¿Cómo comprobar si pueden suplantar mi identidad por correo electrónico?
Requisitos
- Sistema Operativo: Windows 10.
- Aplicación para conectarnos al servidor SMTP: Cliente Telnet (debe estar instalado y habilitado). Algunas consideraciones:
- Los comandos telnet no diferencian mayúsculas de minúsculas.
- No se puede usar la tecla “backspace” en la sesión de Telnet.
- Si se comete un error al escribir comandos SMTP, presionar entrar y, a continuación, volver a escribir el comando. De otra forma se mostrará un error como el siguiente: 500 5.3.3 Unrecognized command.
- Puerto TCP del servidor SMTP: suele ser 25, 465 o 587. Este es el puerto TCP a través del cual el servidor SMTP recibe las solicitudes.
Instructivo
Una vez que obtenemos el nombre del servidor SMTP, abrimos la consola “Símbolo del sistema” y nos conectamos al servidor encargado del envío del correo a través de la aplicación Telnet.
1) Clic en “ Inicio”.
2) Tecleamos en el buscador cmd, luego “ Enter”.
3) En la consola tecleamos: telnet mx-1.estaorganizacion.com 25
4) Introducimos nuestros datos luego del comando telnet. En este caso, el nombre del servidor de correo que obtuvimos en el punto 1 y el puerto.
5) Tecleamos “ Enter”.
6) Se va a volver a limpiar la ventana mostrando en la parte superior algo parecido a: 220 host.red.local Microsoft ESMTP MAIL Service ready at Thu, 21 Nov 2019 13:05:52 +0100
Una vez conectados, vemos al cursor que parpadea para empezar a escribir comandos. A continuación le brindamos instrucciones al servidor para que envíe un correo, escribiendo.
8) Tecleamos “ Enter”.
9) Saludamos al servidor de correo y obtenemos una lista de palabras clave para indicar las extensiones soportadas. Debería mostrar algo como:
Aquí escribimos el nombre de la persona y el dominio que deseamos que aparezca en el remitente del correo electrónico que llegará al destinatario. Yo, como atacante, estaría suplantando la identidad de Nicolás, el CEO de estaorganizacion.
12) RCPT TO: <virginia@estaorganizacion.com>. Aquí escribimos la dirección del destinatario de nuestro correo. Yo, como atacante, quiero que lo reciba Virginia, la CFO de estaorganizacion.
Escribimos el texto del asunto (siempre se escribe “ Subject: “ y a continuación el mensaje que deseamos. Tecleamos “ Enter” 2 veces.
Escribimos el cuerpo del mensaje. Podemos dar “ Enter” para saltos de línea todas las veces que queramos. Una vez que terminamos tecleamos “Enter”, luego un punto (.) y luego “Enter” para cerrar el mensaje. Deberíamos recibir como respuesta algo similar a:
Posibles resultados
Luego comprobé que era posible suplantar la identidad de quien deseara, incluso de cualquier usuario de Google, Yahoo Mail, etc. Esto tiene sentido, ya que el correo electrónico es enviado desde el mismo servidor de estaorganización y, por lo tanto, no realiza ninguna comprobación de seguridad como SPF, DKIM o DMARC.
El inconveniente de los controles técnicos
- No cubren todo el alcance y pueden resultar muy costosas. A saber, por más que implementemos una docena de ellas, nunca llegan a cubrir todo el alcance (IoT, Cloud, dispositivos, etc.), sumado a que se incurre en costos altísimos.
- Pueden ser fácilmente omitidas. Podríamos poseer toda la tecnología de vanguardia en ciberseguridad administrada por expertos, para proteger nuestros sistemas, pero los ciberdelincuentes utilizarán otros métodos, como la ingeniería social, para atacarnos sin tener que enfrentar dichas barreras.
Un ejemplo es el caso analizado, donde la vulnerabilidad está en que el protocolo SMTP no requiere autenticación para su implementación, permitiendo a un atacante realizar las acciones demostradas. Además, si se utilizara esta vulnerabilidad para lanzar un ataque de ingeniería social (como el expuesto), que no involucra ningún archivo o enlace con código malicioso, las medidas de seguridad no tendrían ninguna posibilidad de detenerlo.
Soluciones y conclusiones
- Utilizar la opción «Reenviar» y no «Responder» en caso de tener que responder un correo electrónico. Al reenviar el correo electrónico, la dirección correcta debe escribirse o seleccionarse manualmente desde la libreta de direcciones. Muchas veces al utilizar la opción “responder” creemos que estamos haciéndolo al remitente original cuando en realidad está programado para enviárselo al atacante.
- No compartir información en exceso de manera pública. Se debe tener cuidado con lo que se publica en las redes sociales y en los sitios web de la organización, especialmente todo lo referido a tareas y descripciones de puesto, información jerárquica y detalles de horarios (ejemplo: fuera de la oficina). Además, cuantas más cuentas de correo corporativas tenga expuestas en Internet, más susceptible es su organización a un ataque de Spear Phishing (phishing dirigido). Se puede comprobar qué direcciones de email están publicadas en internet a través de esta herramienta.
- Confirmar solicitudes críticas de múltiples formas. Establecer un procedimiento para que los empleados confirmen de otras maneras las solicitudes hechas por correo electrónico para una transferencia bancaria o información confidencial. Por ejemplo, cara a cara o mediante una llamada telefónica utilizando números previamente conocidos, no números telefónicos proporcionados por correo electrónico.
- Conocer los hábitos de los empleados, clientes y proveedores. Por ejemplo, tener cuidado si hay un cambio repentino en las prácticas o procesos comerciales o personales. Si un contacto comercial pide repentinamente que use su dirección de correo electrónico personal cuando toda la correspondencia anterior ha sido a través del correo electrónico de la empresa, la solicitud podría ser fraudulenta. Siempre verificar la solicitud a través de una fuente diferente.
Deja una respuesta