101 Seguridad informática – parte 2. Phishing correo

Bienvenidos a la segunda parte de seguridad informática básica. Cómo ya vimos en la parte 1 de esta serie de entradas si no tomamos una serie de precauciones cuando usamos internet, estamos expuestos a un arsenal de ataques que pueden poner en peligro nuestra privacidad e identidad digital.

En esta segunda entrega me gustaría hablaros del phishing en correos electrónicos (usando la técnica de email spoofing). Primero de todo, quisiera sentar unos precedentes recientes para que veáis cuan fácil es realizar una suplantación de identidad en un correo electrónico y que consecuencias puede tener.

Hace pocos años vimos cómo unos cibercriminales robaban masivamente las cuentas de iCloud de muchas celebridades famosas, este evento fue llamado celebgate. El celebgate desató la ira de muchas de estas famosas/os e intentaron culpar a iCloud por deficiencias en su seguridad incluso llegaron a los tribunales. Pues bien, la culpa no fue completamente de la seguridad de apple (en ese momento mejorable) sino de estas personas ya que dieron su usuario y contraseña a una tercera persona desconocida que las uso para vulnerar su intimidad.

Se que suena raro, pero una de las técnicas usadas por estos cibercriminales se basó en enviar correos electrónicos haciéndose pasar por apple y pidiéndoles que accediesen clicando un link a una supuesta pagina de apple donde se pedían las credenciales. Las celebridades no se fijaron que no era la pagina oficial de la compañía de la manzana sino que se trataba de phishing en web y se les substrajo sus credenciales.

Este tipo de ataque tan dirigido puede ser usado combinado con phishing sobre paginas web (cómo ya vimos en la primera parte)  y así obtener datos bancarios, las credenciales de cualquier red social…

Cómo mi intención no es hacer un manual de cómo robar cuentas de iCloud o facebook… sino que dotarnos de más seguridad, me limitare a enseñar cómo identificar este tipo de correos.

 

¿Estamos protegidos?

Las grandes compañías como Microsoft invirtieron mucho dinero en filtros con inteligencia artificial para identificar estos tipos de correo, el filtro que usan se llama spf (Sender Policy Frameworkque clasifica los correos según las probabilidades que sean phishing o no.

Estas clasificaciones son la siguientes

  • + (PASS) se utiliza para un correo que no hay problema
  • ? (NEUTRAL) se utiliza cuando no hay política sobre que hacer con este mensaje
  • ~ (SOFTFAIL) es un mensaje que esta marcado pero que no se esta seguro sobre si es o no phishing
  • –  (FAIL) Es un correo que debe ser rechazado por ser phishing
  • (HARDFAIL) Es un correo que se sabe a ciencia cierta que es phishing y debe ser eliminado o puesto en “no deseado” sin lugar a dudas

 

Acabo de recibir un mensaje, ¿es de quien dice ser?

phishing_correo_a

La imagen de la izquierda es un ejemplo de un mensaje que un sujeto de pruebas ha recibido, es un correo de un banco llamado “La caixa” (@lacaixa.es) y si nos fijamos vemos que una url del banco es http://www.lacaixa.es/ y tiene un certificado SSL valido lo que nos lleva a pensar que esta web no sufre ningún tipo de phishing y a priori parece que el mensaje es valido.

Sin embargo vemos que cuando clicamos a ver el código fuente del mismo, nos muestra lo que vemos en la imagen de la derecha.

 

 

 

 

 

 

phishing_correoHemos visto como la politica SPF es hardfail por tanto no tenemos la menor duda que se trata de phishing  y también lo vemos en azul. La procedencia real es de una web tal que “bonunces.sharethis.com”.

Por tanto este mail ha sido clasificado en la carpeta de “no deseados”, en caso que no hubiese sido clasificado como tal, podría pasar que el usuario clicase en el link que había dentro y que podría llevar a una web maliciosa robándonos así las identidades de “la caixa”.

Es de vital importancia tener presente que en caso de que el sistema falle, es mejor estar aletra y no introducir los datos sin antes verificar la veracidad de la web a la que se nos ha llevado (ver parte 1 de esta serie de entradas).

Por último apuntar que el X-sender, Sender y Return-path pueden ser falseados pero el sistema SPF no es tan fácil de engañar ya que verifica que las DNS de donde dice venir coincida con la ip.