Una herramienta muy importante para distinguir si un correo es oficial o una amenaza es el sentido común. Del mismo modo que cuando vamos por la calle, no divulgamos información nuestra salvo que sea estrictamente necesario, tampoco debemos hacerlo por Internet. Esto es debido a que pueden recopilar información nuestra, por ejemplo, en foros y redes sociales para luego realizar ataques de ingeniería social.
El sentido común es lo primero que debemos usar
Un correo electrónico nos puede parecer como algo que simplemente leemos y que tiene muy poco riesgo. Pues eso no es cierto, ya que, en algunas ocasiones, a través de esta vía podemos recibir malware que termine comprometiendo la seguridad de nuestro equipo. Lo primero que tenemos que hacer es observar con atención el remitente del e-mail. Si se trata de una amenaza que busca infectar, a menudo suelen tener una dirección extraña. En esos casos nos solemos encontrar con muchos números y letras sin sentido. No obstante, en algunas ocasiones se hace de forma más sofisticada intentando imitar una dirección de correo electrónico legítima.
También el asunto del mensaje hay que analizarlo observando si tiene sentido y está expresado de forma correcta. El siguiente paso que debemos dar es fijarnos cómo se ha elaborado el cuerpo del mensaje. Aquí tenemos que fijarnos en una serie de pistas que nos pueden ayudar a determinar si el correo es oficial o falso. Lo que nos puede hacer sospechar que no es de fiar sería:
- Encontrarnos con un enunciado con faltas de ortografía, o que parezca que se trata de una traducción mal hecha.
- Juegan con la urgencia y piden que hagamos una acción concreta con prontitud.
- Solicitan demasiada información personal nuestra
- Recibimos archivos adjuntos, los más peligrosos son los ejecutables y son los que tienen extensión .exe, .bat o .com.
Por lo tanto, si encontramos este tipo de indicios en nuestra bandeja de correo, lo más probable es que se trate de una amenaza.
El peligro de los enlaces en el email y el phishing
A veces, tenemos dudas sobre si el correo es oficial o no. Entonces tenemos dudas sobre si pinchar o no sobre ese enlace. En RedesZone como norma general recomendamos no pinchar sobre ese link hasta que estemos seguros que es legítimo. Además, en caso de dudas siempre podremos hacer lo mismo entrando por los cauces oficiales a esa cuenta de correo, red social u otro tipo de servicio.
Uno de los más populares son los ataques de Phishing donde el ciberdelincuente mediante técnicas de engaño se gana la confianza de la víctima haciéndose pasar por una persona, empresa o servicio de confianza. Nos encontramos con un caso de suplantación de identidad cuyo objetivo es hacer que ese usuario haga clic en un enlace.
Así, tras hacer pinchar en ese link, la víctima suele ser redirigida a una web del atacante con apariencia casi idéntica al original donde se le pide que introduzca sus credenciales. Una vez que ha hecho esto, los datos de usuario y contraseña pasan a manos del ciberdelincuente. En ocasiones, poniéndose encima del link, sin hacer clic podemos observar que nos lleva a un dominio raro. Por lo tanto, nos damos cuenta que es peligroso y no lo pulsamos bajo ningún concepto.
Analizando el origen del email para saber si es oficial
En alguna ocasión habréis recibido algún correo de Google en el que se ha producido un incidente o nos pide que comprobemos algo. El primer paso que solemos dar, es observar con atención el remitente. En este caso usando la cuenta de Google veríamos algo como esto:
Antes de empezar a hacer nada, una buena idea puede ser ver si encontramos información en Google o en las redes sociales de esa persona o correo electrónico. No siempre se consigue algo, pero a veces da buenos resultados. Luego miraremos con atención la dirección del correo y la analizaremos. Aquí tenemos que buscar si le falta alguna letra o le han añadido un subdominio como por ejemplo google-com.es o cualquier variación que nos resulte extraña.
Otra forma de obtener más información sería mirando el «header» o «encabezado» del propio mensaje de correo. Aquí tenemos muchos datos técnicos que seguramente no sepamos interpretar o entender. No obstante, uno de los datos relevantes que nos ofrece es la dirección IP del servidor de correo desde el que se mandó el mensaje. Si queremos verlo, usando nuestra cuenta de Google en Gmail, tras seleccionar el correo que queremos comprobar pulsaremos sobre el icono de los tres puntos verticales de opciones. Luego pulsaremos en «Mostrar original» para ver el encabezado de ese e-mail:
Aquí tenemos los resultados que nos ofrece:
En esta información podremos ver información muy importante para verificar que un email es legítimo, como el SPF, el DKIM y también DMARC. Un detalle importante, es que, si el email no tiene estas opciones en PASS, podría no ser un email verdadero. Normalmente entidades importantes y empresas grandes, disponen de estas características habilitadas en sus servidores de correo que indican que son emails legítimos.
También podríamos hacer lo mismo en otros clientes de correo como Microsoft o Yahoo! de la siguiente forma:
- Cuentas Microsoft como Hotmail: seleccionamos el mensaje a investigar, hacemos clic con el botón derecho del ratón para escoger la opción Ver, allí tocamos en Ver origen del mensaje.
- Correo Yahoo: escogemos un mensaje, pulsamos en Más, allí seleccionamos Ver mensaje sin formato.
Correos sospechosos y las amenazas a nuestra seguridad
No siempre nos encontramos con que ese correo es oficial, a veces son peligrosos. En algunas ocasiones puede ser simplemente Spam o correo basura. No obstante, no debemos descuidarnos porque a veces son ataques de Phishing. Otras estafas son en las que se nos promete un gran premio en un concurso que no hemos participado, u ofertas increíbles. Este sería un ejemplo de este estilo y lo que veríamos en el asunto del correo:
El mensaje que nos muestra si lo abrimos es el siguiente:
Aquí nuestra cuenta de Google nos alerta de que no es conveniente responder con información confidencial ni descargar archivos adjuntos. Además, se puede intuir que el texto parece traducido, y al estar en inglés el nombre, da más razones para creer en ello. Si seguimos investigando usando el buscador de Google vemos como hay webs que lo catalogan como una supuesta estafa:
Por otro lado, otras herramientas que podríamos utilizar para contrastar una IP y dominio serían utilizando Who.is. Al utilizarla vamos a poder obtener información tan interesante como el propietario del dominio.
Por último, para saber si un correo es oficial de una entidad o empresa, o una estafa, podríamos usar Hunter, una herramienta online gratuita con ciertas limitaciones. Gracias a ella, podremos encontrar la dirección de correo electrónico de los empleados de una empresa. Nos ofrece 25 búsquedas gratuitas al mes.
Lo haremos desde su página web, y después de la búsqueda nos ofrecerá un listado con todas los e-mails de sus trabajadores, de esta forma, podremos ver si un determinado remitente del correo electrónico pertenece realmente a una empresa o no pertenece.
Fuente obtenida de: https://www.redeszone.net/tutoriales/seguridad/como-detectar-email-oficial-phishing/