Un saludo a todos y gracias por seguir visitando este blog:
En un par de artículos anteriores he hablado de algunas amenazas informáticas que podemos recibir vía correo electrónico, esto puede llegar a nuestros correos personales o a correos empresariales, siendo claro, esto último más jugoso.
Otro tipo de amenaza que hemos recibido en los correos de la empresa es el email spoofing, este tipo de ataque consiste en suplantar la identidad de un usuario de correo electrónico genuino y entonces enviar correos electrónicos en su nombre (generalmente malware). Como el correo viene de un conocido nuestro muchas veces es mucho más probable que abramos ese correo que recibimos.
Sin embargo una modalidad que nos ha tocado vivir es recibir un correo electrónico similar al siguiente:
Fuente: My antispyware
A primera vista podemos pensar que se trata de un intento de estafa, sin embargo lo interesante es que el correo electrónico viene desde nuestra propia dirección. Analizando el correo recibido vemos que nos amenazan con haber público cierto contenido en nuestra Pc si no accedemos a dar un pago al extorsionador, pero, detengámonos un momento a analizar el mensaje.
Si deveras el extorsionador tuviera acceso a nuestra Pc y tuviera en su poder material nuestro si es creíble, pues nuestra computadora podría estar infectada con algún troyano, pero para ello TODO el tiempo debemos tener actualizado nuestro antivirus, estar haciendo revisiones periódicas del mismo para estar seguros de que no se nos ha instalado ningún bicho y por supuesto no estar abriendo alegremente todo adjunto que nos llegue a no ser que de verdad sepamos que estamos abriendo.
Así que antes de entrar en pánico debemos revisar nuestro equipo con un buen antivirus para asegurarnos que no hay nadie no autorizado con acceso a nuestra Pc. Si no hay nada de eso pensemos: ¿cómo puede enviarnos alguien un correo intentando extorsionarnos desde nuestra propia dirección si no tiene acceso a nuestro equipo?. En ese caso debemos estar seguros que nuestra contraseña para acceder al servicio de correo es fuerte y de ser posible (si usamos solo una versión web) de que no halla habido accesos no autorizados, para ello debemos ver siempre los registros históricos del mismo en el administrador del servicio de correo. Si no hay nada fuera de lo ordinario entonces solo quiere decir una cosa: ese correo no lo estamos enviando nosotros ni está saliendo de nuestro equipo.
Es aquí donde entra en juego el email spoofing. En realidad no es difícil enviar correos en nombre de alguien más, tan solo hagamos la prueba con la función mail de Php. Mirando la documentación de esta función veamos que se requiere para enviar un correo:
mail ( string $to , string $subject , string $message , string $additional_headers = ? , string $additional_parameters = ? ) : bool
- to: Destinatario/s del correo.
- subject: Título del correo electrónico a enviar.
- message: Mensaje a enviar.
- additional_headers: cabeceras para el correo a enviar.
Y aquí es donde viene lo interesante: si en el parámetro to ponemos cualquier dirección de correo electrónico, entonces recibiremos un correo desde supuestamente esa dirección y si no tenemos cuidado de verdad podemos creer que esa persona nos lo envió. O en este caso "nosotros mismos" pues el correo lo recibimos desde nuestra propia dirección de correo electrónico y así el atacante se escuda para no revelar sus datos.
De momento no tengo ningún correo de ese tipo ya que los borramos cuando llegaron, solo me quedé con la dirección de la billetera en Bitcoins donde exigían el pago (misma que agregamos a la lista de palabras no permitidas en la recepción de correos) y que es la misma en la imagen que acompaña a este correo. Sin embargo si recibimos un correo así recomiendo abrir los encabezados del correo recibido y analizarlos con cuidado, veremos que la cabecera smtp.mailfrom contiene la dirección real del servidor desde donde fue enviada, si no coincide con la dirección del remitente (en este caso nuestro proveedor de correo electrónico) entonces el correo es falso. Alguien esta enviando ese correo en nuestro nombre.
Afortunadamente muchos filtros de correo (sobretodo en web) descartan estos correos enviándolos directamente a la bandeja de spam pues no pasan la inspección y otras mas para determinar que se trata de correos genuinos. En Outlook por desgracia no es tan sencillo, se recomienda tener siempre versiones actualizadas del Office ya que es más probable que cuente con filtros más capaces, además de ofrecer actualizaciones regulares que resuelvan ese problema y otros más, contra versiones mucho más antiguas que podrían ya no tener ningún soporte y por ende seguir vulnerables a este tipo de estafas.
Por cierto, si analizamos la historia de la dirección de Bitcoins en cuestión (1CwTNBNekpV7kDQ7pjF1ghsgqb1CaMq34k) vemos que ha recibido 5 depósitos por un total de 0.26525896 BTC, por un valor de 14,991.01 USD de acuerdo con la web blockchain.com al momento de redactar este artículo, no sabemos si son pagos de las víctimas o no, pero si es así entonces el negocio es muy lucrativo.
Conclusiones
No debemos acceder a este tipo de estafas pues como vemos parece ser que el negocio si deja. Si somos empleados en una empresa debemos contactar en primer lugar a nuestro personal de sistemas para que analicen el problema, y si es en un correo personal tampoco acceder a este tipo de estafas, no hagamos caso de este tipo de correos y si no pertenece a ninguno de nuestros contactos mejor bloquearlas.