Pages Menu
TwitterRssFacebook
Categories Menu

Publicado por el 27 Jun, 2016 en Noticias |

Historias reales: ¿Alguien está mandando correos en mi nombre?

Un buen día, el buzón de correo electrónico de Antonio G. empezó a llenarse con correos «que se enviaba él mismo». Si, sin hacer absolutamente nada estaba recibiendo correos enviado por el mismo ¿Cómo era posible que estuviera recibiendo correos que, por supuesto, él no había enviado?, ¡correos con su propia dirección de correo como remitente! Para colmo, estos correos incluían un enlace a una página web que resultaba muy sospechosa.

No tardó en recibir «noticias» de varios de los contactos de su agenda de correo, pidiéndole explicaciones sobre esos mismos correos que, supuestamente, les «estaba» enviando.

Antonio estaba muy preocupado y no sabía qué hacer para solucionar el problema.

¿Qué fue realmente lo que pasó?

Hace un tiempo, Antonio recibió en su correo electrónico un mensaje que animaba a ayudar en una causa humanitaria. En el mensaje se exponía la tragedia y animaba a difundirlo para que llegara al mayor número de personas. Antonio lo reenvió a todos sus contactos (sin incluirlos en copia oculta) sin pensarlo. Había picado en la difusión de una cadena de correos fraudulenta y ahora su dirección de correo y la de sus contactos estaban en manos desconocidas. A consecuencia de esto, comenzaron los problemas.

Antonio estaba siendo víctima de una suplantación de la identidad del correo electrónico, también conocida como «mail spoofing».

Esta técnica consiste en ocultar la identidad del ciberdelincuente que realmente envía el mensaje, falsificando la dirección del remitente con otro usuario real, con el fin de engañar a otras víctimas conocidas del remitente suplantado. Al conocer las victimas el correo suplantado, el ciberdelincuente tiene más posibilidades de que confíen en el mensaje y engañarlas para que lo abran y pinchen en el enlace malicioso o descarguen algún fichero adjunto que pueda contener.

Este es uno de los mensajes que recibió:

correo electronico

El mensaje muestra el aspecto de un correo cuyo destinatario y remitente es la misma persona (en este caso nuestro usuario suplantado). Aunque el asunto del mensaje puede llevar a confiar en el mensaje, el contenido está escrito en inglés, cuando nuestra víctima se comunica con sus clientes siempre en castellano. Esto último es lo que hizo sospechar a los otros contactos de Antonio que recibieron el mismo mensaje.

Gracias a esto, las víctimas no picaron en el engaño y los problemas no fueron mayores.

¿Cómo pudo ocurrir?

El que alguien pueda averiguar nuestra dirección de correo corporativo o personal es sencillo, ya que estamos enviando todos los días multitud de correos a multitud de destinatarios, y cualquiera de ellos puede utilizar nuestra dirección para hacer este tipo de actividades. Pero hay algunas prácticas, consideradas de riesgo, que hacen que sea más sencillo para los ciberdelincuentes averiguar nuestra dirección de correo y otros datos con los que poder realizar ataques como el que describimos. Estas prácticas, a evitar, son:

  • Participar en la propagación de cadenas de correo como bulos o bromas. Al reenviar uno de estos correos, añadimos nuestra dirección, y la de los contactos a los que se la enviamos, a las que vienen ya en él, pudiendo obtener una cantidad asombrosa de información de uno de estos mensajes.
  • Contestar a mensajes de spam. Con esta práctica, se comprueba que nuestra dirección de correo está activa y puede ser utilizada para realizar ataques más avanzados.
  • Participar en páginas que ofrecen premios, descuentos o promociones varias a cambio de rellenar un formulario con tus datos. Estas páginas recaban, en muchos de los casos, información para utilizarla con fines maliciosos o venderla.
  • Instalar aplicaciones de dudosa reputación en el móvil, que requieran permisos «no necesarios» de acceso a la información personal o de nuestros contactos, almacenado en los perfiles de las redes sociales o en nuestro móvil, como el acceso a la agenda de contactos del teléfono o del correo. Con esto obtienen nuestros datos y la de otros contactos que nos conocen y confían en nosotros.

¿Qué hacer si nos sucede esto?

La formación y la concienciación son las mejores armas de prevención. Debemos aplicar y difundir las medidas preventivas necesarias para que evitar, en la medida de lo posible, estos incidentes.

Otra medida de prevención, es la difusión de las medidas tomadas para evitar que el mismo incidente les pase a otros. En este caso, debemos comunicarnos con nuestros contactos para avisarles del incidente, explicándoles como ha sucedido, y las medidas que hemos tomado para evitar que vuelva a ocurrir.

Siempre que sospechemos de la existencia de un delito, debemos denunciarlo a las Fuerzas y Cuerpos de Seguridad del Estado.

Desde INCIBE, se ofrece un servicio de Respuesta y Soporte ante incidentes de seguridad.

¿Qué hacer para que no nos suceda?

Lamentablemente, debido al propio funcionamiento del protocolo de correo electrónico, es sencillo modificar un mensaje, añadiendo un remitente falso.

Poco se puede hacer, a parte de las medidas dadas anteriormente para evitar hacer pública nuestra dirección de correo, para evitar que nos suceda esto.

Lo que sí que podemos hacer es tomar medidas, o verificarlas, junto con nuestro proveedor de servicio de correo, para que el destinatario de nuestros correos electrónicos pueda verificar la legitimidad o no de los correos recibidos. Son medidas que se implementan en el servidor de correo, por lo se deberá consultar con el proveedor del servicio de correo. Estas medidas son:

1. SPF (Sender Policy Framework) o marco de directivas de remitente. Si las usamos, nos permitirá comprobar las máquinas autorizadas a enviar correo desde nuestro dominio (por ejemplo: mipyme.com). Ha de estar activado tanto en el servidor de correo que envía (para publicar las máquinas autorizadas) como en el que lo recibe para comprobarlo.

2. DKIM (DomainKeys Identified Mail). Es un mecanismo de autenticación de correo electrónico que permite a una organización responsabilizarse del envío de un mensaje, de manera que éste pueda ser validado por un destinatario.

3. DMARK (Domain-based Message Authentication, Reporting & Conformance). Es un estándar que establece un mecanismo para compartir información entre un sistema emisor y otro receptor, aumentando la precisión a la hora de detectar correo fraudulento, minimizando el número de falsos positivos.

A nivel de nuestro cliente de correo electrónico, por ejemplo Outlook o Thunderbird, o si tenemos instalado un antivirus: también debemos activar y configurar los filtros antispam.

Otra opción es firmar electrónicamente los mensajes de correo que enviamos (por ejemplo con firmas PGP). De esta forma, el receptor podrá verificar la autenticidad de los mensajes recibidos. Esto podemos configurarlo en los clientes de correo electrónico ya sean en local o vía web (Horde, Gmail for Work,…).

También es recomendable seguir nuestro decálogo de medidas de seguridad en el correo electrónico.

Conclusión

Este tipo de incidentes es muy habitual, por lo que debemos estar alerta y extremar las precauciones. Evitando hacer pública tu dirección de correo electrónico y extendiendo las medidas descritas anteriormente entre los empleados, podemos evitar muchos sustos que pueden acarrear graves consecuencias para nuestros negocios. Protege tu empresa.

Source: Historias reales: ¿Alguien está mandando correos en mi nombre?

Facebooktwitter