¿Cómo detectar y prevenir correos electrónicos falsos?

Navega tus respuestas
3

Espero que esta pregunta no sea la misma que esta: E- ¿Se puede hacer que el correo aparezca como si proviniera de una gran organización?

No pregunto cómo proteger marcas y grandes organizaciones (Google, Yahoo, etc.), sino cómo pueden protegerse los usuarios normales.

Por lo que sé, hay gusanos que pueden obtener las libretas de direcciones de un correo electrónico, y hay bibliotecas de programación que permiten a los usuarios crear paquetes.

Al usar ambos (robar la dirección y crear un paquete de correo electrónico y enviarlo al servidor correcto), un pirata informático malintencionado debería poder enviar a la víctima un correo electrónico que parecerá provenir de uno de sus amigos (que solicita dinero por ejemplo).

Además de la forma típica (llamando a la que el pirata informático decía que era), ¿hay una forma técnica de detectar esos mensajes falsos?

    
pregunta HSN 14.03.2013 - 02:56
fuente

3 respuestas

5

Su descripción no es muy precisa, pero el resultado es el mismo: los mensajes de correo electrónico que parecen lo suficientemente auténticos como para engañar a los destinatarios pueden ser enviados . Tenga en cuenta que una forma común para que esto ocurra es que el atacante en realidad obtener acceso al servicio de correo electrónico de los remitentes , por lo que el correo electrónico falso sería idéntico a un correo electrónico real en todos los aspectos, excepto por la persona que lo compone.

Estoy bastante seguro de que no hay una forma confiable de detectar tales mensajes. Sin duda, puede aplicar una batería de mediciones para tener en cuenta la frecuencia del correo electrónico, el uso del idioma y otras variables, pero no conozco nada lo suficientemente bueno como para ponerlo en uso generalizado. Además, si alguien hubiera creado tal sistema, ya lo habrían lanzado y disfrutado de sus cientos de millones de dólares en ganancias.

La opción más confiable es que el destinatario interrogue al remitente a través de un canal diferente si se recibe un mensaje sospechoso o inusual.

Ejemplo 1: Recibo un correo electrónico de mi amigo [email protected] solicitando dinero. Sospechoso, le escribo un mensaje de texto y ella responde que el correo electrónico es auténtico.

Ejemplo 2: Recibo un correo electrónico de [email protected] solicitando los detalles de la tarjeta de crédito para entregar un paquete que incurrió en costos adicionales. Busco el número de teléfono de mi oficina local de FedEx y les pregunto, y me responden que no hay paquetes para enviar a mi dirección.

    
respondido por el scuzzy-delta 14.03.2013 - 04:03
fuente
4

Por ejemplo, si recibe un mensaje de [email protected]. Hay formas en las que un atacante puede falsificar esa dirección y en su bandeja de entrada el mensaje parece provenir de [email protected]. Ahora hay al menos 2 posibilidades.

1.El atacante ha utilizado un servicio malicioso para hacer que un correo electrónico parezca provenir de [email protected]

2.El atacante ha obtenido acceso a la cuenta de tu amigo y te ha enviado un correo electrónico.

En el primer caso, puedes averiguar si el correo proviene realmente de un servidor de Google, obteniendo el encabezado smtp (Mostrar original en gmail) y luego usando algo como enlace . Puede pegar el encabezado del correo electrónico allí y luego averiguar si el correo electrónico realmente se originó en un servidor de Google o en un servidor malicioso que permite falsificar la dirección. que se ven auténticos.

    
respondido por el aRun 14.03.2013 - 06:29
fuente
2

He explicado esto en mi respuesta aquí .

Básicamente, usted mira los encabezados (debería haber alguna opción "ver original" en su proveedor de correo electrónico. Para GMail es "mostrar mensaje original" debajo de la flecha de respuesta). Específicamente, los encabezados Received: del tipo Received: from abc.com (IP address) by def.com (IP) . Estos encabezados están escritos por el servidor by , cuando reciben su correo electrónico del servidor from .

Supongamos que usas GMail 1 . Los encabezados Received: más bajos tienen la forma from something.google.com (IP) by somethingelse.google.com (IP) . Estos serán correctos. Si desea estar seguro, realice una búsqueda DNS inversa en las IP y asegúrese de que coincidan con el dominio dado.

Está bien. Ahora, en un momento dado, mientras sube la lista de encabezados, encontrará un encabezado con el formato from abc.com (IP) by something.google.com . Puedes confiar en este encabezado también. Ahora, compruebe si el from de este encabezado coincide con el by del anterior (verifique también los DNS inversos). Además, verifique si realmente confía en el servidor en el from de este encabezado. Si el servidor es algo así como nigerianprince.x123.cscabgvj.ng (básicamente el nombre de dominio de segundo nivel no es confiable), es probable que no sea confiable y que el resto de los encabezados anteriores puedan haber sido suplantados. Si no es así, suba un encabezado y repita hasta que llegue al último. Si logra llegar al último sin problemas de confianza, el correo electrónico proviene de donde afirma.

1 Tenga en cuenta que para la mayoría de los principales proveedores de correo electrónico, GMail puede saber si el correo electrónico está falsificado y mostrará un mensaje "From [email protected] via apple.com" o algo así cuando el correo electrónico no venga de donde pretende hacerlo. Tenga en cuenta que esto tiene usos legítimos en la lista de correo, así que no desconfíe automáticamente de todos los correos electrónicos que tengan una vía en ellos. (Desconfíe de ellos si desconfía del dominio "vía")

    
respondido por el Manishearth 14.03.2013 - 09:55
fuente

Lea otras preguntas en las etiquetas

¿Qué hacer cuando se atasca GSM / Wifi y se cortan los cables de Ethernet? IPS fail close vs IPS fail open, ¿cuáles son los riesgos y beneficios?