Definitivamente hay un problema de seguridad que proviene de un proveedor que permite el registro de direcciones de correo electrónico casi idénticas. Pero no es exactamente el que están probando tus ejemplos específicos. Y sus efectos no se limitan necesariamente a los usuarios del servicio de correo electrónico, sino que pueden afectar más ampliamente a cualquier persona que reciba el correo de un usuario de ese servicio. El peligro del que estoy hablando es el que involucra la suplantación de un usuario del servicio a los destinatarios de correo.
Para ver lo que quiero decir, primero dejemos de lado los problemas de confusión (ya bien discutidos) de lo que es y no es una dirección de correo válida y si la identificación de un usuario es en realidad la misma que la dirección de correo electrónico externa del usuario. En cambio, veamos el siguiente escenario:
El atacante quiere que se le instale malware en la computadora de Jane Smith. El atacante conoce la dirección de correo electrónico de Jane Smith, sabe que Jane Smith es muy amiga de John Anderson y sabe que John Anderson mantiene una dirección de correo electrónico activa con un proveedor de correo web mail.com en [email protected]. El atacante revisa el proceso de registro de mail.com y descubre felizmente que el servicio le permitirá registrar [email protected] (sin mayúsculas) como una dirección válida. El atacante establece su nombre "de" para la cuenta como "John Anderson", y comienza a redactar un correo electrónico de pesca submarina dirigido a Jane Smith. El atacante encuentra un documento PDF en Internet que parece ser el tipo de elemento que tanto John Anderson como Jane Smith podrían encontrar mutuamente interesantes, y luego utiliza SET para insertar en ese documento un exploit de PDF y una carga maliciosa.
El atacante envía el mensaje. Al final de Jane Smith, ella recibe un correo electrónico de "John Anderson" en la dirección [email protected]. El mensaje es un reenvío en un artículo en PDF con una recomendación de una oración de John: "Acabo de terminar esto y creo que valdrá la pena leerlo. No estoy seguro de estar de acuerdo con todos los puntos del autor, pero es muy, muy interesante. " Y debido a que mail.com certifica criptográficamente que el mensaje realmente proviene de la dirección presunta, el servicio de correo electrónico de Jane Smith dejó que el mensaje pasara a su bandeja de entrada en lugar de enviarlo a la carpeta de correo no deseado (como podría suceder si el atacante simplemente falsificara el mensaje). "de la Dirección).
Pregunta retórica: ¿cuáles son las probabilidades de que Jane Smith abra ese archivo PDF adjunto?
Respuesta: tan alto como te vas a encontrar para un ataque de pesca submarina. (Al menos sin tener acceso al sistema de correo electrónico de su empleador y hacerse pasar por su jefe, o algo así).
Las posibilidades de que un usuario típico se dé cuenta de que [email protected], [email protected], o incluso [email protected] no son el mismo remitente son bastante bajas. (Si el usuario es muy consciente de la seguridad en general, obviamente las posibilidades de detección aumentan. Aunque sospecho que no es lo que algunos podrían suponer). Si la dirección real de correo electrónico de la persona real que el atacante está tratando de suplantar ya está en la libreta de direcciones del destinatario antes de que llegue el correo electrónico del atacante, el destinatario podría (podría) recibir el aviso de que el remitente de este mensaje en particular no está allí, como esperaría el destinatario . Y él o ella podría (podría) encontrar eso un poco sospechoso. Por otra parte, es más probable que él o ella solo asuman que el corresponsal estaba enviando un correo electrónico desde una dirección nueva, ligeramente diferente, por alguna razón. O que la característica de la libreta de direcciones de su servicio de correo electrónico era delicada. O ...
Obtiene el punto: esta táctica de suplantación de la dirección de correo electrónico puede ser muy poderosa (si se pasa por alto a veces) en los ataques de phishing / pesca submarina.
En cuanto a lo que los proveedores de correo electrónico pueden hacer y están dispuestos a hacer para tratar de impedir registros de direcciones muy similares, es una práctica difícil combatir de manera efectiva incluso si un proveedor de correo electrónico lo desea. Y teniendo en cuenta que cualquier proveedor de correo dado preferiría indicar a los usuarios potenciales que se registren "Lo siento, esa dirección / identificación de usuario ya está tomada". tan pocas veces como sea posible (si reciben ese mensaje lo suficiente, podrían darse por vencidos y ver si otro servicio de correo electrónico es uno de sus nombres deseados de forma gratuita) los incentivos para los servicios de correo electrónico son para permitir el registro de prácticamente cualquier dirección de correo electrónico técnicamente válida (con pocos excepciones).