La suplantación de correo electrónico es la creación de mensajes de correo electrónico con una dirección de remitente falsificada .
Los protocolos de correo electrónico centrales no tienen ningún mecanismo de autenticación , por lo que es común que los correos electrónicos no deseados y de suplantación de identidad utilicen dicha suplantación de identidad para engañar o incluso hacer bromas al destinatario sobre el origen del mensaje.
Detalles técnicos
Cuando se envía un correo electrónico de Protocolo simple de transferencia de correo (SMTP) , la conexión inicial proporciona dos piezas de información de dirección:
- MAIL FROM: generalmente se presenta al destinatario como el encabezado Return-path: pero normalmente no es visible para el usuario final y, por defecto, no se comprueba que el sistema de envío esté autorizado a enviar en nombre de esa dirección.
- RCPT TO: especifica a qué dirección de correo electrónico se envía el correo electrónico, normalmente no es visible para el usuario final, pero puede estar presente en los encabezados como parte del encabezado "Recibido:".
En conjunto, a veces se hace referencia a ellos como el direccionamiento "sobre", una analogía con un sobre de papel tradicional . [1] A menos que el servidor de correo receptor indique que tiene problemas con cualquiera de estos elementos, el sistema de envío envía el comando "DATOS" y, por lo general, envía varios elementos de encabezado, que incluyen:
- De: Joe Q Doe
- la dirección visible para el destinatario; @example.com>pero de nuevo, de forma predeterminada no se comprueba que el sistema de envío esté autorizado a enviar en nombre de esa dirección. - Respuesta a: Jane Roe
- igualmente no marcada @example.mil>
y aveces:
- Remitente: Jin Jo
- tampoco marcado @example.jp>
El resultado es que el destinatario del correo electrónico ve que el correo electrónico proviene de la dirección en el encabezado De : . A veces pueden encontrar la dirección MAIL FROM , y si responden al correo electrónico, irá a la dirección presentada en el encabezado De: o Responder a:, pero ninguna de estas direcciones suele ser confiable, [2] por lo que los mensajes de rebote automatizados pueden generar retrodispersión .
Aunque la suplantación de correo electrónico es eficaz para falsificar la dirección de correo electrónico, la dirección IP de la computadora que envía el correo generalmente se puede identificar a partir de las líneas "Recibido:" en el encabezado del correo electrónico. [3] Sin embargo, en casos maliciosos, es probable que se trate de la computadora de un tercero inocente infectado por malware que envía el correo electrónico sin el conocimiento del propietario.
Uso malintencionado de la suplantación de identidad
Las estafas de phishing y de compromiso de correo electrónico empresarial generalmente implican un elemento de suplantación de correo electrónico.
La suplantación de correo electrónico ha sido responsable de incidentes públicos con graves consecuencias comerciales y financieras. Este fue el caso en un correo electrónico de octubre de 2013 a una agencia de noticias que fue falsificado para que pareciera que era de la empresa sueca Fingerprint Cards . El correo electrónico decía que Samsung se ofreció a comprar la empresa. La noticia se difundió y el tipo de cambio subió un 50%. [4]
Malware como Klez y Sober entre muchos ejemplos más modernos a menudo búsqueda de direcciones de correo electrónico en el ordenador que han infectado, y usan esas direcciones, como objetivos para el correo electrónico, sino también para crear creíble forjado De campos en los correos electrónicos que envían. Esto es para garantizar que haya más probabilidades de que se abran los correos electrónicos. Por ejemplo:
- Alice recibe un correo electrónico infectado que abre, ejecutando el código del gusano.
- El código del gusano busca en la libreta de direcciones de correo electrónico de Alice y encuentra las direcciones de Bob y Charlie.
- Desde la computadora de Alice, el gusano envía un correo electrónico infectado a Bob, pero está falsificado para que parezca enviado por Charlie.
En este caso, incluso si el sistema de Bob detecta que el correo entrante contiene malware, ve que la fuente es Charlie, aunque en realidad proviene de la computadora de Alice. Mientras tanto, Alice puede no darse cuenta de que su computadora ha sido infectada y Charlie no sabe nada al respecto, a menos que reciba un mensaje de error de Bob.
Uso legítimo
En los inicios de Internet, el correo electrónico "legítimamente falsificado" era común. Por ejemplo, un usuario visitante puede utilizar el servidor SMTP de la organización local para enviar correo electrónico desde la dirección extranjera del usuario. Dado que la mayoría de los servidores estaban configurados como " relés abiertos ", esta era una práctica común. A medida que el correo electrónico no deseado se convirtió en un problema molesto, este tipo de usos "legítimos" cayeron en desgracia. Un ejemplo de suplantación legítima sería un escenario en el que un sistema de gestión de relaciones con el cliente recibe un correo electrónico de un sitio web, y para registrar el correo electrónico entrante y crear un perfil para el correo electrónico asociado con un nuevo contacto, el sistema estaría configurado utilizar el 'remitente' del correo electrónico para crear el perfil del cliente potencial con el nombre y la dirección de correo electrónico del remitente. Un sitio web de envío se configuraría para falsificar el correo electrónico saliente del sitio web y enviar el correo electrónico de una manera que parezca que llega del remitente con la información del remitente como el nombre del remitente y la dirección de correo electrónico. Luego, el sistema lo registraría como configurado.
Cuando varios sistemas de software se comunican entre sí por correo electrónico, es posible que se requiera la suplantación de identidad para facilitar dicha comunicación. En cualquier escenario donde se configure una dirección de correo electrónico para reenviar automáticamente los correos electrónicos entrantes a un sistema que solo acepta correos electrónicos del reenviador de correo electrónico, se requiere la suplantación de identidad para facilitar este comportamiento. Esto es común entre los sistemas de venta de boletos que se comunican con otros sistemas de venta de boletos.
El efecto en los servidores de correo
Tradicionalmente, los servidores de correo podían aceptar un elemento de correo y luego enviar un informe de no entrega o un mensaje de "devolución" si no se podía entregar o si se había puesto en cuarentena por algún motivo. Estos se enviarán a la dirección "MAIL FROM:" también conocida como "Ruta de retorno". Con el aumento masivo de direcciones falsificadas, la mejor práctica ahora es no generar NDR para el correo no deseado, virus, etc. [5] detectados, sino rechazar el correo electrónico durante la transacción SMTP. Cuando los administradores de correo no adoptan este enfoque, sus sistemas son culpables de enviar correos electrónicos de " retrodispersión " a partes inocentes, en sí misma una forma de correo no deseado, o de ser utilizados para realizar ataques de " trabajo de Joe ".
Contramedidas
El sistema SSL / TLS utilizado para cifrar el tráfico de correo electrónico de servidor a servidor también se puede utilizar para reforzar la autenticación, pero en la práctica rara vez se utiliza, [6] y una serie de otras posibles soluciones tampoco han logrado ganar terreno.
Sin embargo, ahora se utilizan ampliamente varios sistemas eficaces, que incluyen:
Para detener de manera efectiva la entrega de correo electrónico falsificado, los dominios de envío, sus servidores de correo y el sistema de recepción deben configurarse correctamente para estos estándares más altos de autenticación. Aunque su uso está aumentando, las estimaciones varían ampliamente en cuanto al porcentaje de correos electrónicos que no tienen forma de autenticación de dominio: del 8,6% [7] a "casi la mitad". [8] [9] [10] Por este motivo, los sistemas de correo de recepción suelen tener una serie de opciones para configurar cómo tratan los dominios o el correo electrónico mal configurados. [11] [12]
Ver también
- Autenticación de correo electrónico : técnicas destinadas a proporcionar información verificable sobre el origen de los mensajes de correo electrónico.
- Marco de políticas del remitente : sistema simple de validación de correo electrónico diseñado para detectar la suplantación de correo electrónico (SPF)
- Virus informático: programa informático que modifica otros programas para replicarse y propagarse.
- Gusano informático: programa informático de malware independiente que se replica a sí mismo para propagarse a otras computadoras
- Engaño : falsedad deliberadamente fabricada para hacerse pasar por la verdad
- Carta en cadena : carta escrita sucesivamente por un grupo de personas
- Joe job : una técnica de spam que envía correos electrónicos no solicitados utilizando datos de remitentes falsificados
- Suplantación de sitios web : creación de un sitio web, como un engaño, con la intención de engañar a los lectores.
- Llamada de broma
Referencias
- ^ Siebenmann, Chris. "Una descripción general rápida de SMTP" . Universidad de Toronto . Consultado el 8 de abril de 2019 .
- ^ Barnes, Bill (12 de marzo de 2002). "Suplantadores de correo electrónico" . Consultado el 8 de abril de 2019 .
- ^ "imitadores de correo electrónico: identificación de correo electrónico" falsificado " . Archivado desde el original el 21 de junio de 2017 . Consultado el 8 de abril de 2019 .
- ^ "Huellas dactilares de los estafadores en el trato falso de Samsung" . Consultado el 8 de abril de 2019 .
- ^ Ver RFC3834
- ^ "Seguridad de la capa de transporte para correo entrante" . Servicios de Google Postini . Archivado desde el original el 11 de noviembre de 2016 . Consultado el 8 de abril de 2019 .
- ^ Bursztein, Elie; Eranti, Vijay (6 de diciembre de 2013). "Los esfuerzos en Internet para combatir el phishing en el correo electrónico están funcionando" . Blog de seguridad de Google . Consultado el 8 de abril de 2019 .
- ^ Eggert, Lars. "Tendencias de implementación de SPF" . Archivado desde el original el 2 de abril de 2016 . Consultado el 8 de abril de 2019 .
- ^ Eggert, Lars. "Tendencias de implementación de DKIM" . Archivado desde el original el 22 de agosto de 2018 . Consultado el 8 de abril de 2019 .
- ^ "En el primer año, DMARC protege el 60 por ciento de los buzones de correo del consumidor mundial" . dmarc.org . 2013-02-06 . Consultado el 8 de abril de 2019 .
- ^ "Evite mensajes falsificados con la detección de remitentes falsificados" . Consultado el 8 de abril de 2019 .
- ^ "Protección anti-spoofing en Office 365" . Consultado el 8 de abril de 2019 .
enlaces externos
- "Consejo técnico de 2002: correo electrónico falsificado / falsificado" . Biblioteca digital SEI . Universidad de Carnegie mellon. 2002-01-01 . Consultado el 19 de diciembre de 2019 .