¿Qué es el Email Spoofing?
El Email Spoofing es una técnica por la cual los atacantes consiguen camuflar su dirección de correo electrónico de forma que la sustituyen por una legítima. Suplantando la identidad de una empresa o de un usuario real.
Un ejemplo real lo tenemos en la noticia sobre la suplantación de identidad en RRHH de nuestra propia web.
Hasta ahora se utilizaba principalmente para evitar filtros y propagar spam, pero veremos como hoy en día ya se está utilizando para otro tipo de ataques y engaños.
Para entender un poco como funciona el email spoofing, vamos a explicar brevemente como funcionan los servidores de correo actuales.
¿Cómo funciona un servidor de correo?
Los sistemas que gestión los correos electrónicos utilizan 3 protocolos principales para su funcionamiento:
- para el envío de correo contamos con el protocolo SMTP y
- para recibirlos tenemos IMAP o POP, dependiente de la configuración de nuestro servidor.
En nuestro caso, el que nos interesa es el SMTP que es donde se encuentra la vulnerabilidad que se aprovecha para realizar el email spoofing o suplantación de identidad.
¿Cómo se aprovechan del protocolo SMTP?
Este protocolo se basa en transacciones entre remitente y receptor. Emite secuencias de comandos. Suministrando los datos necesarios ordenados mediante un protocolo de control de transmisión de conexión (TCP).
En concreto, la que nos interesa es la que cuenta con tres secuencias de comando/respuesta y que está compuesta por: dirección de retorno o emisor (MAIL), dirección de destinatario (RCPT) y contenido del mensaje (DATA).
Estos datos generalmente son completados de manera automática por nuestro servidor de correo. En los cuales el usuario ya cuenta con una autenticación previa. Por tanto, no se exige ningún tipo de verificación de identidad de su uso. Esta falta de seguridad en los servidores de correo es bastante general y es aquí donde aprovecha la técnica del email spoofing para realizar su ataque.
¿Qué tipos de ataques son los más frecuentes mediante email spoofing?
Este tipo de ataque se denomina de ingeniería social. Se consigue transmitir al receptor una confianza falsa. Emula ser una organización o individuo que tenga algún tipo de relación con la víctima. Y que no sospeche que está siendo víctima de un ataque. Además, utilizando su dominio real se evita levantar sospechas de spam o phishing en los servidores de correo y evitar filtros o protecciones.
A continuación, analizamos los ataques más frecuentes por medio del email spoofing:
Ransomware y botnets
Aunque este tipo de ataque había bajado, durante el pasado año se ha vuelto a registrar una gran actividad de botnets y en los ataques de ransomware. Incluso, a grandes niveles y con gran impacto en sectores tan necesarios como el sanitario.
Estos ataques consisten en que crear una falsa confianza por medio del email spoofing. Para ello, ejecutamos un archivo adjunto en el correo electrónico y que infectará nuestro equipo. Bien para cifrar nuestros datos mas sensibles y solicitar un rescate para poder recuperarlos, en el caso de los ransomwares. O bien para convertir nuestro equipo en un “zombie”. Que pueda ser controlado por un equipo maestro de una red de bots, en el caso de las botnets. Y utilizarlo para enviar spam, seguir propagando malware, alojar otros malwares, robar nuestras contraseñas,…
El archivo que para lograr la infección por medio del email spoofing puede ser un adjunto en el propio correo o incluso una url o dirección de internet. Siempre se intentará dar a entender que es algo inofensivo.
Phising
De igual manera que con el ransomware, con el email spoofing se intenta en este tipo de ataque convencer a la víctima suplantando la identidad de alguna compañía.
De esta forma, introduce sus credenciales en una página cuyo enlace viene incluido en el cuerpo del mensaje, imitando la apariencia de la página legítima, y robarle sus datos e información.
En la mayoría de los casos, la víctima no será consciente del robo ya que una vez ingresas en la web maliciosa se te redirige a la legítima y parecerá que no ha sucedido nada.
Spam
Como última técnica que utiliza email spoofing, tenemos el conocidísimo spam o distribución de publicidad no deseada o contenido malicioso mediante envíos masivos.
Aunque este ataque tiene tantos años como el propio internet, los atacantes han ido evolucionando. Adaptándose y combinando el spam con distintas oportunidades, como las campañas masivas a nivel global de correos donde en el propio asunto aparecía una contraseña antigua utilizada en algún servicio de internet que había sufrido un robo de información.
Todos estos casos pueden ser evitados con formación a los usuarios y con un sistema de ciberseguridad o implantación de una ISO 27001. Si tiene alguna consulta no dude en ponerse en contacto con nosotros.