#MundoHacker: Suplantación de identidad en correos (Email Spoofing)

inbox xploit

Soy muy pesado con el tema de la suplantación de identidad, pero es que en serio, es de las peores cosas que nos pueden hacer.

Y tenemos ejemplos para aburrir. Desde extorsiones, pasando por fraudes, hackeos de la más diversa índole, hasta la pérdida de nuestro trabajo y amistades. Una suplantación de identidad nos puede joder la vida hasta un punto que es difícilmente considerable a priori.

De ahí que repita una y otra vez la importancia de (primero) conocer los riesgos a los que nos enfrentamos y (segundo) establecer una presencia digital lo suficientemente bien estructurada como para que, en la medida de lo posible, al ser víctima de una de estas suplantaciones, las acciones llevadas por el criminal no tengan tanto impacto.

Y dentro de esa estrategia de presencia digital para muchos profesionales, entre los que me incluyo, el correo electrónico es una pieza fundamental. Con ella me comunico con mis clientes, con mis amigos, con los miembros de la Comunidad, y hasta con algunos familiares.

Lo que salga de mi cuenta de correo es, para el grueso de la sociedad, mi palabra. Por ello, conviene conocer cómo funcionan las técnicas de email spoofing, y qué podemos hacer para minimizar su impacto.

Empecemos.

Un breve repaso al email spoofing

No voy a pararme mucho en esto ya que probablemente la mayoría ya sabéis de qué va. Existen muchos tipos de spoofing, y todos se basan en la usurpación de la identidad:

  • IP Spoofing: aparentar que tenemos otra IP distinta a la nuestra.
  • DNS Spoofing: modificar la biblioteca DNS para redirigir a la víctima a páginas presumiblemente maliciosas cuando intenta entrar en páginas legítimas.
  • Web Spoofing: Lo mismo que lo anterior pero dirigido a todos los visitantes de una página o páginas en particular.
  • ….

El Email Spoofing no es más que el conjunto de técnicas utilizadas para hacerse pasar por otro remitente en un correo electrónico.

Lo que vería el receptor del mensaje sería un email enviado por Pepito, cuando realmente quien lo ha enviado es Manganito. Y, como cabría esperar, suele ser utilizado con fines maquiavélicos.

Phishing, ingeniería social y el impacto del spoofing

Sin embargo, la mayoría de ataques de phishing recurren a estrategias de ofuscación, como puede ser la ya clásica de utilizar subdominios (un correo haciéndose pasar por @google.com enviado desde un @google.payment52.com)el uso de correos homográficamente parecidos (en vez de @goοgle.com, utilizar @google.com, que aunque parezcan iguales en el segundo caso he utilizado un código Unicode no recogido en nuestro abecedario, pero sí disponible en Internet) o con errores de typosquatting que pasan desapercibidos (un correo @google.com lanzado desde otro correo @googel.com, por ejemplo), sencilla y llanamente porque el grueso de la sociedad ni siquiera se suele fijar en esto, y claramente, son mucho más sencillos de ejecutar.

Pero posible es, y la principal ventaja es que ya no solo bypasea la mayoría de controles que tenga habilitados nuestra herramienta de correo (es muy probable que el servicio de email que usted utiliza hubiera marcado como potencialmente peligroso los tres ejemplos superiores, quizás enviándolos directamente a la carpeta de Spam y minimizando así el éxito de la campaña), e incluso podría engañar a gente que está preparada para identificar fraudes digitales, como puede ser mi caso o el de muchas personalidades con una exposición mediática considerable.

Cualquiera, a poco que sepa un poco de programación (para más información échele un ojo a cómo funciona el protocolo SMTP (ES), que es el que habitualmente se utiliza para el envío de correos), puede crearse una herramienta para enviar masivamente correo desde la dirección que le de la gana. El problema, no obstante, es que la mayoría de nombres de dominios “importantes” (es probable que por defecto el dominio que ha contratado para su web venga abierto a cualquiera) han sido definidos a nivel de configuración de servidor de manera que no certifican que un correo enviado desde fuera es, en verdad, un correo legítimo. Y como cada vez más herramientas de lectura de correo tienen en cuenta éste tipo de cuestiones, estaríamos en el mismo supuesto que antes (el correo llega a la carpeta Spam de la víctima, o marcado como potencialmente peligroso).

mailspoofing spf

SPF, DKIM y DMARC

Es aquí donde entran en juego esta serie de protocolos:

  • El SPF se encarga de identificar el correo ya no solo por quien dice ser (pepito@soyreal.com), sino por la IP desde dónde se envía y por medio de los registros del DNS, que deben coincidir con los servidores de correo SMTP autorizados a realizar ese envío.
  • El DKIM se encarga de asociar un nombre de dominio a un mensaje, lo que nos permite responsabilizar del envío a una persona u organización.
  • Por último, DMARC (que más que un protocolo es una política) indica que los correos electrónicos enviados desde ese dominio están protegidos por SPF y/o DKIM, dando a las herramientas de correo una serie de instrucciones en caso de que alguno de ellos no sea validado (por ejemplo, que se marque como Spam).

Teniendo estos tres elementos bien configurados estamos ofreciendo al receptor la capacidad de discernir si en efecto un correo que le llega a la bandeja de entrada es o no legítimo. Son parches que hemos tenido que ir aplicando encima del protocolo SMTP ya que como ocurriera con el HTTP, en su creación inicial no se tuvo en cuenta los posibles usos malintencionados de la actualidad (todos los que utilizaban al principio SMTP eran usuarios académicos).

Por estos lares ya he explicado en profundidad cómo funcionan estos tres elementos, así como la manera que tenemos de configurarlos, así que no voy a repetirme. Solo recordar que aunque configuremos el SPF, el DKIM y la política DMARC de nuestro correo correctamente, todavía dependemos de un cuarto elemento que para colmo es ajeno a nuestro control: la herramienta de correo utilizada por el receptor.

El miembro débil de la cadena: el usuario

Aquí es donde viene la chicha, y es que aunque nosotros hayamos hecho los deberes, dependiendo del proveedor de correo utilizado el receptor, todavía es posible realizar ataques de email spoofing.

Lo demostraba, de hecho, hace apenas unos días Sabri Haddouche, un investigador de seguridad, mediante MailSploit (EN). Alrededor de 30 plataformas de correo son vulnerables a este tipo de ataque. Entre las afectadas, Yahoo Mail, Apple Mail, ProtonMail, Thunderbird, AquaMail, TypeApp… Por aquí, la lista completa (EN/EXC) y el vídeo del ataque en acción, donde se hace pasar por nada más y nada menos que la cuenta oficial de Donald Trump:

Ver en Youtube (EN)

La técnica se basa en inyectar código en los headers de los correos que se encarga de engañar a los filtros anti-spoofing, con la siguiente configuración:

potus spoofing

Un ejemplo más de cómo aún cuando hayamos tomado las medidas de seguridad oportunas (y créame que el dominio de la Casa Blanca seguramente lo ha hecho más que bien), todavía hay margen de maniobra para causar daño.

En todo caso, no le pongamos fácil las cosas a los malos.

 

________

Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias