El correu electrònic és sens dubte l’eina de comunicació professional standard i més habitual entre les empreses. Diàriament rebem infinitat d’informació mitjançant aquest canal i sens dubte la majoria d’usuaris no apliquem les mesures de seguretat mínimes abans d’obrir un email de procedència desconeguda. Per aquest motiu, és un canal molt utilitzat pels ciber delinqüents per a atacar els usuaris informàtics.
Un dels casos més habituals és el que coneixem com a email spoofing o suplantació d’identitat per correu electrònic. Mitjançant aquesta tècnica maliciosa s’envien correus amb remitent fals per a enviar spam, difondre malware o dur a terme atacs de phishing i suplantar la identitat de directius de l’empresa, proveïdors, clients, etc.
Els mètodes cada vegada més depurats dels ciberdelinqüents fan que sigui complicat distingir un correu legítim d’un altre que no ho és. Però, no et preocupis, et donarem avantatge explicant-te les pautes necessàries perquè identifiquis quan estàs rebent aquest tipus de missatges.
Interpretant les capçaleres dels correus seràs capaç d’identificar, entre altres, les següents dades:
- La informació relativa a l’emissor i al receptor,
- els servidors de correu intermedis pels quals passa el correu des de l’origen fins a la seva destinació,
- el client de correu que es va utilitzar per a enviar-lo, i
- la data d’enviament i recepció de l’email.
Tota aquesta informació està en les capçaleres o encapçalats dels correus. Una part que a simple vista queda oculta, la podem visualitzar amb un parell de clics.
Com accedeixo a les capçaleres dels correus?
Clients de correu per a Windows
Microsoft Outlook 2016, 2013 i 2010
- Fes doble clic en el correu sospitós per a obrir-lo fora del panell de lectura.
- Seleccionem l’opció Arxiu > Propietats.
- La informació de l’encapçalat es mostra en una nova finestra, en l’apartat «Encapçalats d’Internet», com la que es mostra en la imatge.
Mozilla Thunderbird
- Obre el correu que vulguis analitzar.
- Fes clic en els botons «Més» > «Veure codi font», situat en la part superior dreta de la finestra.
- Les capçaleres del correu es mostraran en una nova finestra.
Clients de correu per Mac
Mail per Mac
- Accedeix al correu del qual vols veure les capçaleres.
- Veu a «Visualització» > «Missatge» > «Totes les capçaleres».
- A continuació, es mostrarà la capçalera completa del correu.
Clients de correu web
Gmail
- Obre el correu les capçaleres del qual vulguis obtenir.
- A continuació, fes clic en la línia de punts situada a la dreta de la icona de «Respondre».
- Fes clic a «Mostrar original».
- La capçalera completa de l’email es mostrarà en una pestanya nova.
Outlook
- Obre el correu que vols analitzar.
- A continuació, fes clic en la línia de punts situada a la dreta de l’opció de «Reexpedir»
- Feix clic a «Veure origen del missatge».
- Les capçaleres es mostraran en una finestra nova.
Yahoo
- Selecciona el correu les capçaleres del qual vulguis visualitzar.
- A continuació, fes clic en la icona de la línia de punts > «Veure missatge sense format».
- La capçalera completa del correu es mostrarà en una nova finestra.
Com s’interpreten les capçaleres?
Ara que sabem com obtenir les capçaleres, explicarem el seu contingut per a saber si estem davant un correu fraudulent.
Per a agilitzar aquesta tasca podem utilitzar eines com MessageHeader, que ens facilita la identificació de cada camp de la capçalera, mostrant resultats com els que analitzem en les imatges següents.
Exemple de correu legítim:
En primer lloc, observem que el correu va ser lliurat en 1 segon («Delivered after 1 sec») el que significa que va trigar 1 segon a arribar al seu destinatari des que es va enviar (en l’últim destacat poden veure’s les adreces dels servidors per les quals passa el correu fins que és lliurat). Com es veurà en l’exemple següent, un temps de lliurament excessiu sol ser indicatiu de correu fraudulent.
En el camp «From:» veiem que el domini linkedin.com coincideix amb l’emissor del missatge que hem rebut (no hi ha suplantació).
Els registres SPF, DKIM i DMARC han estat verificats correctament. Encara que és bastant intuïtiu interpretar la verificació d’aquests registres a través d’aquesta eina, pots consultar més informació sobre els registres SPF, DKIM i DMARC en Encapçalats de missatges de correu no desitjat.
Exemple de correu il·legítim:
El correu va ser lliurat passades 2 hores, és a dir, va trigar 2 hores a arribar des que es va enviar (en l’últim destacat poden veure’s les adreces dels servidors per les quals passa el correu fins que és lliurat).
En el camp «From:» observem que el domini chukzem.xyz no coincideix amb el suposat emissor del missatge que en aquest cas diu ser una empresa de vendes online.
Els registres DKIM i DMARK no han passat el control de verificació. Tant el temps de lliurament, com el remitent i els registres SPF, DKIM i DMARKens estan indicant que es tracta d’un clar exemple d’email spoofing.
Ara no tens excuses, ja saps com evitar caure en el parany dels ciberdelinqüents. Tingues compte amb el teu correu electrònic i protegeix la teva empresa.
Si vols llegir l’article complet d’Incibe, pots fer-ho a aquí.