Como identificar un correo malicioso

23 de noviembre, 2021 @ 13:08 — 0 comentariosDescargar PDF

En esta guía te explicamos que es y como identificar el Phising vía correo electrónico, conocido también como correo malicioso o fraudulento.

1 - Que son los correos maliciosos (Phishing)

El phishing es una forma de fraude en la que un atacante se hace pasar por una entidad o persona de confianza en el correo electrónico u otras formas de comunicación. Los atacantes suelen utilizar los correos electrónicos de phishing para distribuir enlaces o archivos adjuntos maliciosos que pueden realizar diversas funciones, como extraer las credenciales de acceso.

Bloquear todo el phishing es realmente complicado, así que nuestra mejor defensa es saber identificarlos correctamente, es decir, prestar atención al detalle y no caer en la trampa.

2 - Analiza el Nombre de Dominio

La primera regla y más importante, es determinar bien el nombre del dominio (la parte que sigue al símbolo @) es decir, de que dirección se envió el correo.

  • No te limites a comprobar el nombre de la persona que te envía el correo electrónico en tu cliente de correo electrónico, verifica siempre la dirección de correo electrónico pasando el ratón por encima de la dirección "de" o revisando el cuerpo del correo.
  • Verifica bien el dominio, ya que la diferencia entre 2 direcciones puede ser pequeña (no es lo mismo @paypal.com que @paipal.com).
  • Generalmente, cuando se trata de correos enviados por campañas de phishing que buscan infectar nuestro sistema suelen tener direcciones poco usuales. Por ejemplo dominios con extensiones que no reconocemos, muchos números y letras con poco sentido.

Normalmente, los emails fraudulentos se envían desde una dirección de correo que no tienen nada que ver con la empresa a la que están intentando suplantar, no caigas en la trampa: es una dirección de correo electrónico falsa seguro.

El mensaje se envía desde un dominio de correo electrónico público

Ninguna organización legítima enviará correos electrónicos desde una dirección que termine en "@gmail.com", la mayoría lo harán desde su propio dominio, que por regla general, suele ser igual que el nombre de la organización.

Por ejemplo, para Google será de "@google.com" y para Paypal, desde "@paypal.com" o "@paypal.es".

En caso nuestro, los correos que enviemos, siempre tendrán la palabra "guebs" en el asunto, estarán firmados y se enviaran desde @guebs.com.

3 - Revisa la gramática

Otra forma de detectar el phishing es la mala gramática y los errores ortográficos. Las empresas legítimas tienen personal capacitado y cada vez que envían mensajes/correos electrónicos revisan sus correos. Por tanto, si un mensaje tiene errores ortográficos y gramaticales, tiene salto de línea o parece un correo automatizado, siempre es mejor tomar precauciones.

4 - Archivos adjuntos

La mayor parte del intercambio de archivos hoy en dia se realiza ahora a través de herramientas de subida de archivos, como Dropbox. Por lo tanto, los correos electrónicos internos con archivos adjuntos deben tratarse siempre con recelo, especialmente si tienen una extensión desconocida o una asociada normalmente con el malware (.zip, .rar, .exe, etc.)

5 - Analiza la estructura del correo

Es muy común que los correos maliciosos intenten engañar a los usuarios enviando correos electrónicos que parecen de grandes empresas, por ejemplo de Apple o Microsoft.

En el caso de los proveedores de Dominios y Servidores, lo más normal es que se hagan pasar por un gestor de correo, cPanel o la misma ICANN (Corporación de Internet para la Asignación de Nombres y Números)

A continuación, ponemos varios ejemplos de cómo los ciberdelincuentes suelen intentan engañar a los usuarios:

Ejemplo de correo malicioso (Webmail)

Como se puede apreciar en la imagen, este correo se hace pasar por Webmail indicando que el buzón está desactualizado y que es necesario actualizarlo lo antes posible.

1: Asunto del correo

La mayoría de correos fraudulentos utilizan asuntos llamativos, como por ejemplo que es necesario revisar X servicio contratado. En este caso, el correo se hace pasar por una Notificación con un montón de números (sospechoso) indicando tan solo "Su cuenta Webmail".

En guebs, todos los correos de departamento de gestión o soporte técnico, empezarán por [guebs] -> Asunto de correo o [guebs #XXX] -> para las consultas.

2: Revisa el remitente

No confíes en el nombre para mostrar, verifica siempre la dirección de correo electrónico pasando el ratón por encima de la dirección "de" y si te resulta sospechoso, no abras el correo electrónico.

Nuestros correos siempre serán enviados desde "@guebs.com"

3: Diseño del correo

Es importante también fijarse en el diseño del correo, como se puede apreciar, han intentado "imitar pobremente" la tipografia de Roundcube, pero realmente si estamos familiarizados con este cliente de correo web, sabremos que no se parece en nada.

4: No se dirige al usuario por su nombre

Lo habitual en este tipo de correos fraudulentos es que las comunicaciones sean bastante impersonales, es decir, que comienzan dirigidos de forma genérica, ya que realmente son envíos masivos del mismo correo y no saben el nombre del cliente.

En guebs, nuestros correos siempre estará dirigidos junto al Nombre del cliente, por ejemplo, Hola Juan o Kaixo Juan.

5: Contenido principal del correo

  • Mueve el ratón sobre cualquier enlace o imagen del correo electrónico. Si la dirección de correo te parece sospechosa, no hagas click sobre el.
  • Nunca solicitaremos las credenciales personales desde un enlace directo con imagen, no envíes formularios y si tienes dudas, ponte en contacto con el soporte de guebs antes de rellenar uno.
  • El texto del mensaje transmite urgencia, para animarnos a actuar sin reflexionar
  • Las firmas es otro aspecto que tenemos que tener muy en cuenta. Si sabemos que un correo viene normalmente firmado de una manera determinada, un cambio en la firma o su ausencia debería hacernos sospechar.

Los correos enviados por guebs siempre vendrán firmados por un técnico, el correo del departamento y la dirección oficial de guebs (www.guebs.com).

Ejemplo de correo malicioso (cPanel)

En este caso de ejemplo, es un aviso de cPanel, en el que "supuestamente" nos están indicando que el espacio ocupado del disco del Hosting se está agotando.

Realmente este correo está bastante trabajado, ya que cPanel sí que avisa a los usuarios enviando un correo muy similar cuando se está llegando al límite del espacio en disco, así que un usuario puede confundir este intento de phishing fácilmente.

1: Revisa el remitente

El remitente está haciéndose pasar por no-reply@viajandosimple.com, esto es posible ya que realmente cualquiera puede enviar un email poniendo el From que quiera, de modo que lo mejor será revisar el cuerpo de correo.

2: Nombre de usuario

Tal y como pasaba con el correo de Webmail, la comunicación es impersonal, ya que el atacante solo sabe el nombre del dominio ya que todos los dominios son publicos.

EL correo de aviso de espacio en disco enviado por Cpanel, siempre vendrá indicado con nuestro usuario de cPanel.

El correo transmite Urgencia

En el contenido del correo empieza indicando que se podrá aumentar el espacio del disco "gratuitamente" y que es necesario aumentarlo o perderemos archivos. Claramente, este es un atractivo (coste gratuito) y una Urgencia (perder archivos) para caer en el anzuelo.

EL correo de aviso de espacio en disco enviado por Cpanel, solamente nos indicará que eliminemos algunos archivos de la cuenta o que aumentemos el espacio.

Verificar enlaces

Este es el punto más importante y el que nos indicará claramente que el correo es Phishing.

Sin pinchar sobre los enlaces, vemos que el texto de los enlaces "supuestamente" parece legitiomo, pero realmente no lo es.

Debemos de tener en cuenta que si en en un enlace vemos escrito X, no significa que realmente vaya en X, ya que el formato de texto puede estar enlazado en otra pagina totalmente diferente.

Para ver donde realmente enlaza el texto, simplemente pinchamos sobre el y le damos en Inspeccionar. Como podeis observar en la imagen, el correo no enlazaba en midominio123.com, sino en otro totalmente diferente.

Comprueba el espacio

Si sospechamos de que no tenemos problemas de espacio, lo mejor será comprobarlo por nosotr@s mism@s desde el propio cPanel tal y como se explica en la siguiente guía.

6 - No es el fin del mundo

  • Abrir accidentalmente un correo electrónico o un sitio web de phishing no siempre tiene que acabar mal. Mientras no facilites tus credenciales de acceso u otra información privada, las posibilidades de fraude son pequeñas.

  • Si facilitas las credenciales, restablece la cuenta o el servicio afectado cambiando las contraseñas lo antes posible.

  • Si descargas accidentalmente un archivo adjunto en un correo electrónico o descargas algo de una página web y lo ejecutas, existe la posibilidad de que tu ordenador se infecte con malware, por eso, intenta mantener siempre actualizado tu Sistema Operativo, tu gestor de correo (Outlook, Apple Mail etc.) y aplicaciones de seguridad.

¡Recuerda, el phishing se basan en el desconocimiento de la gente y da lugar a que la gente entregue voluntariamente su información!

Etiquetas: