¿Hay alguna forma definitiva de saber si un correo electrónico es un intento de phishing? ¿Qué señales debe emplear el usuario de "computadora promedio" para detectar un correo electrónico de phishing?
Hay varias formas técnicas y no técnicas con las que alguien puede identificar un intento de phishing.
Desplazándose sobre los enlaces : los enlaces de phishing normalmente se "confundirán" para que parezcan estar vinculados a una página de inicio de sesión. Por ejemplo, el texto puede ser enlace , sin embargo, cuando se desplaza sobre el enlace, se observa que es un nombre de dominio largo y detallado. Phishing revelador.
EDITAR: Como Mehrdad y Bacon Brad han señalado, este método puede proporcionar resultados mixtos. Los enlaces se pueden usar en una variedad de ataques, como los ataques CSRF / XSS, y el enlace proporcionado también puede llevar a un tercero autorizado.
Encabezados de correo electrónico : quizás una de las formas más inteligentes de saber si un correo electrónico es legítimo es mirar el Encabezados de correo electrónico . Los correos electrónicos contienen metadatos que indican desde dónde se originaron los correos electrónicos. Por lo general, puede ver al encabezado del correo electrónico si un correo electrónico se originó en una fuente autenticada con estos encabezados. Tenga en cuenta que esto es no infalible, ya que muchas organizaciones pueden subcontratar campañas de correo electrónico, pero el correo electrónico proveniente de una dirección IP privada podría indicar un correo electrónico de phishing.
En mi experiencia, no hay una única bala de plata en el tratamiento del phishing. Durante las pruebas de penetración, spear phishing siempre funciona. La información anterior lo ayudará a detectar intentos de phishing, pero la forma más sencilla y eficiente de confirmar o rechazar un intento de phishing es llamar al "remitente" para confirmar si es legítimo.
¿Le pide que haga algo que no debe hacer sin autenticar la identidad de la parte que le está pidiendo que lo haga? (¡Tenga en cuenta que "ingresar una contraseña" es una acción de este tipo!) Si es así, puede tratarla como un "phishing" independientemente de los motivos del remitente, ya que el correo electrónico no está autenticado y, por lo tanto, no es un medio adecuado para solicitando una acción privilegiada.
No hay una manera perfecta de identificar correos electrónicos de suplantación de identidad (phishing), en el sentido de un procedimiento que siempre le indica con éxito, para cualquier correo electrónico, quién lo envió y por qué. En la práctica, una gran mayoría de los correos electrónicos de suplantación de identidad (phishing) reales se identifican con bastante facilidad como tales, porque son en su mayoría bastante a medias. Algunos de ellos ni siquiera llegan a su bandeja de entrada, porque son tan descaradamente falsos que incluso el filtro de su proveedor de correo electrónico los ha detectado. Pero no hay un conjunto "definitivo" de características del correo electrónico que se puedan verificar cada vez.
En lugar de intentar determinar si los correos electrónicos son intentos de phishing o no, debe evitar realizar cualquier acción que se base en su corrección sobre si el correo electrónico que recibió es un intento de phishing o no. De esa manera, no es necesario que sepas la diferencia.
Por ejemplo, incluso si el correo electrónico que acaba de recibir proviene realmente de su banco, no haga clic en los enlaces y luego ingrese sus datos de inicio de sesión. En su lugar, vaya al sitio de su banco escribiendo una URL que recuerde o usando un marcador. Luego, inicie sesión y luego busque una manera de navegar a donde el correo electrónico le indicó que vaya. Como último recurso debido a que el sitio de su banco es horrible, después de iniciar sesión, puede utilizar el enlace en el correo electrónico, pero no vuelva a iniciar sesión en su destino o renunciar a cualquier otra información confidencial. Pero tenga en cuenta que existen ataques distintos al phishing , a los que podría exponerse simplemente visitando una página maliciosa y sin entregar información confidencial.
Esto funciona para los intentos habituales de phishing de finanzas / compras. Desafortunadamente hay casos en los que no es práctico. Supongamos que es un experto en la caza de ángulos, que quizás esté trabajando para su competidor, cometa en un dominio similar al dominio de su empleador, y envíe un correo electrónico que parece ser de su jefe, usando su pie de página de correo electrónico real, diciendo "¿a qué precio vamos? a citar en el lanzamiento de Jenkins? ". No es realista que cada vez que responda a un correo electrónico de la empresa (docenas de veces al día), tendrá que entrecerrar los ojos en la dirección a la que está enviando, para asegurarse de que sea realmente youremployer.com y no youremp1oyer.com o yourempIoyer. com o (heaven forfend) youremploуer.com [*]. Su cliente de correo electrónico puede o no ayudarle, en términos de indicar visualmente si una dirección de correo electrónico ya está en su directorio personal o directorio de la empresa.
La diferencia es que su empleador, por cualquier motivo, ha decidido que utilizará el correo electrónico como medio para comunicar información confidencial. Su banco, por otro lado, ha tomado una decisión diferente. El canal adecuado para la comunicación confidencial con y desde su banco es su sitio web, una aplicación de teléfono, o quizás por teléfono (aunque no confíe en las llamadas supuestamente de su banco), o por correo postal para ciertas cosas, o en persona. Así que no confíe en el correo electrónico que es o parece ser de su banco. Ni siquiera confíe en él para enlazar con el sitio de su banco. En su lugar, considérelo como un mensaje para utilizar un canal en el que pueda confiar.
[*] El primero es fácil: dígito 1 para minúscula L. El segundo es un poco más difícil en muchas fuentes: mayúscula I para minúscula L. El tercero sustituye a una letra cirílica Y minúscula para la Y romana minúscula. Si su correo el cliente se lo entrega, es probable que no pueda notar la diferencia por apariencia.
Si bien muchos de los correos de phishing son obvios, no hay una forma definitiva de detectar el phishing más inteligente. Y parece que la cantidad de phishing inteligente está aumentando.
Existen técnicas que pueden ayudar a averiguar si el remitente es el que reclama, es decir, firmas digitales, DMARC (que incluye DKIM + SPF), etc. Pero estas deben emplearse en el sitio del remitente y verificarse en el sitio. sitio del destinatario - y ambos faltan en muchos casos o se hacen (innecesariamente) complejos.
Si el correo dice ser de un remitente que ya sabe, puede comparar los correos que recibió anteriormente para una variedad de características, como la misma dirección de correo electrónico del remitente, la misma ruta de transporte (encabezado recibido en el correo) , mismo cliente de correo ... Muchas de estas funciones solo están visibles en el código fuente del correo y muchas de ellas requieren experiencia para extraerlas y compararlas, por lo que los usuarios promedio no podrán hacerlo (aparte de la falta de tiempo y motivación) en la mayoría de los casos).
Recomiendo echar un vistazo a una charla reciente sobre este tema en la última conferencia de Blackhat: Ictiología: Phishing como una ciencia .
Sí, hay formas de aumentar considerablemente la detección. Pero cualquiera de ellos es vencido por los phishers.
Received:
headers: simplemente necesitan descifrar cualquier cuadro en cualquier lugar dentro de Wells Fargo, que puede acceder a cualquier servidor SMTP oficial. Lo siento. No puedes distinguirlos. Convencerte de que puedes es la forma más segura de quedar ciego. Para tener éxito, debes hacerlo bien cada vez . Solo necesitan tener suerte una vez.
Hacerlo bien todas las veces no vale la pena el esfuerzo cuando hay una alternativa fácil.
Nunca hago clic en enlaces en correos electrónicos de bancos. Este es un hábito largo. ** Trato los correos electrónicos del banco solo como un cosquilleo para tal vez ir a revisar mi cuenta en una aplicación diferente , o por teléfono o simplemente entrar.
Ahora, el teléfono te obliga a hacer una revisión de la realidad: ¿este mensaje es lo suficientemente creíble o lo suficientemente importante como para molestar a otro humano? ¿Realmente necesito un agente de CS que me diga "No, su cuenta no está bloqueada, ¿por qué haríamos eso?"
** en parte, eso es debido a mis plataformas. En el móvil, tengo una aplicación dedicada para mi banco y no tengo ninguna razón para usar su interfaz de usuario web. En el escritorio, hago mi correo web en Firefox, donde deshabilité Javascript, por lo que no puedo hacer clic en un enlace, ya que el sitio del banco no funciona. Esto me obliga a cambiar de navegador y navegar. Podría copiar / pegar el enlace de clic si realmente quiero , pero no lo hago. Quiero decir, lo haré para los correos electrónicos de restablecimiento de contraseña, pero estoy esperando esos.
Hay una forma definitiva para mí, y no me engañó durante más de 15 años de recibir un flujo continuo de crapware. No estoy seguro de si se adaptará a cada usuario sin un entrenamiento mínimo, pero lo daré porque es simple, gratuito y sobrevivió a muchos bautismos de fuego con cada nueva tecnología de phishing.
Acabo de leer la fuente completa de los encabezados de cualquier correo electrónico dudoso. Por correo electrónico dudoso, considero que cualquier correo electrónico que provenga directamente de un colega conocido enviado desde su dirección profesional tan pronto como lo vea una solicitud tengo que comprobar su identidad para cumplir con su solicitud. Consulte la respuesta breve pero llamativa de R. .
Por ejemplo, un correo electrónico de mi hermana Alice enviado desde su dirección profesional real pidiéndome que le haga una transferencia de Western Union a su dirección postal en Nicaragua fueron Ella fue robada de todo. Al observar las fuentes de encabezados completos, descubrí que la primera dirección IP utilizada era una IP privada (192.168.1.217) y la primera IP pública fue en Nigeria . Incluso noté que este correo electrónico fue enviado con ella. cuenta real autenticada y puedo advertirle a su CISO que La contraseña fue robada (a través de un ataque de phishing como de costumbre).
Con el entrenamiento para leer estos terribles encabezados, puedo reconocerlos en menos de 15 segundos. sin siquiera tener que comprobar su ubicación IP de origen.
No, no hay una manera infalible de identificar correos electrónicos de suplantación de identidad (phishing).
Si lo hubiera, lo habríamos programado de esta manera en un software y lo tendríamos instalado en todos los servidores de correo y el problema desaparecería.
Hay largas listas de pistas; otras respuestas hacen un buen trabajo al enumerarlas, pero el campo siempre está cambiando y la lista nunca es perfecta. Afortunadamente, la mayoría de los correos de phishing son realizados por aficionados y son triviales para detectarlos, ya que la mayoría de los usuarios son fáciles de engañar y, por lo tanto, los creadores de los correos de phishing no tienen que hacer mucho esfuerzo.
Sin embargo, hay algunos correos de phishing extremadamente bien hechos, especialmente cuando se trata de phishing (es decir, dirigidos a personas, a menudo capacitadas y educadas en TI). Algunos estudios hace diez años (lo siento, no recuerdo el enlace) mostraron que incluso los profesionales de TI obtuvieron un correo electrónico de phishing mal hecho, aproximadamente el 30% de las veces.
También tenga en cuenta que si expande esfuerzos considerables para establecer lo que está sucediendo, el estafador ya ha tenido éxito en perder su tiempo. Estudiar los encabezados o cualquier otro ejercicio mencionado es para personas que no reciben 200 correos por día.
Además de las excelentes respuestas anteriores, otra cosa que te da una buena pista es hacer clic derecho en los enlaces de la página (¡asegúrate de no hacer clic!) y selecciona 'Inspeccionar elemento' *.
Si este es un correo electrónico falso, verás algunas direcciones de correo electrónico sin sentido. Los que a menudo veo comienzan con "adclick.g.doubleclick.net/". También puede obtener direcciones de empresas irrelevantes en lo que parecen ser enlaces genuinos. **
Aunque estoy seguro de que este sitio web es legítimo, si tengo un correo electrónico que me indica que use un enlace como este para cancelar un pedido, esto es claramente una estafa.
* Esto puede aparecer como otro nombre similar como 'Inspeccionar', dependiendo del navegador
** La falta de un enlace sospechoso no lo convierte en un correo electrónico genuino. Vea las otras respuestas para ver más cosas
Esto puede ser una mera pedantería, pero no: no hay una forma definitiva de saber si un correo electrónico es un intento de phishing.
Supongamos que una princesa nigeriana necesita ayuda para transferir grandes sumas de dinero fuera del país; supongamos, además, que no tenía a nadie más en el mundo al que recurrir y que, de hecho, se redujera a enviar mensajes de correo electrónico a extraños. En tal situación, un usuario podría recibir una solicitud legítima de asistencia de una princesa nigeriana, que sin embargo sería idéntica a un mensaje de phishing clásico.
(Una aplicación no pedante del ejemplo anterior sería preguntarse a sí mismo si le molestan más los falsos positivos o los falsos negativos, que informarán qué tan estricto es el filtro que implementa).
Si el correo electrónico incluye un enlace, hay algunas comprobaciones básicas que puede hacer abriéndolo en una ventana de navegación privada.
Asegúrese de que su ventana de navegación privada sea lo más segura posible antes de comenzar. Como mínimo, asegúrese de que su navegador esté completamente actualizado. También puede desear deshabilitar Javascript, ejecutar el navegador en una zona de pruebas como Firejail, o incluso aislarlo en una máquina virtual (usando VirtualBox o similar).
Ahora abre el enlace en la ventana de navegación privada. Una vez que se carga la página, compruebe la barra de direcciones. Asegúrese de que el nombre de host (en los navegadores modernos esta parte de la dirección sea generalmente más oscura que el resto) coincida con el sitio que esperaba alcanzar. La parte más importante del nombre de host (y la más difícil de imitar para un atacante) es la parte al final, desde el nombre de la organización en adelante. Entonces, si el enlace que tiene en sus marcadores es www. facebook.com , entonces inicie sesión. facebook.com probablemente esté bien, pero www. facebook. example.com o www. facebook.biz no lo es.
Verifique que el sitio tenga un certificado válido: en los navegadores más modernos, hay un candado verde en la barra de direcciones o cerca de ella. Si falta, rojo, amarillo o gris, entonces probablemente no debería iniciar sesión en este sitio, incluso si puede demostrar que es la dirección correcta.
A continuación, si la página a la que llega tiene una opción de inicio de sesión, úsela, pero con credenciales que no funcionan. Los ataques de phishing normalmente no intentarán validar las credenciales que ingrese, mientras que un sitio real lo haría. Si no te alerta de que las credenciales no son válidas, probablemente sea un ataque de phishing.
Y, por último, si puedes evitar usar el enlace en el correo electrónico, hazlo. Si tiene un enlace al sitio en sus marcadores, o puede obtener una dirección confiable de alguna otra manera, inicie sesión con esa dirección en su lugar.
No en la generalidad como estás preguntando. Y el problema no son solo los correos de phishing. Eche un vistazo a los correos de remitentes legítimos como twitter, amazon, paypal y otros.
Muchos de ellos usan malas prácticas. Vincular https://mysite
a https://mysite-mailtracking.com/asdf
, usar HTML complicado en el correo, usar diferentes dominios como dominio de servicio principal, dominio de remitente de correo y dominios que mencionan en el correo y poner mucha información en imágenes en lugar de texto.
Cuando quiera probarlo como un experto que quiere ver cómo están haciendo phishing, un método sería "hacer clic en un navegador seguro, ver a qué dominio se redirige y si coincide con el formulario que obtiene cuando Inicie sesión manualmente y abra el formulario ". Pero eso no es nada que sugerir a un usuario, que se enamora de cosas mucho más simples.
Por lo tanto, el consejo es razonable aquí: ignore cualquier cosa en el correo, pero que algo ocurra e inicie sesión con su navegador como lo hace todos los días. La mayoría de los servicios le dirán lo que el correo quería que supiera, ya que los usuarios de hoy en día a menudo usan el sitio web / aplicación más a menudo que leen sus correos.
Por lo general, una empresa de seguridad profesional puede determinar con casi certeza si un correo electrónico es phishing o no. Esto puede no ser útil para el usuario promedio, pero aquí es cómo lo harían:
Origen del correo electrónico
Los correos electrónicos contienen una serie de encabezados que muestran la dirección IP de los retransmisores de correo. Estos se pueden analizar para identificar la dirección IP del remitente. Esta debería ser la organización legítima. Si es un nodo de salida ToR, eso es altamente sospechoso.
Hay escenarios en los que el origen no es concluyente, como un proveedor de correo de terceros. En ese caso, la compañía hablaría con el proveedor de correo y la organización legítima, y normalmente podría resolver esto.
También verían la dirección de correo electrónico de origen, y tal vez verificarían los registros de correo electrónico salientes de la compañía legítima.
Contenido de correo electrónico
Por lo general, un correo electrónico de phishing tiene un enlace a un sitio web que NO es propiedad de la organización legítima y solicita información de inicio de sesión. El dominio puede ser engañoso (por ejemplo, mybank-secure.com no tiene nada que ver con myback.com), puede ser similar (por ejemplo, una mayúscula que parece una minúscula l) o podría usar un ataque como scripts o sesiones entre sitios. Fijación para mostrar el dominio legítimo. Para hacer frente a todo esto, la fuente de correo electrónico se analizaría manualmente como texto sin formato, y se investigará en detalle la propiedad de todos los dominios. En algunos casos, este podría ser un correo electrónico legítimo con malas prácticas, ¡pero es mejor no ingresar sus datos de todos modos!
El correo también puede contener malware. Ejecutar software antivirus en cualquier archivo adjunto es un comienzo. Pero esto podría ser un malware polimorfo o de día cero que resiste el antivirus. En cambio, el análisis manual intentará identificar cualquier cosa que parezca sospechosa. Un documento de Word con una macro onload que crea un objeto OLE puede no activar un software antivirus, pero sin duda es sospechoso.
Una vez más, esto no siempre será concluyente. Para algunos tipos de phishing de lanza, puede ser imposible distinguir el contenido legítimo del fraudulento. Si alguien está vendiendo algo, y justo antes del pago, recibirá un correo electrónico que dice "en realidad, envíe el dinero aquí ...": el contenido por sí solo no le ayuda, debe verificar el origen.
Nunca me han pedido que haga esto, pero espero que la mayoría de las compañías forenses lo hagan de vez en cuando. En organizaciones grandes, a veces se envían correos electrónicos masivos a los clientes sin la debida autorización. Tal vez un correo electrónico de ese tipo fue reportado como phishing, entonces la organización original necesita averiguar qué ocurrió. Si esto sucede, muestra que la organización tiene controles deficientes sobre los correos electrónicos de los clientes, pero eso no será una gran sorpresa.
Consejos contra el phishing
Marque los sitios que le interesan: su banco, tarjeta de crédito, etc. Si recibe un correo electrónico de ellos, no haga clic en ese enlace; en su lugar utiliza tu marcador. Esta simple precaución derrota a la gran mayoría de los ataques de phishing.