Spam y técnicas de suplantación de identidad

Aunque las técnicas de suplantación de identidad se llevan usando desde los inicios de internet, recientemente estamos viendo un flujo elevado de spam recibido (cuyo contenido es principalmente virus y troyanos) usando diferentes técnicas que pueden llegar a confundir tanto al antispam como al propio usuario receptor.

Con el objetivo de dar un poco más de claridad vamos a detallar las técnicas más usadas, que implicaciones tienen y que se debe tener en cuenta.

Falsificación de remitente

Es la técnica más sencilla, consiste en manipular el email de remitente para hacer que sea literalmente cualquiera, es una técnica sencilla, no obstante por suerte a día de hoy es sencillo filtrar este tipo de correos, simplemente asegúrate de tener el antispam activo en cPanel.

Falsificación de nombre, con remitente real

Dado que la primera ya es facilmente identificable por los sistemas de seguridad, una variante es modificar el "nombre".

Cuando envías un correo puedes definir un nombre que acompañará al correo de remitente, para diferenciar la persona o empresa de la que proviene, el nombre puede ser cualquiera que se estime oportuno, y siempre que este esté presente, el webmail o cliente de correo lo mostrará en la información del emisor, incluso ocultando el email ya que es un dato clave para que el remitente resulte familiar, ej: nombre completo de la persona.

El problema es que este dato lo establece el emisor y no hay forma de validarlo, incluso podría definir como nombre una cuenta de correo.

Esto causa que algunos atacantes estén usando la técnica para suplantar identidades, por ejemplo, un correo proviene de usuario@dominioexterno.com y el nombre que establece este emisor es en cambio ayuda@banco.com. Cuando el usuario lo recibe, el cliente de correo dará mayor visibilidad al nombre, que en este caso es ayuda@banco.com, lo que generará la confusión.

A su vez el email proviene de forma legítima de usuario@dominioexterno.com, un servidor real con un remitente real, esto complica el filtrado por parte del antispam el cual ignora el nombre ya que no tiene forma de diferenciar por medio de este si es o no spam.

Esto unido a que se están enviando cientos de variantes de virus, muchas no identificadas hasta pasadas 24h del primer envío, hace que muchos usuarios y empresas estén cayendo en estos correos con las repercusiones que ello conlleva.

Para este caso, siempre que dudes, verifica que el dato que visualizas no es el nombre, sino que es la dirección real desde la que proviene el correo.

Título de mensaje conocido

Esta técnica genera aún más dudas, se puede combinar con la anterior o incluso el email venir de la propia cuenta real, básicamene el contacto habría sido víctima de un hacking, lo que causa que el email con virus venga en respuesta a un email real, puede ser una conversación reciente o no, pero que en algún momento tuvo lugar entre el receptor y el emisor.

Normalmente el mensaje incitará a la necesidad de firma de un documento, contrato o nueva tarifa, sin expresar más información al respecto, siendo lo más genérico posible para evitar la duda y que el fichero adjunto sea abierto por el receptor.

Nunca habras adjuntos no solicitados, si dudas consulta primero con el remitente para establecer una conversación real y ver si efectivamente el tiene constancia de que fue enviado desde su cuenta y cual es el motivo del mismo, y por supuesto manten el equipo de uso frecuente con un antivirus actualizado.

Envío de spam desde la propia cuenta

También puede ocurrir que la propia víctima sea la cuenta del receptor, este caso lo tratamos en el siguiente manual