Esta práctica de cibercrimen puede afectar profundamente tanto a ti como a los clientes de tu negocio.

El email spoofing, o correo de suplantación de identidad, es una técnica empleada en los ataques de spam y phishing para hacerle creer a un usuario que un mensaje proviene de una persona o entidad con la que tienen una relación cercana, ya sea personal o profesional, y en la cual confían plenamente.

Aprovechando esta circunstancia, en los ataques de spoofing, el remitente falsifica los encabezados del correo electrónico para que se muestre la dirección de remitente fraudulenta, que la mayoría de los usuarios aceptan sin pensarlo, o no se toman la molestia de revisar.

A menos que se inspeccione cuidadosamente el encabezado, los usuarios solamente verán el remitente falso en el mensaje. Si este contiene un nombre que reconocen, o uno similar como para aparentar ser de una fuente benigna, es más probable que confíen en este.

Este exceso de confianza o descuido, provoca que las personas hagan clic en enlaces malintencionados, abran archivos adjuntos que contienen malware, envíen datos sensibles de su persona y/o empresa, e incluso llegan a hacer transferencias de dinero de la empresa.

En muchos de los casos, los servidores de los destinatarios así como el software antimalware pueden ayudar a detectar y filtrar los mensajes suplantados, evitando que recibas correos maliciosos.

Lamentablemente, no todos los servicios de correo electrónico cuentan con protocolos de seguridad.

La suplantación de direcciones de correo se utiliza tanto en esquemas fraudulentos como en ataques específicos contra organizaciones.

Para ser aún más convincentes, los atacantes pueden copiar el diseño y el estilo de los mensajes de correo electrónico de un remitente concreto, incluyendo logotipos e imagen corporativa de empresas reconocidas, enfatizar en la redacción la urgencia de la tarea y utilizar diversas técnicas de ingeniería social.

Incluso en casos particulares, pueden llegar a hackear cuentas legítimas y comienzan a responder conversaciones de correo electrónico existentes con tus contactos cercanos o clientes importantes, con el objetivo de hacer más creíble su estafa, aprovechando que ya existía una comunicación previa entre ambas direcciones.

Ejemplos de Email Spoofing

Display Name Spoofing

El nombre para mostrar es el nombre del remitente que aparece en el encabezado “From” o “De», antes de su dirección. En el caso del correo corporativo, el nombre del remitente suele ser el nombre real de la persona, departamento de la organización a la que pertenece, nombre de la empresa en particular, etc.

Para la “comodidad” del destinatario muchos clientes de correo electrónico ocultan la dirección del remitente y solo ponen el nombre para mostrar en el correo electrónico.

Este pequeño pero importante detalle es utilizado activamente por los atacantes, que falsifican un nombre, pero dejan su dirección real en el encabezado “From”. Es común que esta dirección esté protegida por una firma DKIM y SPF, así que los mecanismos de autenticación dejan pasar el mensaje como legítimo, iniciando la cadena de eventos que puede derivar en el Email Spoofing.

Ghost Spoofing

Este es el tipo más popular y común de suplantación de nombres de pantalla.

El atacante no solo utiliza el nombre de la persona o empresa por la que pretende hacerse pasar, sino también la dirección de remitente prevista, haciendo más difícil por parte del usuario detectar que el mensaje que ha recibido proviene de una fuente fraudulenta

Active Directory Spoofing

El Active Directory o AD Spoofing es una forma de suplantación de nombres para mostrar, pero a diferencia de la técnica Ghost Spoofing no especifica una dirección falsificada como parte del nombre.

Este método parece simple en comparación con el Ghost Spoofing, pero los estafadores pueden preferirlo por varias razones. En primer lugar, si el agente de correo del destinatario muestra el contenido del encabezado “From” en su totalidad, una dirección de doble remitente despertará más sospechas en el usuario que la dirección de un dominio público.

En segundo lugar, el Ghost Spoofing es técnicamente más fácil de bloquear con los filtros de spam; basta con enviar correos electrónicos de spam en los que el nombre para mostrar del remitente contenga la dirección de correo electrónico.

En contraste, es practicamente imposible prohibir todos los correos electrónicos entrantes de las personas con el mismo nombre de tus contactos, ya que perderías la comunicación que tienes con usuarios legítimos.

Spoofing de dominios similares

Este es uno de los modos de ataque más sofisticados, donde se utilizan dominios especialmente registrados similares al dominio de la organización objetivo.

Requiere un poco más de inversión, ya que encontrar y comprar un dominio específico, configurar el correo, las firmas DKIM y SPF y la autenticación DMARC es más complicado que simplemente cambiar un poco el encabezado “From”, pero para los atacantes vale la pena dedicarle tiempo y dinero, ya que tiene el beneficio de hacer más difícil detectar una falsificación.

¿Cómo identificar si tu correo ha sido vulnerado?

  • Tus contactos comienzan a recibir correos falsos de tu cuenta, sin que tu los hayas enviado.
  • Revisa el historial de actividad en tu cliente de correo para detectar si hubo accesos desconocidos a la cuenta.
  • Ciertos programas no funcionan correctamente, has perdido acceso a algunos de tus archivos locales o estos han desaparecido completamente de tu equipo.
  • Aparecen nuevos programas instalados en tu escritorio.
  • Al navegar por internet, tu navegador abre páginas sin que lo hayas solicitado.
  • Paralelamente, tus búsquedas en internet redirigen a páginas que casi siempre son dañinas.
  • Tu software antivirus parece que no estuviera activado o simplemente deja de funcionar.
  • Te llegan notificaciones de cargos en tus tarjetas de crédito que no reconoces haber realizado.
  • Adicionalmente puedes utilizar portales como Have I Been Pwned? para detectar si tu correo ha sido filtrado.

Para prevenir un hackeo de la cuenta se recomienda a todos los usuarios:

  • Revisa cuidadosamente los remitentes de los correos electrónicos importantes que recibas.
  • Evita hacer clic en enlaces sospechosos, y en la medida de lo posible trata de confirmar con tus contactos que fueron enviados por ellos.
  • Evita conectarte a redes públicas no seguras, sobre todo para acceder a tus cuentas importantes, o si vas a realizar operaciones bancarias, ya que es una de las maneras más comunes en que los cibercriminales pueden interceptar tus contraseñas o datos relevantes.
  • Asegurate que todos tus equipos cuenten con un programa antivirus, mantenerlo actualizado y realizar un análisis periódico.
  • Procura que las contraseñas de las cuentas no sean tan sencillas, pues eso facilita el trabajo de los hackers de adivinarlas.

En caso de que sospeches o confirmes haber sido víctima de email spoofing, te recomendamos tomar las siguientes acciones a la brevedad posible:

  • Correr un análisis antivirus en los equipos y/o dispositivos donde esté configurada la cuenta de correo.
  • Cambia inmediatamente la contraseña de tu cuenta de correo desde el panel de control de tu hosting o cliente de email.
    • Las recomendaciones para un password robusto son:
      • Usar letras y números
      • Usar mayúsculas y minúsculas
      • Usar caracteres especiales, por ejemplo: #-.*;:$%&
  • Actualiza esta nueva contraseña de la cuenta en todos los equipos y/o dispositivos donde esté configurada.

En promedio, cada día se envían más de 3 millones de correos electrónicos de spoofing y sus diferentes variantes, además de que más del 90% de los ciberataques comenzaron su cadena de eventos por medio de un email malicioso.

Por ello es importante que tanto tú como el personal de tu empresa tomen las medidas de seguridad necesarias para prevenir este tipo de ataques, no solo en cuestión de software para proteger los equipos como los antivirus o filtros en tus bandejas de entrada, sino concientizarse de revisar cuidadosamente de dónde provienen los mensajes que reciben diariamente, para evitar que tu información sensible y la de tus clientes se filtre.

En Certerus nos preocupamos por tu seguridad en internet, y con ese propósito en mente, contamos con una base de conocimiento con artículos, tutoriales y recomendaciones a tu disposición, con información relevante sobre como puedes hacer tus cuentas personales y de correo más seguras.

Fuente: ESET, Kaspersky y ProofPoint