Seguridad informática

Identificar correos falsos

Por correo electrónico es, desgraciadamente, muy habitual recibir Spam. Dentro del Spam están catalogados los mensajes de publicidad no deseados. Estos son molestos, pero no son el único problema.

Podemos recibir correos falsos (phishing) con nombres parecidos a los reales o remitentes reales, incluso familia y amigos.

Motivos de correos falsos

Los motivos principales por los que envían correos falsos son varios:

Averiguar si la dirección es correcta, está activa y existe un humano que pueda leer o interactuar con el texto recibido en ese correo.
Esto lo consiguen cuando:
- Picamos cualquier enlace dentro del correo.
- Cuando está activado el contenido remoto descargando alguna imagen o recurso de la página html que contiene el correo.
- Contestamos al correo.
Obtener información, como datos personales, cuentas corrientes, claves de redes sociales o de almacenamiento en red, aparentando ser un servicio real (phishing).
Infectar el equipo receptor del correo, mediante la descarga de algún archivo con esa capacidad.
Antiguamente, las extensiones de archivo podían usarse como orientación de archivos peligrosos (html, exe, com, doc, etc), pero hoy día podemos decir que todas son susceptibles de transmitir malware

Cómo identificar el correo falso

No es difícil distinguirlos, aunque siempre hay que ser muy cautos, pues prueban todo tipo de estrategias para "colarse" en nuestra rutina. Además calculan que un porcentaje puede caer simplemente por lo numerosos que son y podemos equivocarnos en el proceso de eliminación o inspección.

No hay truco o indicio que nos diga con claridad si es falso o no. Básicamente hay que leerlo con calma. Ver si el tema que trata es verdaderamente para nosotros y si las direcciones de los enlaces son "razonables". Mirándolo en conjunto se ve qué intenciones tiene.

Si es publicidad de cualquier tipo, borre sin dudar. No merece la pena leer más.

Desactive siempre el contenido remoto

Para empezar, en sus clientes de correo debe tener siempre desactivado el contenido remoto.

De no hacerlo así, podría ser tarde. Ya por descargar la imagen, sonidos, programas, etc; está Vd. confirmando al remitente que su cuenta de correo existe, está activa y hay un humano atendiéndola.

Indicios de email fraudulento

Veamos algunos de los indicios que nos hacen sospechar de un email.

De/From: El título "Su Banco" no se corresponde con la dirección que usa el sistema de correo para encaminarlo , que puede ver entre ángulos.
Tampoco coincide el servidor de correo (net-subanco.com) con las direcciones que aparecen en los enlaces (piratassinfronteras.com) .
Además el dominio de mi banco tiene la extensión ".es" y no ".com".
Sin embargo, esto puede ocurrir también en un correo auténtico.
No se confíe, porque sea una dirección real. Podría venir incluso de un familiar o amigo.
Asunto: Si es publicidad de cualquier tipo, borre sin dudar.
En general usarán asuntos muy genéricos y comunes que puedan hacernos caer cuando no prestamos atención.
En caso de datos bancarios ¡cuidado!. Nuestro banco puede enviarnos correos, pero nunca nos va a enviar un enlace directo. Nos pedirá que nosotros vayamos a su oficina o nos conectemos a su web.
Texto-introducción: Normalmente son correos automáticos, por lo que difícilmente van a usar nuestro nombre y apellidos. No debieran tenerlos a nos ser que hayan hackeado alguno de nuestros contactos, alguna de las empresas que nos prestan servicios o seamos objeto de un ataque persistente (APT).
Suelen empezar por Estimado juan (juan es lo único que saben de forma automática porque forma parte del correo juan@segura.pro), Estimado cliente o Estimado señor. A veces escriben incluso Estimado juan@segura.pro, y ni se molestan en generar un script para limpiar la dirección. .
Texto-asunto: Suelen emplear dos técnicas psicológicas básicas:
1. El texto nos asusta con una situación que nos perjudica y nos incita a actuar rápidamente.
2. Ofertas de cualquier tipo que despiertan nuestro interés.
  Si es publicidad de cualquier tipo, borre sin dudar. No se deje llevar por su curiosidad. Nadie da duros a cuatro pesetas.
Observe que el tema que trata es verdaderamente algo que está tratando y que no es un tema genérico que pueda interesarle a cualquier persona.
enlaces internos: Si paseamos el cursor (sin pulsar) sobre el enlace vemos que en la barra de estado aparece una dirección que no tiene nada que ver con el banco.
Esto nos confirma de nuevo que es un intento de infectar nuestro sistema o, como mínimo, de confirmar nuestro correo, para seguir intentándolo con otros mensajes y otros asuntos.

Veamos otro ejemplo de correo falso

En el Email fraudulento 2, vemos asuntos muy genéricos y dispares. Intentan hacer caer a quien está procesando cientos de email y esperando una "Nota de Gastos".

Si no consigue que pique por el remite, ofrece muchos enlaces y asuntos que también pudieran ser esperados.

Lo llamativo de este mensaje es el dominio .tokyo.

Si presta Vd. atención a la verdadera dirección (entre ángulos) , verá que es una dirección bastante extraña como para fiarse.

El indicio indudable es la dirección del enlace que aparece en la barra de estado . Esta es la dirección que recoge su información o intentará infectarle.

Búsqueda whois

A veces usan un nombre de dominio que puede parecer real aunque extraño.

En estos casos puede ser útil realizar una búsqueda usando un servicio Whois para saber donde está contratado ese dominio. Algunos servicios de Whois son: www.whois.com y who.is.

Los datos obtenidos varían según el dominio raiz. Podemos obtener el pais y la provincia de la entidad que registró el dominio, no necesariamente la entidad dueña del dominio. También es posible que obtengamos algún dato más orientativo.

Buscando el dominio del Email fraudulento 4 , nos aparece en registrado en Madrid (España). Sin embargo, también me dice que un dato del registrador es "ALIBABA.COM SINGAPORE E-COMMERCE PRIVATE LIMITED".

Evidentemente, no tengo interés en contestar a Alibaba.com. Solo es SPAM con la intención de obtener correos y darse publicidad.