interesante

Cómo los spammers falsifican su dirección de correo electrónico (y cómo protegerse)

La mayoría de nosotros conocemos el correo no deseado cuando lo vemos, pero ver un correo electrónico extraño de un amigo (o peor, de nosotros mismos) en nuestra bandeja de entrada es bastante desconcertante. Si has visto un correo electrónico que parece ser de un amigo, no significa que hayan sido pirateados. Los spammers falsifican esas direcciones todo el tiempo, y no es difícil de hacer. Así es como lo hacen y cómo puede protegerse.

Los spammers han estado falsificando direcciones de correo electrónico durante mucho tiempo. Hace años, solían obtener listas de contactos de PC infectadas con malware. Los ladrones de datos de hoy eligen cuidadosamente sus objetivos y los envían mensajes de texto que parecen provenir de amigos, fuentes confiables o incluso de su propia cuenta.

Resulta que falsificar direcciones de correo electrónico reales es sorprendentemente fácil, y parte de por qué el phishing es un problema. El ingeniero de sistemas, el aspirante a CISSP y el lector de Goldavelez.com, Matthew, nos informaron sobre cómo funciona, pero también nos sorprendió al enviarnos un correo electrónico a algunos de nosotros en Goldavelez.com desde las direcciones de correo electrónico de otros escritores de Goldavelez.com. A pesar del hecho de que sabíamos que era posible (todos hemos recibido correo no deseado antes), fue más desconcertante estar realmente en ello. Entonces, hablamos con él sobre cómo lo hizo y qué puede hacer la gente para protegerse.

Un poco de historia: por qué las direcciones de correo electrónico se falsifican tan fácilmente

Hoy, la mayoría de los proveedores de correo electrónico tienen resuelto el problema de spam, al menos para su propia satisfacción. Gmail y Outlook tienen algoritmos de captura de spam fuertes y sofisticados y potentes herramientas de filtrado. Sin embargo, a principios de la década de 2000, ese no era el caso. El spam todavía era un gran problema que los servidores de correo aún tenían que abordar seriamente, y mucho menos desarrollar herramientas avanzadas para administrar.

En 2003, Meng Weng Wong propuso una forma para que los servidores de correo "verifiquen" que la dirección IP (el número único que identifica una computadora en Internet) que envía un mensaje estaba autorizada para enviar correo en nombre de un dominio específico. Se llama Formulario permitido del remitente (renombrado como "Marco de políticas del remitente" en 2004), y Matthew explica cómo funciona:

Cada vez que se envía un mensaje de correo electrónico, el servidor de correo electrónico receptor compara la IP de origen del mensaje con la dirección IP que figura en el registro SPF para el host de la dirección de correo electrónico (la parte "@ example.com").

Si las dos direcciones IP coinciden, el correo electrónico podría pasar al destinatario previsto. Si las direcciones IP no coincidían, el correo electrónico se marcaría como spam o se rechazaría por completo. La carga de decidir el resultado estaba completamente en manos del servidor receptor.

Con los años, los registros SPF han evolucionado (el RFC más reciente se publicó en abril de 2014), y la mayoría de los dominios en Internet tienen registros SPF (puede buscarlos aquí).

Cuando registra un dominio, también registra una cantidad de registros DNS que lo acompañan. Esos registros le dicen al mundo con qué computadoras hablar dependiendo de lo que quieran hacer (correo electrónico, web, FTP, etc.). El registro SPF es un ejemplo, e idealmente se aseguraría de que todos los servidores de correo en Internet supieran que las personas que envían correos electrónicos desde, por ejemplo, @ Goldavelez.com.com, en realidad eran computadoras de usuarios autorizados.

Sin embargo, este método no es perfecto, lo que es parte de por qué no se dio cuenta por completo. Los registros SPF requieren administración: alguien que realmente agrega nuevas direcciones IP y elimina las antiguas, y tiempo para que el registro se propague por Internet cada vez que se realiza un cambio. (: Anteriormente vinculamos las comprobaciones SPF a las direcciones IP de los usuarios, cuando la tecnología es realmente utilizada por los servidores de correo para verificar que el servidor a través del cual pasa un mensaje es un remitente autorizado en nombre de un dominio determinado, no que el usuario esté autorizado para enviar nombre de una dirección dada. Perdón por la confusión, y gracias a los comentaristas que señalaron esto!) La mayoría de las compañías usan una versión suave de SPF de todos modos. En lugar de arriesgarse a falsos positivos al bloquear el correo útil, implementan fallas "duras" y "suaves". Los servidores de correo electrónico también relajaron sus restricciones sobre lo que sucede con los mensajes que no pasan esa verificación. Como resultado, el correo electrónico es más fácil de administrar para las corporaciones, pero el phishing es fácil y un gran problema.

Luego, en 2012, se introdujo un nuevo tipo de registro, diseñado para trabajar junto con SPF. Se llama DMARC, o autenticación, informes y conformidad de mensajes basados ​​en el dominio. Después de un solo año, se amplió para proteger una gran cantidad de buzones de correo de los consumidores (aunque el autoproclamado 60% es probablemente optimista). Matthew explica los detalles:

El DMARC se reduce a dos indicadores importantes (aunque hay un total de 10): el indicador "p", que instruye a los servidores receptores sobre cómo tratar los correos electrónicos potencialmente falsos, ya sea rechazando, poniendo en cuarentena o pasando; y el indicador "rua", que le indica a los servidores receptores dónde pueden enviar un informe sobre mensajes fallidos (generalmente una dirección de correo electrónico en el grupo de seguridad del administrador del dominio). El registro DMARC resuelve la mayoría de los problemas con los registros SPF al asumir la carga de decidir cómo responder lejos del destinatario.

El problema es que no todos usan DMARC todavía.

Esta práctica herramienta le permite consultar el registro DMARC de cualquier dominio; pruébelo en algunos de sus favoritos (gawker.com, whitehouse.gov, redcross.org, reddit.com). ¿Notaste algo? Ninguno de ellos ha publicado registros DMARC. Eso significa que cualquier host de correo electrónico que intente ajustarse a las reglas de DMARC no tendría instrucciones sobre cómo manejar los correos electrónicos fallidos de SPF, y probablemente los dejaría pasar. Eso es lo que Google hace con Gmail (y Google Apps), y es por eso que los correos electrónicos falsos pueden llegar a su bandeja de entrada.

Para demostrar que Google presta atención a los registros DMARC, mire el registro DMARC de facebook.com: la bandera "p" indica que los destinatarios deben rechazar los correos electrónicos y enviar un informe al administrador de correo en Facebook. Ahora intente falsificar un correo electrónico de facebook.com y envíelo a una dirección de Gmail; no pasará. Ahora mire el registro DMARC para fb.com: indica que no se debe rechazar ningún correo electrónico, pero se debe hacer un informe de todos modos. Y si lo prueba, se enviarán correos electrónicos de @ fb.com.

Matthew también señaló que el "informe postmaster" no es una broma. Cuando intentó suplantar un dominio con un registro DMARC, su servidor SMTP fue bloqueado en menos de 24 horas. En nuestras pruebas, notamos lo mismo. Si un dominio está configurado correctamente, pondrán fin a esos mensajes falsificados rápidamente, o al menos hasta que el altavoz utilice una dirección IP diferente. Sin embargo, un dominio que no tiene registros DMARC es un juego justo. Podrías falsificarlos durante meses y nadie en el extremo del envío se daría cuenta; dependería del proveedor de correo receptor proteger a sus usuarios (ya sea marcando el mensaje como spam en función del contenido o en función de la comprobación SPF fallida del mensaje). )

Cómo los spammers falsifican direcciones de correo electrónico

Las herramientas necesarias para falsificar direcciones de correo electrónico son sorprendentemente fáciles de obtener. Todo lo que necesita es un servidor SMTP que funcione (también conocido como un servidor que puede enviar correos electrónicos) y el software de correo correcto.

Cualquier buen proveedor de alojamiento web le proporcionará un servidor SMTP. (También puede instalar SMTP en un sistema de su propiedad, el puerto 25, el puerto utilizado para el correo electrónico saliente, generalmente está bloqueado por los ISP. Esto es específicamente para evitar el tipo de malware de correo electrónico masivo que vimos a principios de la década de 2000). broma, Matthew usó PHP Mailer. Es fácil de entender, fácil de instalar e incluso tiene una interfaz web. Abra PHP Mailer, redacte su mensaje, ingrese las direcciones "desde" y "hasta" y haga clic en enviar. En el extremo del destinatario, recibirán un correo electrónico en su bandeja de entrada que parece que proviene de la dirección que ingresó. Matthew explica:

El correo electrónico debería haber funcionado sin problemas, y parece ser de quien usted dijo que es. Hay muy poco para indicar que esto no vino de su bandeja de entrada, hasta que vea el código fuente del correo electrónico (opción "Ver original" en Gmail). [nota ed: ver imagen arriba]

Notarás que el correo electrónico "suave" falló la verificación SPF, sin embargo, llegó a la bandeja de entrada de todos modos. También es importante tener en cuenta que el código fuente incluye la dirección IP de origen del correo electrónico, por lo que es posible que se pueda rastrear el correo electrónico, si el destinatario lo desea.

Es importante tener en cuenta en este punto que todavía no existe un estándar sobre cómo los hosts de correo electrónico tratarán las fallas SPF. Gmail, el host con el que hice la mayor parte de mis pruebas, permitió que ingresaran correos electrónicos. Outlook.com, sin embargo, no entregó un solo correo electrónico falsificado, ya sea que fallara de forma física o física. Mi servidor de Exchange corporativo los dejó entrar sin problemas, y mi servidor doméstico (OS X) los aceptó, pero los marcó como spam.

Eso es todo al respecto. Hemos examinado algunos detalles, pero no muchos. La mayor advertencia aquí es que si hace clic en responder en el mensaje falsificado, todo lo que se devuelve va al propietario de la dirección, no al spoofer. Sin embargo, eso no les importa a los ladrones, ya que los spammers y los phishers solo esperan que hagas clic en enlaces o abras archivos adjuntos.

La compensación es clara: dado que SPF nunca se dio cuenta de la forma prevista, no necesita agregar la dirección IP de su dispositivo a una lista y esperar 24 horas cada vez que viaja, o desea enviar un correo electrónico desde su nuevo teléfono inteligente . Sin embargo, también significa que el phishing sigue siendo un problema importante. Lo peor de todo, es que cualquiera puede hacerlo.

Lo que puede hacer para protegerse

Todo esto puede parecer arcano, o parecer mucho alboroto por unos pocos correos electrónicos no deseados. Después de todo, la mayoría de nosotros conocemos el spam cuando lo vemos, si es que lo vemos. Pero la verdad es que por cada cuenta donde se marcan esos mensajes, hay otra donde no están y los correos electrónicos de phishing navegan en las bandejas de entrada de los usuarios.

Matthew nos explicó que solía burlarse de direcciones con amigos solo para bromear con ellos y darles un pequeño susto, como si el jefe estuviera enojado con ellos o la recepcionista les enviara un correo electrónico para decirles que su automóvil fue remolcado, pero se dio cuenta de que funcionaba demasiado bien., incluso desde fuera de la red de la empresa. Los mensajes falsificados llegaron a través del servidor de correo de la compañía, completo con imágenes de perfil, estado de mensajería instantánea corporativa, información de contacto rellenada automáticamente y más, todo agregado de manera útil por el servidor de correo, y todo lo cual hace que el correo electrónico falso sea legítimo. Cuando probé el proceso, no fue mucho trabajo antes de ver mi propia cara mirándome en mi bandeja de entrada, o la de Whitson, o incluso la de Adam Dachis, que ya ni siquiera tiene una dirección de correo electrónico de Goldavelez.com.

Peor aún, la única forma de saber que el correo electrónico no es de la persona que parece es profundizar en los encabezados y saber lo que está buscando (como describimos anteriormente). Esa es una tarea bastante difícil incluso para el técnico -comprendido entre nosotros, ¿quién tiene tiempo para eso en medio de un ajetreado día de trabajo? Incluso una respuesta rápida al correo electrónico falsificado generaría confusión. Es una manera perfecta de causar un poco de caos o de personas objetivo para que comprometan sus propias PC o renuncien a la información de inicio de sesión. Pero si ves algo que es un poco sospechoso, al menos tienes una herramienta más en tu arsenal.

Entonces, si está buscando proteger sus bandejas de entrada de mensajes como este, hay un par de cosas que puede hacer:

  • Encienda sus filtros de spam y use herramientas como Priority Inbox . Configurar sus filtros de correo no deseado un poco más fuertes puede, dependiendo de su proveedor de correo, hacer la diferencia entre un mensaje que falla su verificación SPF que llega al correo no deseado versus su bandeja de entrada. Del mismo modo, si puede utilizar servicios como la Bandeja de entrada prioritaria de Gmail o el VIP de Apple, esencialmente deja que el servidor de correo descubra las personas importantes para usted. Sin embargo, si una persona importante es engañada, igual la tendrás.
  • Aprenda a leer encabezados de mensajes y rastrear direcciones IP . Explicamos cómo hacer esto en esta publicación sobre cómo rastrear la fuente de spam, y es una buena habilidad tenerla. Cuando llegue un correo electrónico sospechoso, podrá abrir los encabezados, mirar la dirección IP del remitente y ver si coincide con los correos electrónicos anteriores de la misma persona. Incluso puede hacer una búsqueda inversa en la IP del remitente para ver dónde está, lo que puede o no ser informativo, pero si recibe un correo electrónico de su amigo en la ciudad que se originó en Rusia (y no está viajando), usted Sabes que pasa algo.
  • Nunca haga clic en enlaces desconocidos ni descargue archivos adjuntos desconocidos . Esto puede parecer obvio, pero todo lo que se necesita es que un empleado de una empresa vea un mensaje de su jefe u otra persona en la empresa para abrir un archivo adjunto o haga clic en un enlace divertido de Google Docs para exponer toda la red corporativa. Muchos de nosotros pensamos que estamos por encima de ser engañados de esa manera, pero sucede todo el tiempo. Preste atención a los mensajes que recibe, no haga clic en los enlaces en el correo electrónico (vaya directamente al sitio web de su banco, compañía de cable u otro e inicie sesión para encontrar lo que quieren que vea), y no descargue archivos adjuntos de correo electrónico que usted " No esperes explícitamente. Mantenga actualizado el antimalware de su computadora.
  • Si administra su propio correo electrónico, audítelo para ver cómo responde a los registros SPF y DMARC . Es posible que pueda preguntarle a su proveedor de alojamiento web sobre esto, pero no es difícil verificarlo usted mismo utilizando el mismo método de suplantación de identidad que describimos anteriormente. Alternativamente, revise su carpeta de correo basura: puede ver mensajes allí de usted mismo o de personas que conoce. Pregúntele a su proveedor de alojamiento web si pueden cambiar la forma en que está configurado su servidor SMTP, o considere cambiar los servicios de correo a algo como Google Apps para su dominio.
  • Si posee su propio dominio, presente registros DMARC para él . Matthew explica que usted tiene control sobre cuán agresivo quiere ser, pero lea sobre cómo presentar registros DMARC y actualizar los suyos con su registrador de dominios. Si no está seguro de cómo, deberían poder ayudarlo. Si recibe mensajes falsos en la cuenta de una empresa, infórmeselo a su TI corporativa. Es posible que tengan una razón para no archivar registros DMARC (Matthew explicó que dijo que no podían hacerlo porque tienen servicios externos que necesitan enviar utilizando el dominio de la compañía, algo fácil de solucionar, pero ese tipo de pensamiento es parte del problema), pero al menos les dejas saber.

Como siempre, el eslabón más débil en seguridad es el usuario final. Eso significa que deberá mantener sus sensores BS encendidos todo el tiempo cada vez que reciba un correo electrónico que no esperaba. Edúcate tu mismo. Mantenga actualizado su software antimalware. Finalmente, esté atento a problemas como estos, ya que continuarán evolucionando a medida que sigamos luchando contra el spam y el phishing.