¿Cómo evitar correos electrónicos donde el remitente ha sido falsificado? [cerrado]

  

1. ¿Hay alguna manera de evitar esto?
  

Sí y no. No puedes evitar que el correo electrónico sea falso. Pero puede usar correos electrónicos firmados por , y puede aconsejar al personal de TI que comience a usar DKIM o similar, para evitar que tales correos electrónicos sean aceptados. Después de eso:

• un correo electrónico no firmado o no firmado por DKIM se considerará una falsificación y se rechazará.
• los usuarios deberán enviar correos electrónicos a través de los servidores de la organización y / o firmarlos digitalmente con su clave privada.
• los usuarios solo tendrán que revisar el correo electrónico de la compañía a través del servidor de la compañía (no simplemente reenviar a las cuentas de GMail convenientes que se puedan leer desde el teléfono celular. Aún puede hacer eso, por supuesto; se vuelve más complicado).

  

2. ¿Hay alguna forma de informar esto dado que proviene de las grandes redes internas?
  

En realidad no. Puede intentar verificar los encabezados e informarlos a la oficina de abuso apropiada (es decir, la del dominio de origen). La mayoría de estos correos electrónicos provienen de sistemas individuales zombis (tal vez operando en grupos, denominados bot nets ) y / o dominios y organizaciones que no responden o son amigables con los falsificadores y los spammers. . En realidad, hay listas de redes de "pastos prometedores" que circulan que permiten a los abusadores encontrar nuevas víctimas.

  

3. ¿Qué precauciones de seguridad (aparte de consultar los correos electrónicos cuidadosamente antes de responder) puedo asesorar a las finanzas y otros equipos?
  

Otras personas (el equipo de TI) deben implementar las precauciones que se pueden tomar y la infraestructura necesaria (por ejemplo, si muchos empleados necesitan enviar correos electrónicos mientras se desplazan, es posible que deban estar equipados con el software VPN para que pueden usar la infraestructura de la organización de forma segura incluso en lugares inseguros, como un cibercafé en algún lugar). Las otras personas no deberían hacer nada, excepto, como sugirió, revisar cuidadosamente; y, por supuesto, usar adecuadamente cualquier infraestructura con la que hayan sido equipados.

Entonces, por ejemplo, si tiene un servidor de correo seguro, tiene que pasar por la molestia de encender la conexión VPN, autenticar y enviar el correo electrónico, en lugar de simplemente disparar un correo electrónico de la cadera de alguna habitación de hotel sin conexión WiFi.

Eso es particularmente importante para los individuos "pesados" que, según mi experiencia, a menudo se ven tentados a considerarse por encima de la ley, e insistirán en que se lean sus correos electrónicos y actúen de inmediato de acuerdo con la fuente, ya que "no tienen la tiempo "de saltar a través de los diversos aros de TI (hasta cierto punto: la infraestructura de seguridad debe ser lo más fácil de usar posible, o se verá como una carga, se trabajará de manera rutinaria alrededor, y por lo tanto inútil).

Una cosa a considerar cuidadosamente es cómo los diferentes usuarios se conectan ahora a la infraestructura de la organización. Los empleados internos son obviamente los más fáciles. Pero algunos sistemas operativos y teléfonos celulares, por ejemplo, no pueden usar ciertas medidas de seguridad. Por lo tanto, sustituye esos dispositivos, prescinde de esas medidas o renuncia a que algunos usuarios se desconecten de la red en determinadas circunstancias.

Si no queda más remedio, es posible que deba establecer algún procedimiento de emergencia si el CEO se encuentra realmente atrapado en Elbonia sin equipaje, sin documentos, y necesita dinero para ser enviado para atrapar a un Vuelo de regreso a casa.

Primero, las reglas básicas relativas a los encabezados de correo electrónico: cualquier encabezado único puede ser falsificado, pero no todos pueden ser falsificados al mismo tiempo.

Eso significa que la detección de un correo electrónico falsificado es bastante fácil para un ser humano con cierto conocimiento sobre SMTP y los correos electrónicos esperados, pero diseñar un algoritmo para permitir la detección automática es casi imposible. Lo que es fácil es calificar un riesgo para que un correo sea falsificado, pero tendrá que equilibrar entre falso positivo y no detección.

Para mi correo personal, no sería muy importante si rechazara un correo de un amigo porque si parecía sospechoso. Terminará en algo como no contestaste mi último mensaje - ¿qué mensaje? - aquí está lo que he enviado - tonto, fue capturado por mi filtro anti-spam - estúpido, ¡no soy un spammer! - ok, el filtro era demasiado estricto, te debo una cerveza ... No hay alto riesgo aquí. Sin embargo, para una empresa comercial, el rechazo automático de un correo puede tener graves consecuencias si un cliente legítimo envía inadvertidamente un correo sospechoso .

Un uso común en ese caso es configurar un sistema de detección de correo sospechoso . Simplemente, los correos sospechosos no deben rechazarse, pero su encabezado de asunto debe ir precedido por una advertencia como [-*-*- SPAM -*-*-] . De esa manera, el destinatario aún recibe el correo, pero se le advierte que algo podría estar mal. Así que, con el tiempo, puede preguntarle al supuesto remitente si realmente lo ha enviado o pedir ayuda al equipo de soporte de TI. Por supuesto, esto supone que la empresa tiene un servidor de correo interno que es común para las organizaciones grandes, pero no para las más pequeñas. En ese último caso, solo puede confiar en el filtro configurado por el proveedor de correo.