Uno de los casos más habituales es lo que conocemos como email spoofing o suplantación de identidad por correo electrónico. Mediante esta técnica maliciosa se envían correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing y suplantar la identidad de directivos de la empresa, proveedores, clientes, etc.
Los métodos cada vez más depurados de los ciberdelincuentes hacen que sea complicado distinguir un correo legítimo de otro que no lo es. Pero, no te preocupes, vamos a darte ventaja explicándote las pautas necesarias para que identifiques cuándo estás recibiendo este tipo de mensajes.
Interpretando las cabeceras de los correos serás capaz de identificar, entre otros, los siguientes datos:
- La información relativa al emisor y al receptor,
- los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino,
- el cliente de correo que se utilizó para enviarlo, y
- la fecha de envío y recepción del email.
Toda esta información está en las cabeceras o encabezados de los correos. Una parte que a simple vista queda oculta, la podemos visualizar con un par de clics.
¿Cómo accedo a las cabeceras de los correos?
Clientes de correo para Windows
Microsoft Outlook
- Haz doble clic en el correo sospechoso para abrirlo fuera del panel de lectura.
- Seleccionamos la opción Archivo > Propiedades.
- La información del encabezado se muestra en una nueva ventana, en el apartado «Encabezados de Internet», como la que se muestra en la imagen.
¿Cómo se interpretan las cabeceras?
Ahora que sabemos cómo obtener las cabeceras, explicaremos su contenido para saber si estamos ante un correo fraudulento.Para agilizar esta tarea podemos utilizar herramientas como MessageHeader, que nos facilita la identificación de cada campo de la cabecera, mostrando resultados como los que analizamos en las imágenes siguientes.
Ejemplo de correo legítimo:
En primer lugar, observamos que el correo fue entregado en 1 segundo («Delivered after 1 sec») lo que significa que tardó 1 segundo en llegar a su destinatario desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado). Como se verá en el ejemplo siguiente, un tiempo de entrega excesivo suele ser indicativo de correo fraudulento.
En el campo «From:» vemos que el dominio linkedin.com coincide con el emisor del mensaje que hemos recibido (no hay suplantación).
Los registros SPF, DKIM y DMARC han sido verificados correctamente. Aunque es bastante intuitivo interpretar la verificación de estos registros a través de esta herramienta, puedes consultar más información sobre los registros SPF, DKIM y DMARC en Encabezados de mensajes de correo no deseado.
Ejemplo de correo ilegítimo:
El correo fue entregado pasadas 2 horas, es decir, tardó 2 horas en llegar desde que se envió (en el último destacado pueden verse las direcciones de los servidores por las que pasa el correo hasta que es entregado).
En el campo «From:» observamos que el dominio chukzem.xyz no coincide con el supuesto emisor del mensaje que en este caso dice ser una empresa de ventas online.
Los registros DKIM y DMARC no han pasado el control de verificación. Tanto el tiempo de entrega, como el remitente y los registros SPF, DKIM y DMARC nos están indicando que se trata de un claro ejemplo de email spoofing.
Ahora no tienes excusas, ya sabes cómo evitar caer en la trampa de los ciberdelincuentes. Se cuidadoso con tu correo electrónico y protege tu empresa.
Fuente: Incibe
Servicio de Ciberseguridad ek31s
Ante cualquier duda, puede contactar con atención al cliente. Tel. 943 203 090. eitek@eitek.net
Siguenos en Linkedin