctimas: la víctima directa y la indirecta; pero en cualquier caso, el objetivo del atacante sigue siendo el mismo: engañar a sus víctimas directas para obtener un beneficio económico o datos personales o financieros, bajo el pretexto de que es algo urgente, mediante un enlace fraudulento a una web falsa o archivos adjuntos con malware.

Lo más importante cuando se trata de identificar este tipo de correos fraudulentos es interpretar las cabeceras de los correos y de esa manera recabar información muy valiosa para nuestra investigación:

Datos relativos al emisor y al receptor.
Los servidores de correo intermedios por los que el mensaje ha pasado desde que se envió.
El cliente del correo utilizado para enviar el email.
Las fechas de envío y recepción.
Aunque esta información pueda permanecer oculta a simple vista, es posible visualizarla desde nuestro gestor de correos fácilmente.

Con lo cual podemos interpretar lo siguiente:

Tiempo de envío: Cuanto más tiempo pase entre la fecha de envío y la de recepción, más sospechoso será el correo.
Remitente: En el campo From se puede observar que empresa o persona ha escrito a través de un dominio, el cual puede ser analizado para detectar cualquier posible amenaza.
Registros: Los campos SPF y DKIM de un encabezado de correo sirven para comprobar si pasan el control de verificación.

Se debe tener en cuenta que, ante la más mínima señal de alerta, se debe desconfiar y eliminar el mensaje, además de no hacer clic en ningún enlace ni descargar ningún archivo adjunto.

Tags: 
#spoofing
#correofraudulento

Añadir nuevo comentario

Más información sobre los formatos de texto

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
Copyright 2023. Universidad Técnica Particular de Loja
Políticas de Privacidad | Términos y condiciones