Cómo funciona la suplantación de identidad por correo electrónico
Un correo electrónico se puede dividir en dos secciones principales: los encabezados y el cuerpo. El propósito de los encabezados es proporcionar metadatos y la información necesaria para enrutar el correo electrónico a su destino. El cuerpo del correo electrónico es el mensaje real que se transmite.
El Protocolo Simple de Transferencia de Correo (SMTP) define la estructura de los correos electrónicos y cómo las computadoras se comunican a través del correo electrónico. Cuando se desarrolló SMTP, la seguridad no era una prioridad y el protocolo se diseñó sin forma de verificar la autenticidad de los encabezados de correo electrónico.
La suplantación de identidad de correo electrónico se aprovecha de esto cambiando el valor del encabezado FROM, que debe contener la dirección de correo electrónico del remitente. Este valor se usa solo para informar al destinatario de la identidad del remitente, por lo que modificarlo no hará que el correo electrónico falle.
Sin embargo, la dirección FROM puede utilizarse para dirigir las respuestas a un correo electrónico, lo que podría ser un problema para algunas campañas de phishing. Sin embargo, el estándar SMTP también incluye un encabezado REPLY-TO donde el remitente puede especificar que las respuestas a un correo electrónico deben enviarse a una dirección diferente. Este campo se utiliza habitualmente en los envíos masivos de correos electrónicos de marketing, pero también puede ser utilizado por un phisher para recibir respuestas a correos electrónicos de phishing en los que ha suplantado la dirección.
Cómo identificar un correo electrónico falsificado
Los correos electrónicos falsificados forman parte de phishing campañas, que están diseñadas para engañar al destinatario para que realice alguna acción que ayude al atacante. Si un correo electrónico tiene un enlace incrustado en el que hacer clic, un archivo adjunto o solicita alguna otra acción, entonces es aconsejable comprobar si es falso.
En algunos casos, el atacante puede usar una dirección real y similar, como sustituir cornpany.com por company.com. En otros, el valor del encabezado FROM puede ser reemplazado por una dirección legítima que no está bajo el control del remitente.
Mientras que el primer caso generalmente se puede detectar echando un vistazo cuidadoso a la dirección de correo electrónico del remitente, el segundo puede requerir más investigación. Las direcciones FROM suplantadas se pueden identificar en función de:
- Contexto: Los correos electrónicos de phishing están diseñados para parecer legítimos, pero no siempre lo consiguen. Si un correo electrónico no parece proceder del supuesto remitente, puede tratarse de un correo electrónico de phishing falsificado.
- Responder a: Una dirección de respuesta permite que las respuestas a un correo electrónico de una dirección se dirijan a otra. Si bien esto tiene usos legítimos (como campañas de correo electrónico masivo), es inusual y debería ser motivo de sospecha para los correos electrónicos que provienen de una cuenta personal.
Recibido: El encabezado RECEIVED de un correo electrónico indica las direcciones IP y los nombres de dominio de los equipos y servidores de correo electrónico a lo largo de la ruta por la que viajó el correo electrónico. Un correo electrónico de y hacia direcciones de correo electrónico dentro de la misma empresa solo debe pasar a través del servidor de correo electrónico de la empresa.
Cómo protegerse de la suplantación de identidad por correo electrónico
El aumento de los correos electrónicos de phishing selectivo hace que la prevención del phishing sea un componente esencial de una empresa Seguridad de correo electrónico estrategia. Algunas de las mejores prácticas clave para protegerse contra los ataques de phishing incluye:
- Etiquetar correos electrónicos externos: Los correos electrónicos falsificados a menudo fingen provenir de direcciones internas, pero provienen de fuera de la empresa. Agregar un banner de advertencia a todos los correos electrónicos externos ayuda a los destinatarios a identificar los intentos de ataques de suplantación de identidad por correo electrónico.
- Habilite la protección de correo electrónico: Las protecciones de correo electrónico como DMARC y SPF añaden información de autenticación a los correos electrónicos. Esto hace que sea más difícil para un atacante enviar correos electrónicos falsos desde los dominios de una empresa.
- Verifique la dirección de correo electrónico: Los phishers suelen utilizar direcciones similares para que sus correos electrónicos parezcan más legítimos. Verifique que la dirección del remitente de un correo electrónico sea correcta antes de confiar en ella.
- Verifique los encabezados de correo electrónico: La suplantación de identidad funciona modificando los encabezados SMTP dentro de los correos electrónicos. Si un correo electrónico parece sospechoso, revisa los encabezados en busca de inconsistencias.
Protección contra la suplantación de identidad en el correo electrónico con Check Point
Los correos electrónicos falsos están diseñados para ser engañosos, lo que significa que los empleados pueden tener dificultades para identificar los sofisticados ataques de phishing. Un solo clic en un enlace malicioso o la apertura de un archivo adjunto cargado de malware pueden causar daños importantes a la empresa. Los correos electrónicos de phishing son una de las principales causas de filtración de datos y uno de los principales mecanismos de entrega de ransomware y otros malware.
Por este motivo, la formación en ciberseguridad corporativa para la detección de correos electrónicos de phishing debe complementarse con una sólida solución antiphishing. Check Point, junto con Avanan, ha desarrollado Harmony email and collaboration , que proporciona una protección completa contra la estafa por phishing. Para obtener más información sobre Harmony Email and Collaboration y cómo puede ayudar a mitigar la amenaza de los correos electrónicos de phishing falsificados para su organización, le invitamos a regístrese para una demostración gratuita.
Comentarios