Cómo identificar el Phishing Email

Email Phishing

El phishing email o suplantación de identidad de correo electrónico se produce cuando un tercero, por lo general un pirata informático o sitio web malicioso, utiliza la identidad de marca de una empresa para intentar obtener información confidencial mediante métodos de ingeniería social.

Podemos decir que existen dos tipos de phishing email: los que van hacia ti y los que vienen de ti. Los correos electrónicos de phishing aprovechan las marcas de negocios legítimos para implantar malware en un archivo adjunto, descargar u obtener credenciales de inicio de sesión. El phishing sigue siendo el método principal para obtener credenciales para ataques. De ahí la importancia de saber reconocerlo y protegerse.

Identificando correos electrónicos de phishing

Los grupos de phishing y piratas informáticos cambian constantemente sus patrones para mejorar tanto su orientación como la efectividad de sus correos electrónicos a fin de explotar a los usuarios, pero existen algunas características en común para cada correo electrónico de phishing.

Ejemplo de Phishing Email

Ejemplo de Phishing Email

Los correos electrónicos de phishing se orientan a marcas importantes

En el ejemplo de la figura, la dirección de correo electrónico «From» utilizada es Paypal, pero podrás notar que en grandes marcas, especialmente en las industrias de tarjetas de crédito, financieras, bancarias y de seguros, estos tipos de correos electrónios suelen «parecer genuinos». Siempre debemos preguntarnos al recibir un correo de estos: ¿Realmente tengo una cuenta? ¿Es esa la dirección de correo electrónico para esa cuenta? ¿He hecho algo con la cuenta últimamente?

El dominio del «From» y del Return Path Domain no coinciden

Es relativamente fácil falsificar una dirección del «From«. Las Normas de correo electrónico permiten que terceros remitentes de correo electrónico envíen correos electrónicos en nombre de otro dominio; de lo contrario, proveedores Google y Outlook.com o los proveedores de correo masivo no puediera enviar correos electrónicos para los dominios comerciales o personales que alojan. Si el «From» y el Return Path Domain no coinciden, o esta última parece aleatoria o sombría, es muy probable que estés ante la presencia de un correo electrónico de phishing. Además, la mayoría de las empresas no utilizarán un tercero para enviar correos electrónicos importantes de información de cuenta como el anterior, sino sus propios servidores internos. Verifica siempre la dirección de correo electrónico del Return Path Domain en el encabezado del mensaje de correo para comprobar si parece legítimo.

Presencia de un adjunto

Si tienes que descargar algo que no haz pedido a la compañía, entonces es probable que se trate de un correo electrónico de phishing y puede contener malware. Incluso los documentos PDF o DOC pueden contener códigos maliciosos. El objetivo de estos documentos falsos es intentar obtener datos personales, privados o financieros. No descargues archivos adjuntos que no hayas solicitado con anterioridad.

Sensación de urgencia

El correo electrónico te pedirá que «actúes pronto» o te costará dinero. Este sentido de urgencia te hace reaccionar antes de pensar. Analiza cuidadosamente cada mensaje de correo electrónico que se vea realmente importante o te incite a actuar de forma rápida antes de realizar cualquier acción.

Los enlaces en el mensaje apuntan a diferentes dominios

A menudo, un correo electrónico de phishing incluirá un enlace a un tercer o cuarto dominio o solo a una dirección IP. El objetivo aquí es conseguir que hagas clic insospechadamente en cualquier enlace para intentar obtener información sobre ti cuando intentes iniciar sesión en su sitio web falso. En ocasiones, los dominios incluso se parecen a los subdominios o dominios relacionados. Siempre revisa los enlaces antes de hacer clic en ellos. En caso de duda de cualquier enlace, abre una nueva ventana y navega hasta el sitio web oficial de la empresa e inicia sesión en tu cuenta desde allí para verificar el problema.

La calidad varía

Algunos correos electrónicos de phishing, como el de la figura, lucen bien a simple vista. Por ejemplo, los logotipos se ven correctos, las fuentes y el esquema de color son apropiados y parte del lenguaje es incluso directo de correos electrónicos legítimos. Sin embargo, cuando lees más a fondo, puedes ver errores ortográficos, errores gramaticales u otras áreas donde está claro que el escritor no era un hablante nativo de inglés o español. En el asunto del menasje de la figura la palabra «DeLL» no está escrita correctamente, ni la frase «This not you» en inglés apropiado. Tómete un tiempo para leer la información presentada en el correo electrónico y verificar la gramática así como la ortografía.

¿Por qué me importaría si el phishing proviene de mi dominio?

El phishing proveniente de tu dominio perjudica a tu marca, incluso cuando tus clientes saben que no eres responsable. Además, el phishing pone en riesgo la entrega de tus correos electrónicos y puedes ser marcado en lista negra tu servidor de correo. Cada vez más, los proveedores de correo electrónico como Google, Yahoo! y Outlook.com observan el dominio del que proviene un correo electrónico y cuál es la reputación de ese dominio en sus sistemas. Si tu nombre de dominio ha sido utilizado para phishing, entonces todos tus correos electrónicos pueden estar bajo escrutinio adicional. Si no se controla, esto podría llevar a una lista negra equivocada, o ser marcados como posible mensaje spam o malicioso.

¿Cómo evitar el phishing email proveniente de mi dominio?

La autenticación del correo electrónico debería ser la primera “vacuna” en contra del phishing email. De esta forma los mensajes se detectaran y bloquearan antes de llegar a cualquier bandeja de entrada. Existen tres protocolos principales que trabajan para autenticar tu correo electrónico:

Las tecnologías anteriores trabajan de forma conjunta y son un seguro que se emplea para que los remitentes detecten quién está autorizado para enviar correos en su nombre. Y, a la vez, detecta desde qué dominios y direcciones IP se realiza esta acción. De forma resumida podemos decir que: SPF te permite decirle al mundo quién puede enviar correos electrónicos en tu nombre, DKIM te permite firmar digitalmente tus correos electrónicos y DMARC te permite designar una dirección de correo electrónico para recibir comentarios sobre tu correo electrónico, entre otras cosas.

¿Cómo detener el phishing en mi dominio?

Las direcciones IP y los dominios que fallan en la alineación o autenticación con SPF, DKIM o DMARC probablemente sean candidatos para estafas de phishing. Sin embargo, estos también pueden ser remitentes legítimos que están mal configurados o no están incluidos en su registro SPF; por lo que deberás investigar cada uno para determinar su legitimidad. Una vez que estés seguro de que quién es legítimo y que pasan los chequeos correspondientes de los registros SPF, DKIM y DMARC, puedes comenzar a informar a los proveedores de correo electrónicos qué hacer con el correo electrónico que no cumple con dichos controles. DMARC se encarga de establecer los pasos que un destinatario debe realizar con el correo electrónico que está fallando en las comprobaciones de SPF y DKIM:

  • Ninguno (none): No hacer nada
  • Cuarentena (quarantine): deje este correo electrónico a un lado y dígame que lo puso en cuarentena
  • Rechazar (reject): rebota (bounce) el correo electrónico por completo

El registro DMARC también permite establecer el porcentaje de tráfico sujeto a estas reglas, desde 0 hasta 100%. Este nivel de granularidad es importante para permitirte controlar la rapidez con la que mueve todos tus correos electrónicos a un estado de rechazo. De esta forma, puedes probar para ver si algún correo electrónico legítimo se ve afectado sin afectar negativamente el flujo de correos en genereal. Una vez que alcances una política de rechazo del 100%, estarás filtrando todo el phishing usando tu dominio.

¿Cómo podemos ayudarte?

Sabemos cuán complejos pueden ser SPF, DKIM y DMARC para comprender e implementar, y cuán costosos pueden ser el fraude y el phishing para su marca. En Universo Digital podemos ayudarlo en:

  • Sugerencias de configuración para tus registros SPF, DKIM y DMARC
  • Recomendaciones sobre cuándo cambiar las políticas de DMARC
  • Exámenes forenses de correo electrónico rechazado

No dude en contactarnos!! Estamos a su alcance.

Tomado de:

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *