La suplantación de identidad por correo electrónico utiliza el spam y el phishing como una forma de engañar a las personas para que piensen que un mensaje proviene de alguien o una empresa que conocen y en la que pueden confiar. El atacante falsifica encabezados de correo electrónico en ataques de suplantación de identidad para que el software del cliente muestre la dirección del remitente falsa, que la mayoría de los usuarios cree que es una fuente legítima. Los usuarios no notarán el remitente falsificado en un mensaje hasta que examinen al remitente más detenidamente. Es más probable que confíen en un nombre o en el nombre de una empresa con la que estén familiarizados y, como resultado, harán clic en sitios fraudulentos, abrirán archivos adjuntos de virus, enviarán información personal e incluso transferirán dinero. El software antimalware y los servidores de destinatarios pueden ayudar a detectar y filtrar mensajes fraudulentos.
Qué buscar en un correo electrónico sospechoso de fraude:
- Remitentes falsos o poco comunes, por ejemplo:
- “Billy Smith” [email protected] (dirección real)
- “Billy Smith” [email protected] (dirección falsa)
- Identifique que la dirección de correo electrónico "De" coincida con el nombre para mostrar.
- Si la dirección de respuesta no coincide con el remitente o el sitio que afirma representar, lo más probable es que el correo electrónico sea fraudulento.
Cosas para tener en cuenta cuando recibe un correo electrónico sospechoso:
- Pregúntese:
- ¿Estaba esperando este mensaje?
- ¿Tiene sentido este correo electrónico?
- ¿Me están empujando a actuar rápidamente?
- Examine el correo electrónico y busque:
- Sentido de urgencia
- Solicitud no solicitada de información personal
- Saludo/firma genéricos
- Enlaces o archivos adjuntos desconocidos
- Póngase en contacto con el remitente del mensaje a través de un canal de confianza
- Si el correo electrónico parece legítimo, pero sigue pareciendo sospechoso, lo mejor es ponerse en contacto con el supuesto remitente a través de un número de teléfono de confianza o abrir un nuevo mensaje de correo electrónico saliente con su dirección de correo electrónico real que se encuentra en la libreta de direcciones. No responda al mensaje en cuestión.
Cómo funciona la suplantación de correo electrónico
Muchos consumidores no revisan los encabezados antes de conectarse con el remitente de un correo electrónico, a pesar de que revelan la ruta y el remitente genuinos. Los tres componentes principales de un correo electrónico son:
- La dirección del remitente
- La dirección del destinatario
- El cuerpo del correo electrónico
- El campo Responder a es otro componente que se explota con frecuencia en el phishing. El remitente puede personalizar potencialmente este campo y utilizarlo en ataques de phishing. La dirección Responder a, que puede diferir de la dirección del remitente, indica al software de correo electrónico del cliente dónde enviar una respuesta. Los servidores de correo electrónico y el protocolo SMTP, una vez más, no verifican si este correo electrónico es genuino o falso. Depende del usuario darse cuenta de que la respuesta se envía a la persona incorrecta. Un ejemplo de un correo electrónico falsificado es el siguiente:
Reconocer un mensaje falso
Los estafadores cambian diferentes partes de un correo electrónico para que parezca que la comunicación fue enviada por alguien que no es el destinatario previsto. Debe leer los encabezados de correo electrónico de un mensaje falso sospechoso para ver los atributos que se enumeran a continuación. Algunos casos de propiedades falsificadas son los siguientes:
- DE: Esto parece provenir de una fuente legítima en un mensaje falsificado.
- RESPONDER A: Esto también puede falsificarse, pero un estafador perezoso podría dejar la dirección RESPONDER A real. Si ve una dirección de envío diferente aquí, podría ser un correo electrónico falsificado.
- RUTA DE RETORNO: Esto también puede falsificarse, pero un estafador perezoso podría dejar la dirección RETURN-PATH real. Si ve una dirección de envío diferente aquí, podría ser un correo electrónico falsificado.
- Dirección IP ORIGEN o dirección "X-ORIGIN": Esto suele ser más difícil de modificar, pero es posible.
Los primeros tres atributos pueden ser cambiados por un falsificador usando la configuración de Microsoft Outlook, Gmail, Hotmail u otras aplicaciones de correo electrónico. También pueden cambiar la cuarta característica, la dirección IP, aunque una dirección IP falsa requiere un mayor conocimiento del usuario para ser creíble.
El fraude del director ejecutivo, también conocido como compromiso del correo electrónico corporativo, es un ataque frecuente de suplantación de identidad por correo electrónico (BEC). En BEC, el atacante se hace pasar por un ejecutivo o propietario corporativo falsificando la dirección de correo electrónico del remitente. Un empleado de los departamentos financiero, contable o de cuentas por pagar suele ser el objetivo de este ataque. Cuando una solicitud proviene de alguien en quien confían, especialmente una figura de autoridad, incluso los empleados más inteligentes y con las mejores intenciones pueden ser engañados para que envíen dinero.
Cómo protegerse de la suplantación de correo electrónico
Incluso con la protección del correo electrónico implementada, algunos mensajes de correo electrónico dañinos logran llegar a las bandejas de entrada de los usuarios. Hay numerosas acciones que puede tomar para evitar convertirse en víctima de un fraude por correo electrónico, ya sea que tome decisiones financieras o alguien que usa el correo electrónico personal en el trabajo:
- Nunca haga clic en un enlace para ir a un sitio web que requiera autenticación. Ingrese siempre el dominio oficial en su navegador y autentíquese allí.
- Debido a que los pasos para ver los encabezados de correo electrónico varían según el cliente de correo electrónico, busque primero cómo ver los encabezados de correo electrónico para su programa de buzón. Luego, abra los encabezados de los correos electrónicos y busque una respuesta PASA o FALLA en la parte Recibido-SPF de los encabezados.
- Utilice un motor de búsqueda para copiar y pegar el contenido de un mensaje de correo electrónico. Es casi seguro que el texto utilizado en un ataque típico de phishing ya ha sido divulgado y publicado en Internet.
- Deben evitarse los correos electrónicos que pretenden ser de una fuente oficial pero que tienen mala ortografía o lenguaje.
- No abra archivos adjuntos de remitentes desconocidos o dudosos.
- Los correos electrónicos que ofrecen grandes sumas de dinero o cualquier otra cosa que suene demasiado bueno para ser verdad casi siempre son una estafa.
- Tenga cuidado con los correos electrónicos que transmiten una sensación de fatalidad o peligro inminente. El phishing y BEC intentan eludir el escepticismo inherente de los receptores al insinuar que sucederá algo horrible si no actúan con prontitud. Si la alerta advierte sobre próximos cierres de cuenta, fallas de pago programadas o comportamiento cuestionable en una de sus cuentas financieras, proceda con precaución. En lugar de hacer clic en el enlace del correo electrónico, vaya al sitio web directamente a través de su navegador.
Combate la suplantación de identidad
La primera línea de protección contra este tipo de ataques es la educación del usuario. Si recibe una comunicación falsa, debe seguir estos pasos:
- Incluya en la lista de bloqueo cualquier dirección de correo electrónico o dirección IP falsa que figure en los campos REPLY-TO, RETURN-PATH o SOURCE IP. Las direcciones, los dominios y las direcciones IP de la lista de bloqueo en Rackspace Email tienen instrucciones.
- Si usted o sus usuarios proporcionaron esa información en algún momento, cambie la contraseña de su cuenta de correo electrónico de inmediato.
- Infórmele al resto de su empresa acerca de la circunstancia. Debido a que no puede dejar de suplantar, es quizás la forma de abuso más agravante con la que lidiar. La suplantación de identidad es similar a redactar un montón de cartas y firmarlas con el nombre de otra persona. Puede imaginar lo difícil que sería rastrear esa información.
La implementación de registros SPF, DKIM y DMARC en ese orden es el movimiento más importante que puede realizar como administrador. Estos son registros DNS que ofrecen niveles adicionales de protección a su nombre de dominio para evitar que se envíen correos electrónicos fraudulentos.
- Marco de políticas del remitente (SPF) Los registros ayudan a los servidores de correo de los destinatarios a detectar el uso ilegítimo del dominio, como las falsificaciones (spoofing). Primero, cree una política de registro SPF. Nota:si envía correo electrónico en nombre de su dominio desde otros proveedores, asegúrese de incluir sus servidores de envío en el mismo registro SPF. No haga más de un registro SPF.
- Correo identificado con claves de dominio (DKIM) Los registros otorgan al correo enviado desde su dominio una firma digital, lo que indica que es correo permitido. Consulte Habilitar DKIM en el panel de control de Cloud Office para obtener detalles sobre cómo habilitar DKIM para su correo electrónico de Rackspace Cloud Office. El proceso continúa con la creación de un registro DKIM.
- DMARC (informes y cumplimiento de autenticación de mensajes de dominio) los registros informan a los servidores de correo del destinatario que los mensajes transmitidos desde ese dominio siguen los estándares DKIM y SPF. Luego, el servidor de correo del destinatario utiliza sus políticas DKIM y SPF para validar el mensaje que envió. Puede aplicar registros DKIM y SPF creando una política de registros DMARC. Esta es la etapa final del procedimiento. El uso de políticas de registro salvaguarda la integridad de los correos electrónicos internos, así como la reputación externa de su dominio. Debe seguir cuidadosamente un enfoque de varios pasos para implementar esta protección. Cree una política DMARC para obtener más detalles.
Use la pestaña Comentarios para hacer cualquier comentario o hacer preguntas. También puede iniciar una conversación con nosotros.