Hoy por N vez, alguien nos alerta en el trabajo acerca de correos de phishing que envían con la dirección principal de correo de contacto de nuestro website, la cuestión viene de un correo alarmista que envía un usuario afectado y que lo mandó con copia a todos los directivos, se agradece el feedback, el problema es tener que explicar a cada uno de esos directivos por separado que es el phishing y que desde siempre tenemos las protecciones que podemos implementar del lado del servidor y que poco podemos hacer para evitar este tipo de ataques y que su inocuidad más bien depende del usuario al que le llega.
Para entender más o menos que es el phishing, es una técnica usada por atacantes informáticos mediante el uso del correo, para simplificar, te mandan un correo que parece serio y de una dirección de correo conocida y que te presenta un enlace invitándote a visitarlo para actualizar tus datos, o cualquier cosa cosa con la intención de que los visites para robar tus datos o te instales un virus o troyano, vamos a analizar los dos tipos de engaños posibles:
- La suplantación de la dirección de correo: Esto no es nada del otro mundo, cualquiera puede mandar un correo con la dirección de otro si dispone de un servidor de correo o mejor dicho de un MTA, no es una debilidad del protocolo o un acto de hacking, realmente el protocolo es así y lo permite, esto es lo que aprovechan la mayoría de los spamers para mandar correos de publicidad no deseada, de hecho tengo por lo general correos en mi bandeja de spam dirigidos a mi, supuestamente de mi misma dirección de correo ( cosa que yo no hice ), para evitar esto existen muchas protecciones a nivel de spam en los servidores de correo destino y por lo general nunca tenemos que darnos cuenta que eso existe excepto cuanto tienes una cuenta de correo en un servicio mediocre como el de hotmail.
- El enlace que parece verdadero: El problema de esto, es que la mayoría de los correos hoy en día aceptan código html, y la manera de hacer un enlace html es con un código parecido a este <a href=»http://www.richzendy.org>El Blog de Richzendy</a> para que al ser observado por la persona luzca así El blog de Richzendy, sin embargo podrías tener este código html <a href=»http://www.google.co.ve>El Blog de Richzendy</a> y se vería exactamente igual El blog de Richzendy, pero conduciría a otro lado, para evitar esto, la persona tiene que evitar la acción compulsiva de darle click a todo lo que parezca clickleable sin revisar primero la barra de estado de su navegador, el verdadero problema de esto, es que esos enlaces por lo general apuntan a servidores que no son los originales y son otros que lucen muy parecidos a los que intentan suplantar o directamente te mandan a descargar un archivo que por lo general es un virus o troyano.
Como ven ambas soluciones están del lado del cliente ( el mismo o del servicio de correo que usa para tener su cuenta ) y en ningún momento hay nada realmente contundente del lado del sitio suplantado o de la dirección de correo suplantada para evitarlo.
Lo único que se puede hacer del lado afectado, es tratar de contactar a los administradores de los servidores de donde salen esos correos, que por lo general son sitios atacados y sus administradores no saben que están mandando este tipo de correos, denunciarlos como spamers en caso de no responder, sin embargo el tiempo en que te respondan los administradores o los sitios de denuncia pueden tardar o de plano ni siquiera tomarte en cuenta.
Acá está copia del correo que mando el usuario preocupado y del cual salio el titulo de este post :
En todo caso casi siempre que hemos recibido problemas con nuestro servicio de correo, bien sea por que no llegan a sus destinatarios o por que hay phishing el 99.9% de las veces han sido usuarios del servicio de correo de hotmail, el cual si puedo dar una opinión objetiva, es una completa basura, su filtro anti-spam es mediocre, su espacio en disco es una ridiculez, no muestra todas las cabeceras de los correos a sus usuarios y además cuando les enviamos correos por lo general los servidores de hotmail no los rechazan a veces por que hemos mandado muchos y muy seguidos.
La única protección que hemos implementado desde siempre a sido la configuración de DNS del SPF ( Sender Policy Framework ), la cual para resumir, al hacer una consulta DNS a un dominio, este indica la dirección ip de su MTA, lo cual puede validar sin un correo de un determinado dominio salio directamente de sus servidores oficiales o no, sin embargo creo que hotmail no hace uso de este tipo de protección en su servicio.
Sitios de interés externos relacionados y que complementan a este post:
- http://www.antiphishing.org/ – Organización anti-pishing, acá puedes hacer tu denuncia.
- http://seguridad.internautas.org/html/451.html – Qué es el phishing?
- http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx – Microsoft acerca del phishing