Suplantación de identidad en correos electrónicos E-mail spoofing

Se conoce por email spoofing a la suplantación de la identidad a través del correo electrónico, utilizando una dirección de remitente falsa

Email spoofing es una técnica que utilizan los atacantes para ocultar la verdadera dirección del remitente en un correo malicioso y sustituirla por una legítima suplantando la identidad de una empresa o un usuario al utilizar un dominio auténtico. Se utiliza mucho en campañas de phishing o spam para mejorar su eficacia evadiendo controles antispam y haciendo que los correos tengan una apariencia creíble.

Comunicaciones en el envío de correos electrónicos

Los sistemas que gestionan el envio y recepción de correos utilizan tres protocolos principalmente:

  • SMTP (Simple Mail Transfer Protocol) se utiliza para el envío.
  • IMAP o POP se utilizan para la recepción

El protocolo SMTP se basa en transacciones entre remitente y receptor, emitiendo secuencias de comandos y suministrando los datos necesarios ordenados mediante un protocolo de control de transmisión de conexión (TCP). Una de estas transacciones cuenta con tres secuencias de comando/respuesta: La dirección de retorno o emisor (MAIL), la dirección del destinatario (RCPT) y el contenido del mensaje (DATA).

Estos datos generalmente son completados de manera automática por el servidor de nuestro proveedor de correo, en donde todos los usuarios cuentan con autenticación previa, con lo cual el protocolo no exige ningún tipo de verificación de identidad en su uso. Proveedores de correo como Gmail u Outlook no permiten suplantar la identidad de correos dentro de su dominio pero la mayoría de direcciones existentes pueden llegar a ser víctimas de este ataque.

Hay infiidad de correos suplantando empresas como Correos, Bancos, Amazon, Apple, etc.

Correo Suplantando al banco Santander

Ataques más frecuentes que utilizan email spoofing

Los ataques de ingenería social funcionan si se consigue transmitirle confianza al receptor para que no sospeche del ataque, con lo cual emular ser una organización o individuo que se relacione con la víctima suplantando la identidad del correo (algún servicio que utilice, posibles contactos comunes de una víctima anterior, entre otros) hace que sea más dificil detectar el engaño. Por otro lado, personificando una compañía con su dominio real, se evita levantar sospechas de spam o phishing en los servidores de correo electrónico.

Lo hemos visto recientemente en casos aquí en valencia como el caso famoso de la EMT o en el del palacio de congresos donde suplantaron a la empresa de seguridad consiguiendo que los pagos se realizaran en la cuenta bancaría de los estafadores.

Ransomware y botnets

Estos ataque volvieron a ganar menciones en el pasado 2020, año en el cual se registró una gran actividad de botnets y en el que los ataques de ransomware fueron protagonistas afectando a varios rubros, entre ellos el de la salud. La empresa pública son sus víctimas preferidas como ayuntamientos, hospitales o actualmente al SEPE. Tampoco se libran las empresas privadas, grandes y pequeñas, casos sonados como el de Garmin o actualmente la empresa Acer.

Estos ataques son en forma de un correo con un archivo que imita ser una factura, recibo o cualquier otro tipo de documento del ambito empresa. Buscan que la víctima descargue y ejecute ese supuesto documento que lo que realmente hace es conectarse y descargar un archivo que infectará su equipo, bien para cifrar una parte o toda la información que contiene y pedir un rescate monetario para la supuesta liberación de los archivos, o bien convertir al equipo en “zombie”, pudiendo ser controlado por el equipo maestro de la red para enviar spam, alojar malware, entre otras cosas más.

En el caso del ransomware, además del pago del rescate utilizando varios métodos extorsivos como ataques de DDoS o chantaje por filtrando la información robada -tendencia reciente pero que llegó para quedarse-, los atacantes también pueden llegar a monetizar el incidente vendiendo los datos robados en mercados negros y en la deep web.

Phishing

En este tipo de ataque se busca convencer a la víctima suplantando la identidad de una compañía, por ejemplo, para que ingrese a un enlace adjunto que buscará robarle información. Los atacantes suelen suplantar la identidad de reconocidas compañías como correos, amazon, mensajerías o bancos que ofrecen servicios en línea, alegando algún problema o movimiento sospechoso en una cuenta a nombre de la víctima, para luego indicarle que acceda a un sitio web que simula ser el oficial de la compañía y que inicie sesión. De esta manera, la víctima entrega sus credenciales y el atacante obtiene el acceso a la cuenta. Actualmente los bancos han modernizado sus sistemas de seguridad implementando el doble factor de seguridad donde se necesita un mensaje recibido en el móvil por ejemplo para demostrar la autenticidad de la conexión, pero no todas las compañías tienen esta seguridad.

Además de los riesgos de las credenciales vulneradas, los atacantes recolectan y venden listas con direcciones de correos electrónicos de usuarios que cayeron en alguna campaña de phishing para continuar con el envío de estos correos maliciosos, ya que se considera una dirección de correo susceptible a engaños.
Muchas veces se producen cadenas donde el infectado manda correos a sus contactos tratando de engañarles tambien y que ejecuten algún archivo malware o accedan en alguna web fraudulenta.

Spam

La distribución de publicidad no deseada o contenido malicioso mediante envíos masivos constituyen un ataque que tiene tantos años de antigüedad como la propia Internet. Sin embargo, los mecanismos de ataque van evolucionando y los cibercriminales se adaptan y combinan el spam con las otras técnicas fraudulentas.

Nuevos métodos de spam combinados con ingeniería social y los métodos utilizados por el phishing en diferentes formatos como campañas de publicidad que aparentan venir de compañías reconocidas o de algún contacto así como campañas de extorsión donde la victima recibe un correo de su propia dirección haciendole creer que tienen acceso a la cuenta de correo y le piden dinero a cambio de no divulgar información privada.

Es super importente mantenerse actualizado acerca de las tendencias en el campo de la ciberseguridad y particularmente en lo que se refiere a los ataques de ingeniería social la cual nos demuestra por ejemplo que la regla de que si el correo proviene de una dirección segura o conocida, es seguro, no es tan cierta.

Una regla básica es descartar cualquier publicidad no deseada o correos con archivos adjuntos que no hayamos solicitado. Además, en el caso de recibir un correo advirtiendo de algún error con nuestra cuenta, es recomendable no hacer clic en enlaces incluidos en el mismo correo, sino ingresar al servicio o sitio desde la barra del navegador.

Etiquetado: / / / / /