¿Cómo podemos detectar el phishing por correo electrónico?
Una de las primeras medidas que tenemos a nuestro alcance es discernir de qué tipo de emails debemos desconfiar automáticamente en caso de recibirlos. Este es el segundo post que hemos dedicado esta semana al phishing, el primero lo podéis consultar aquí.

En cuanto a los argumentos más utilizados –que serán tipificados en el campo “Asunto” del email- por los ciberdelincuentes para llamar nuestra atención, OSI nos informa de los siguientes:

  • Problemas de carácter técnico.
  • Recientes detecciones de fraude y urgente incremento del nivel de seguridad.
  • Nuevas recomendaciones de seguridad para prevención del fraude.
  • Cambios en la política de seguridad de la entidad.
  • Promoción de nuevos productos.
  • Premios, regalos o ingresos económicos inesperados.
  • Accesos o usos anómalos a tu cuenta.
  • Inminente desactivación del servicio.
  • Falsas ofertas de empleo.

El objetivo de estas acciones son el robo de números de tarjeta de crédito, del PIN secreto, robo de datos bancarios, de cuentas de usuarios, obtener datos privados, suplantar la identidad, conseguir cuentas de distintos servicios de usuarios, infectar el ordenador, estafar económicamente al usuario, etc.

Además de estas acciones básicas, ¿Cómo podemos identificar un correo electrónico cuyo objetivo es estafarnos mediante la técnica del phishing? Existen una serie de elementos que debemos distinguir.

En el apartado anterior ya hemos desvelado una de las técnicas a nuestro alcance si sospechamos que estamos siendo víctimas de un ataque de phishing.

Podemos distinguir 2 tipologías de acciones en función de si las puede realizar directamente el usuario o las debe llevar a cabo el administrador web.

En el caso del usuario lo que puede hacer:

  1. Por defecto hay que desconfiar de cualquier mensaje que no estemos esperando y contenga enlaces, ficheros o imágenes vinculadas.
  2. Aunque la mayoría de programas de correo actuales ya están configurados así, hay que desactivar la descarga automática de contenido vinculado al correo electrónico.
  3. Verificar que la página web de destino está escrita correctamente y no se han sustituido unos caracteres por otros para que parezcan la misma URL. Es decir, comprobar la legitimidad del sitio web y que el dominio es el correcto.
  4. Los mensajes fraudulentos son generados muy a menudo por herramientas automatizadas que incluyen funcionalidades de traducción y diccionarios de sinónimos. Por lo tanto, revisemos la ortografía y la gramática porque suelen estar llenos de errores.
  5. Link del email. Para comprobar que el enlace del correo electrónico nos redirige a una web veraz deberemos colocar el puntero del mouse sobre el enlace y nos aparecerá la verdadera dirección en el extremo inferior izquierdo del programa de correo o, si consultamos un servicio webmail, en el navegador.

En cambio, el administrador web:

  1. Para acceder al encabezado del email con el objetivo de comprobar toda la información debe seguir los siguientes pasos:
    • Microsoft Outlook 2016, 2013 y 2010
      • Abrir el archivo del email
      • Seleccionar Archivo> Propiedades
      • Al abrirse la nueva ventana identificamos la sección “Encabezados de Internet”, que incluye información sobre el emisor, la fecha de envío, el remitente, etc.
    • Mozilla Thunderbird
      • Abrir el archivo del email
      • Seleccionar el botón Más > Ver código fuente
      • Al abrirse la nueva ventana “Fuente de: file://” obtenemos la información sobre el emisor, la fecha de envío, el remitente, etc.
    • Mail para Mac
      • Abrir el archivo del email
      • Seleccionar el botón Visualización> Mensaje>Todas las cabeceras.
      • Al abrirse la nueva ventana se ofrece toda la información detallada.
    • Gmail
      • Abrir el archivo del email
      • Seleccionar la línea de 3 puntos verticales del extremo derecho superior> Mostrar original.
      • Al abrirse la nueva ventana se ofrece toda la información detallada
    • Outlook
      • Abrir el archivo del email
      • Seleccionar la línea de 3 puntos horizontales del extremo derecho superior>Ver origen del mensaje.
      • Al abrirse la nueva ventana se ofrece toda la información detallada

Para saber interpretar la información de las cabeceras de los emails podemos ayudarnos de la herramienta de Google MessageHeader.

En este caso concreto, observamos que el email ha sido lanzado desde la herramienta de email marketing Acumbamail.

A continuación, vemos que únicamente ha tardado 1 segundo en llegar al remitente desde que lo envió el emisor. Si este tiempo fuera muy grande deberíamos sospechar.

La siguiente información interesante es verificar el correo tanto del emisor como del remitente. En caso de proceder o ir dirigido a direcciones de correo extraños puede ser un indicio claro de phishing.

Por último, y muy importante, es comprobar que los 3 sistemas de autenticación SPF, DKIM y DMARC han marcado el pass de color verde (aunque no todos los servidores de correo tienen estos tres sistemas en funcionamiento). Estos tres sistemas protegen el servidor remitente del mensaje evitando que terceros sin acceso al servidor puedan suplantarlo y enviar mensajes desde direcciones por las que no están autorizados.

Esta opción debe ser configurada por el administrador web o el proveedor de correo electrónico. Si no está activado este servicio la recomendación es que se pongan en contacto con él para exigir su activación y configuración.

En concreto, SPF crea un registro SPF en el servidor de nombres (DNS) en el que se especifican los hosts que pueden enviar mensajes desde un dominio en concreto.

DKIM permite al servidor de correo remitente firmar electrónicamente los mensajes legítimos de forma que los destinatarios puedan verificar su autenticidad con una clave pública.

Por su parte, DMARC es un protocolo de autenticación ciberasegrtde correo electrónico diseñado para ofrecer a los propietarios de dominios de correo electrónico la posibilidad de proteger su dominio contra un uso no autorizado.

Si utilizamos la opción de Gmail para que nos muestre el mensaje original de un correo electrónico recibiremos información parecida a esta:

De esta información merece destacar:

  • Deliverd-To: El destinatario final del email.
  • X-Google-Smtp-Source: informe sobre la transferencia de correo electrónico utilizando un servidor SMTP de Gmail.
  • ARC-Seal: Confirma los resultados de autenticación ARC y la firma del mensaje, verificando su contenido; parecido a DKIM.
  • ARC-Message-Signature: Recopila información de la cabecera del correo para poder validarlo, es parecido a DKIM.
  • ARC-Authentication-Results: Otro estándar de autenticación que verifica las identidades de los intermediarios y servidores de correo electrónico que reenvían su mensaje a su destino final.
  • Return-Path: Ubicación donde acaban los mensajes que no se envían o devuelven.
  • Received-SPF: SPF (Sender Policy Framework) es un método de autenticación que hace más difícil a los remitentes de correo electrónico ocultar su identidad cuyo objetivo es reducir el spam y el fraude.
  • Authentication-Results: Registro de las comprobaciones de autenticación realizadas, por lo que puede contener más de un método de autenticación.
  • DKIM-Signature: Domain Keys Identified Mail autentica el dominio desde el que se envió el correo electrónico y lo protege contra la suplantación de identidad y el fraude del remitente.
  • Received: Muestra cada servidor por el que viaja el correo electrónico antes de llegar a su bandeja de entrada.
  • To: Destinatarios del correo electrónico, que puede mostrar otras direcciones.
  • From: Enseña el remitente del mensaje, pero es fácil de falsificar.
  • MIME Version: Identifica el formato de correo electrónico estándar en uso, que suele ser la «1.0».
  • Content Type: le dice a su navegador o cliente de correo electrónico cómo interpretar el contenido del correo electrónico. Los juegos de caracteres más comunes son UTF-8 e ISO-8859-1.

Además, las buenas prácticas antiphishing incluyen el uso de filtros antispam que incorporan los servidores de correo electrónico, por lo tanto es necesario que el administrador del correo active estos filtros; la instalación de herramientas específicas para bloquear correo no deseado desde fuentes legales; y la configuración de las opciones antiphishing que ofrecen los propios navegadores web como Google Chrome, Firefox y Safari.

Si desea recibir más información personalizada en su empresa sobre cómo prevenir e identificar las prácticas más comunes de phishing Accensit ofrece el servicio de asesoría y herramientas para formar a su equipo de trabajo.