Suplantación de correo electrónico

Crear correo no deseado o mensajes de phishing con una identidad o dirección de remitente falsificada

La suplantación de correo electrónico es la creación de mensajes de correo electrónico con una dirección de remitente falsificada . ^[1] El término se aplica al correo electrónico que pretende provenir de una dirección que en realidad no es la del remitente; el correo enviado en respuesta a esa dirección puede rebotar o entregarse a una parte no relacionada cuya identidad ha sido falsificada. La dirección de correo electrónico desechable o correo electrónico "enmascarado" es un tema diferente, ya que proporciona una dirección de correo electrónico enmascarada que no es la dirección normal del usuario, que no se divulga (por ejemplo, para que no pueda ser recolectada ), pero reenvía el correo que se le envía al dirección real del usuario. ^[2]

Los protocolos de transmisión originales utilizados para el correo electrónico no tienen métodos de autenticación integrados: esta deficiencia permite que los correos electrónicos no deseados y de phishing utilicen suplantación de identidad para engañar al destinatario. Contramedidas más recientes han dificultado este tipo de suplantación de identidad desde fuentes de Internet, pero no la han eliminado por completo; Pocas redes internas tienen defensas contra un correo electrónico falso procedente de la computadora comprometida de un colega en esa red. Las personas y empresas engañadas por correos electrónicos falsos pueden sufrir pérdidas financieras importantes; en particular, los correos electrónicos falsificados suelen utilizarse para infectar ordenadores con ransomware .

Detalles técnicos

Cuando se envía un correo electrónico del Protocolo simple de transferencia de correo (SMTP) , la conexión inicial proporciona dos datos de dirección:

• CORREO DE: - generalmente se presenta al destinatario como el encabezado Return-path: pero normalmente no es visible para el usuario final y, de forma predeterminada, no se realizan comprobaciones de que el sistema de envío esté autorizado para enviar en nombre de esa dirección.
• RCPT A: especifica a qué dirección de correo electrónico se entrega el correo electrónico; normalmente no es visible para el usuario final, pero puede estar presente en los encabezados como parte del encabezado "Recibido:".

En conjunto, a veces se les denomina dirección de "sobre", una analogía con un sobre de papel tradicional . ^[3] A menos que el servidor de correo receptor indique que tiene problemas con cualquiera de estos elementos, el sistema emisor envía el comando "DATOS" y normalmente envía varios elementos de encabezado, que incluyen:

• De: Joe Q Doe <[email protected]>: la dirección visible para el destinatario; pero nuevamente, de forma predeterminada no se realizan comprobaciones de que el sistema de envío esté autorizado a enviar en nombre de esa dirección.
• Responder a: Jane Roe <[email protected]> - tampoco marcado

• Remitente: Jin Jo <[email protected]> - tampoco marcado

El resultado es que el destinatario del correo electrónico ve que el correo electrónico proviene de la dirección en el encabezado De:. A veces es posible que puedan encontrar la dirección CORREO DE y, si responden al correo electrónico, irá a la dirección presentada en el encabezado De: o Responder a:, pero ninguna de estas direcciones suele ser confiable, ^{[4 ] por lo que} los mensajes de rebote automatizados pueden generar retrodispersión .

Aunque la suplantación de correo electrónico es eficaz para falsificar la dirección de correo electrónico, la dirección IP de la computadora que envía el correo generalmente se puede identificar en las líneas "Recibido:" en el encabezado del correo electrónico. ^[5] Sin embargo, en casos maliciosos, es probable que se trate de la computadora de un tercero inocente infectado por malware que envía el correo electrónico sin el conocimiento del propietario.

Uso malicioso de la suplantación de identidad

Las estafas de phishing y de vulneración del correo electrónico empresarial (ver más abajo) generalmente implican un elemento de suplantación de correo electrónico.

La suplantación de correo electrónico ha sido responsable de incidentes públicos con graves consecuencias comerciales y financieras. Este fue el caso de un correo electrónico de octubre de 2013 enviado a una agencia de noticias que fue falsificado para que pareciera que pertenecía a la empresa sueca Fingerprint Cards . El correo electrónico decía que Samsung se ofreció a comprar la empresa. La noticia se difundió y el tipo de cambio subió un 50%. ^[6]

El malware como Klez y Sober , entre muchos ejemplos más modernos, a menudo busca direcciones de correo electrónico dentro de la computadora que ha infectado y utiliza esas direcciones como objetivos para el correo electrónico y también para crear campos De remitente falsificados creíbles en los correos electrónicos que envían. ^{[ cita necesaria ]} Esto es para garantizar que sea más probable que se abran los correos electrónicos. Por ejemplo:

1. Alice recibe un correo electrónico infectado que abre y ejecuta el código del gusano.
2. El código del gusano busca en la libreta de direcciones de correo electrónico de Alice y encuentra las direcciones de Bob y Charlie.
3. Desde la computadora de Alice, el gusano envía un correo electrónico infectado a Bob, pero se falsifica para que parezca que fue enviado por Charlie.

En este caso, incluso si el sistema de Bob detecta que el correo entrante contiene malware, ve que la fuente es Charlie, aunque en realidad provino de la computadora de Alice. Mientras tanto, Alice puede no saber que su computadora ha sido infectada y Charlie no sabe nada al respecto, a menos que reciba un mensaje de error de Bob.

El efecto en los servidores de correo.

Tradicionalmente, los servidores de correo podían aceptar un elemento de correo y luego enviar un informe de no entrega o un mensaje de "rebote" si no se pudo entregar o se había puesto en cuarentena por algún motivo. Estos se enviarán a la dirección "MAIL FROM:", también conocida como "Ruta de retorno". Con el aumento masivo de direcciones falsificadas, la mejor práctica ahora es no generar NDR para spam, virus, etc. detectados, ^[7] sino rechazar el correo electrónico durante la transacción SMTP. Cuando los administradores de correo no adoptan este enfoque, sus sistemas son culpables de enviar correos electrónicos " retrodispersados " a partes inocentes (una forma en sí misma de spam) o de ser utilizados para realizar ataques tipo " Joe job ".

Contramedidas

El sistema SSL/TLS utilizado para cifrar el tráfico de correo electrónico de servidor a servidor también se puede utilizar para imponer la autenticación, pero en la práctica rara vez se utiliza, ^[8] y una variedad de otras posibles soluciones tampoco han logrado ganar terreno.

Se han utilizado ampliamente varios sistemas defensivos, que incluyen:

• Marco de políticas del remitente (SPF): un método de autenticación de correo electrónico diseñado para detectar direcciones de remitente falsificadas durante la entrega del correo electrónico. ^[9]
• DomainKeys Identified Mail (DKIM): un método de autenticación de correo electrónico diseñado para detectar direcciones de remitentes falsificadas en el correo electrónico (email spoofing), una técnica que se utiliza a menudo en phishing y correo no deseado .
• Autenticación, informes y conformidad de mensajes basados ​​en dominio (DMARC): un protocolo de autenticación de correo electrónico . Está diseñado para brindar a los propietarios de dominios de correo electrónico la capacidad de proteger su dominio contra el uso no autorizado, comúnmente conocido como suplantación de correo electrónico. El propósito y el resultado principal de implementar DMARC es proteger un dominio para que no se utilice en ataques de compromiso de correo electrónico empresarial , correos electrónicos de phishing , estafas por correo electrónico y otras actividades de amenazas cibernéticas .

Para detener eficazmente la entrega de correo electrónico falsificado, los dominios de envío, sus servidores de correo y el sistema de recepción deben configurarse correctamente para estos estándares más altos de autenticación. Aunque su uso está aumentando, las estimaciones varían ampliamente en cuanto al porcentaje de correos electrónicos que no tienen ningún tipo de autenticación de dominio: del 8,6% ^[10] a "casi la mitad". ^{[11] [12] [13]} Por esta razón, los sistemas de recepción de correo generalmente tienen una variedad de configuraciones para configurar cómo tratan los dominios o el correo electrónico mal configurados. ^{[14] [15]}

Si bien se han realizado investigaciones para mejorar la seguridad del correo electrónico, se ha puesto poco énfasis en informar a los usuarios cuyas direcciones de correo electrónico se han utilizado para suplantación de identidad. Actualmente, sólo el destinatario del correo electrónico puede identificar un correo electrónico falso, y los usuarios cuyas direcciones están falsificadas no se dan cuenta a menos que el destinatario examine manualmente el mensaje. ^{[ cita necesaria ]}

Email de negocios

Los ataques de compromiso de correo electrónico empresarial son una clase de delito cibernético que utiliza el fraude por correo electrónico para atacar a las organizaciones. Los ejemplos incluyen estafas de facturas y ataques de phishing diseñados para recopilar datos para otras actividades delictivas. Una empresa engañada por un correo electrónico falso puede sufrir daños adicionales financieros, de continuidad del negocio y de reputación. Los correos electrónicos falsos también pueden utilizarse para difundir malware .

Normalmente, un ataque se dirige a funciones específicas de empleados dentro de una organización mediante el envío de correos electrónicos falsos que representan de manera fraudulenta a un colega senior, un cliente de confianza o un proveedor. ^[16] (Este tipo de ataque se conoce como Spear Phishing ). El correo electrónico emitirá instrucciones, como aprobar pagos o revelar datos del cliente. Los correos electrónicos suelen utilizar ingeniería social para engañar a la víctima para que realice transferencias de dinero a la cuenta bancaria del estafador. ^[17]

La Oficina Federal de Investigaciones de los Estados Unidos registró 26 mil millones de dólares en pérdidas estadounidenses e internacionales asociadas con los ataques BEC entre junio de 2016 y julio de 2019. ^[18] Cifras más recientes estiman pérdidas de más de 50 mil millones de dólares entre 2013 y 2022. ^[19]

Incidentes

• El zoológico de Dublín perdió 130.000 euros en una estafa de este tipo en 2017; se sustrajeron un total de 500.000 euros, aunque la mayor parte se recuperó. ^[20]
• La empresa aeroespacial austriaca FACC AG fue defraudada por 42 millones de euros (47 millones de dólares) mediante un ataque en febrero de 2016 y posteriormente despidió tanto al director financiero como al director ejecutivo. ^[21]
• Te Wananga o Aotearoa en Nueva Zelanda fue defraudada por 120.000 dólares (NZD). ^[22]
• El Servicio de Bomberos de Nueva Zelanda fue estafado con 52.000 dólares en 2015. ^[23]
• Ubiquiti Networks perdió 46,7 millones de dólares a través de una estafa de este tipo en 2015. ^[24]
• Save the Children USA fue víctima de una ciberestafa de un millón de dólares en 2017. ^[25]
• Las organizaciones australianas que informaron sobre ataques de compromiso de correo electrónico empresarial a la Comisión Australiana de Competencia y Consumidores sufrieron aproximadamente $2,800,000 (AUD) en pérdidas financieras durante el año 2018. ^[26]
• En 2013, Evaldas Rimasauskas y sus empleados enviaron miles de correos electrónicos fraudulentos para obtener acceso a los sistemas de correo electrónico de las empresas. ^[27]

Ver también

• Carta en cadena  : Carta escrita sucesivamente por un grupo de personas.
• Virus informático  : programa informático que modifica otros programas para replicarse y propagarse.
• Gusano informático  : programa malicioso autorreplicante
• Regulación de ciberseguridad  : descripción general de los requisitos de garantía de la información (IA)
• Cibercrimen  – Tipo de delito basado en redes informáticas
• Nombre de dominio#Suplantación de nombre de dominio  : cadena de identificación en Internet que puede verse comprometida
• DMARC  – Sistema para prevenir el fraude por correo electrónico
• Autenticación de correo electrónico  : técnicas destinadas a proporcionar información verificable sobre el origen de los mensajes de correo electrónico.
• Engaño  : invención deliberada y generalizada presentada como verdad
• Joe job  : correo electrónico no solicitado con datos de remitente falsificados
• Phishing  : forma de ingeniería social
• Llamada de broma  : llamada destinada a bromear con la persona que responde.
• Ingeniería social (seguridad)  : manipulación psicológica de personas para que realicen acciones o divulguen información confidencial.
• Suplantación de sitios web  : creación de un sitio web, a modo de engaño, con la intención de engañar a los lectores.

Referencias

1. Varshney, Gaurav; Misra, Manoj; Atrey, Pradeep K. (26 de octubre de 2016). "Un estudio y clasificación de los esquemas de detección de phishing web: el phishing es un acto fraudulento que se utiliza para engañar a los usuarios". Redes de Seguridad y Comunicaciones . 9 (18): 6266–6284. doi : 10.1002/seg.1674.
2. Sí, Alaina (6 de junio de 2022). "¿Qué es el correo electrónico enmascarado? Esta nueva versión de una antigua práctica potencia su seguridad". Mundo PC .
3. Siebenmann, Chris. "Una descripción general rápida de SMTP". Universidad de Toronto. Archivado desde el original el 3 de abril de 2019 . Consultado el 8 de abril de 2019 .
4. Barnes, Bill (12 de marzo de 2002). "Imitadores de correo electrónico". Pizarra . Archivado desde el original el 13 de abril de 2019 . Consultado el 8 de abril de 2019 .
5. "imitadores de correo electrónico: identificación de correos electrónicos" falsificados "". Archivado desde el original el 21 de junio de 2017 . Consultado el 8 de abril de 2019 .
6. Mundy, Simon (11 de octubre de 2013). "Las huellas dactilares de los estafadores en un acuerdo falso con Samsung" . Tiempos financieros . Archivado desde el original el 10 de febrero de 2019 . Consultado el 8 de abril de 2019 .
7. Ver RFC3834
8. "Seguridad de la capa de transporte para correo entrante". Servicios de Google Postini . Archivado desde el original el 11 de noviembre de 2016 . Consultado el 8 de abril de 2019 .
9. Carranza, Pablo (16 de julio de 2013). "Cómo utilizar un registro SPF para evitar la suplantación de identidad y mejorar la confiabilidad del correo electrónico". Océano Digital . Archivado desde el original el 20 de abril de 2015 . Consultado el 23 de septiembre de 2019 . Un registro SPF cuidadosamente diseñado reducirá la probabilidad de que su nombre de dominio sea falsificado de manera fraudulenta y evitará que sus mensajes sean marcados como spam antes de que lleguen a sus destinatarios. La suplantación de correo electrónico es la creación de mensajes de correo electrónico con una dirección de remitente falsificada; algo que es sencillo de hacer porque muchos servidores de correo no realizan autenticación. Los correos electrónicos de spam y phishing suelen utilizar este tipo de suplantación para engañar al destinatario sobre el origen del mensaje.
10. Bursztein, Elie; Eranti, Vijay (6 de diciembre de 2013). "Los esfuerzos en Internet para combatir el phishing por correo electrónico están funcionando". Blog de seguridad de Google. Archivado desde el original el 4 de abril de 2019 . Consultado el 8 de abril de 2019 .
11. Eggert, Lars. "Tendencias en la implementación de SPF". Archivado desde el original el 2 de abril de 2016 . Consultado el 8 de abril de 2019 .
12. Eggert, Lars. "Tendencias de implementación de DKIM". Archivado desde el original el 22 de agosto de 2018 . Consultado el 8 de abril de 2019 .
13. "En el primer año, DMARC protege el 60 por ciento de los buzones de correo de los consumidores a nivel mundial". dmarc.org . 2013-02-06. Archivado desde el original el 2018-09-20 . Consultado el 8 de abril de 2019 .
14. "Evite mensajes falsificados mediante la detección de remitentes falsificados". Archivado desde el original el 23 de marzo de 2019 . Consultado el 8 de abril de 2019 .
15. "Protección contra suplantación de identidad en Office 365". Archivado desde el original el 9 de abril de 2019 . Consultado el 8 de abril de 2019 .
16. Joan Goodchild (20 de junio de 2018). "Cómo reconocer un ataque que compromete el correo electrónico empresarial". Inteligencia de Seguridad . Archivado desde el original el 23 de marzo de 2019 . Consultado el 11 de marzo de 2019 .
17. "Consejos para evitar ataques de phishing e ingeniería social". www.bankinfosecurity.com . Archivado desde el original el 2 de diciembre de 2020 . Consultado el 17 de noviembre de 2020 .
18. "El compromiso del correo electrónico empresarial es extremadamente costoso y cada vez más evitable". Medios Forbes . 15 de abril de 2020. Archivado desde el original el 23 de octubre de 2021 . Consultado el 2 de diciembre de 2020 .
19. "Compromiso del correo electrónico empresarial: la estafa de 50 mil millones de dólares".
20. "El zoológico de Dublín perdió 500.000 euros tras ser víctima de una estafa cibernética". 22 de diciembre de 2017. Archivado desde el original el 8 de agosto de 2019 . Consultado el 23 de octubre de 2021 .
21. "La FACC de Austria, afectada por el fraude cibernético, despide al director ejecutivo". Reuters . 26 de mayo de 2016. Archivado desde el original el 21 de marzo de 2021 . Consultado el 20 de diciembre de 2018 .
22. "Te Wananga o Aotearoa atrapado en una estafa financiera de 120.000 dólares". Heraldo de Nueva Zelanda. Archivado desde el original el 20 de diciembre de 2018 . Consultado el 20 de diciembre de 2018 .
23. "Servicio de bomberos estafado con 52.000 dólares". Noticias RNZ . 23 de diciembre de 2015. Archivado desde el original el 20 de diciembre de 2018 . Consultado el 20 de diciembre de 2018 .
24. Hackett, Robert (10 de agosto de 2015). "Los estafadores engañaron a esta empresa para que entregara más de 40 millones de dólares". Revista Fortuna . Archivado desde el original el 20 de diciembre de 2018 . Consultado el 20 de diciembre de 2018 .
25. Wallack, Todd (13 de diciembre de 2018). "Los piratas informáticos engañaron a Save the Children para que enviara 1 millón de dólares a una cuenta falsa". El Boston Globe . Archivado desde el original el 20 de diciembre de 2018 . Consultado el 20 de diciembre de 2018 .
26. Powell, Dominic (27 de noviembre de 2018). "Una empresa pierde 300.000 dólares por una estafa por correo electrónico 'falsificada': cómo protegerse de ser suplantado". Empresa inteligente . Archivado desde el original el 27 de noviembre de 2018 . Consultado el 14 de diciembre de 2018 .
27. "Sentencia en esquema BEC". Oficina Federal de Investigaciones . Archivado desde el original el 31 de enero de 2020 . Consultado el 1 de febrero de 2020 .

enlaces externos

• "Consejo técnico de 2002: correo electrónico falsificado/falsificado". Biblioteca Digital SEI . Universidad de Carnegie mellon. 2002-01-01 . Consultado el 19 de diciembre de 2019 .