¿Cómo detectamos un correo fraudulento?

Bueno, no hay herramientas maravillosas y lo que hay ya lo usan nuestros proveedores de correo electrónico, quiero decir Google, Microsoft o Apple que guardan en la carpeta de SPAM el correo sospechoso.

Los términos spamcorreo basuracorreo no deseado o correo no solicitado hacen referencia a los mensajes de correo electrónico no solicitados, no deseados o con remitente no conocido (o incluso correo anónimo o de falso remitente), habitualmente de tipo publicitario, generalmente son enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming o difusión indeseada.1 La palabra equivalente en inglés, spam, proviene de la época de la segunda guerra mundial, cuando los familiares de los soldados en guerra les enviaban comida enlatada; entre estas comidas enlatadas se encontraba una carne enlatada llamada spam,2 que en los Estados Unidos era y sigue siendo muy común.3 4 Este término comenzó a usarse en la informática décadas más tarde al popularizarse, gracias a un sketch de 1970 del grupo de comediantes británicos Monty Python, en su serie de televisión Monty Python's Flying Circus, en el que se incluía spam en todos los platos.5


¿Como evitamos caer en el juego que nos plantean estos emails?

Vamos a revisar algunos puntos de sentido común y para ello voy a usar un email, que me ha llegado recientemente.

 


Ok, de una inspección visual podemos determinar que el correo es de la red Linkidn y aquí esta el primer punto, ¿si yo no tengo esa red porque me llega esto? o como el mensaje de correo que nos indica que están esperando a que vayamos a por un paquete que no esperamos.

Bien, vamos por parte y miraremos las cosas importantes que tenemos que preguntarnos:

  • El dominio del email coincide con la empresa que nos indica
  • Hay faltas de ortografía
  • ¿Tenemos que hacer click en algún enlace?
  • Hay algún archivo adjunto

 Como podemos ver de la imágen, el dominio del correo no tiene relación con Linkedin


Aunque se identifica como Ditmar de Linkedin, obviamente no coinciden  asi que esta claro que hay truco...



Aunque el resto pueda parecer lógico o cuerdo, esta claro que estamos con un email falso y que seguramente si damos en el enlace como nos solicita terminaremos descargando algo que nos infecte el ordenador. 



En este caso, el email fue capturado por el sistema de SPAM de Gmail, pero eso no quita que podamos mirar lo que hay en esa carpeta. Pero si se hace, no debéis dar a ningún enlace ya que la carpeta es sólo una organización de mensajes y no tiene ningún tipo de protección extra, es decir si damos a un enlace de un correo que esta en la carpeta de SPAM es como si el email estuviera en nuestra carpeta de mensajes entrantes, asi que nada de dar en ningún enlace. 

Otro ejemplo, que también nos debe de hacer dudar es el uso de direcciones http en lugar de https, por ejemplo en este email veremos que los enlaces escritos nos apuntan a sitios con http.


Recordemos que las direcciones del tipo https, son encriptadas y por tanto su validez esta basada en el certificado que garantiza la conexión. Aún asi, si queremos acceder al enlace nos podemos encontrar con una sorpresa, que en mi caso al usar NextDNS bloquea el acceso, en este caso porque el dominio registrado tiene menos de 30 dias.


Cuando se hacen campañas para SPAM o Ransomware, se registran dominios que normalmente tienen muy poco tiempo de registro y es por esta razón que el uso de sistemas de protección como NextDNS nos protege de ellos, al bloquear los registros de menos de 30 dias.


Otro ejemplo, los enlaces...

En este caso vamos a revisar el correo de Mercadona que nos invita a reclamar un regalo exclusivo para nosotros. Primero el correo:


Ahora si vemos el email detectamos tres zonas donde hay enlaces de internet, esto es tan simple como desplazar el ratón sobre el mensaje y veremos como cambia el puntero del ratón para mostrarnos que es un enlace a algo.


Y ahora la sorpresa, veremos que al posicionar el puntero del ratón en cada una de estas zonas veremos que la dirección que nos aparece es la misma...aunque la función a la que nos debe llevar es diferente, por ejemplo:

A participar:

Darnos de baja del envió de estos correos:

y por último si no estamos satisfechos con estos correos:


Como podéis observar, TODAS las direcciones mostradas son la misma...es decir, independiente de donde demos vamos al mismo sitio y aquí esta la razón por la que cuando recibimos estos emails NO tiene sentido perder el tiempo pensando en darnos de baja para que no nos vuelvan a enviar.

Esta claro que es un correo SPAM, pero con esta revisión y el sentido común estamos dando el paso para detectar los emails fraudulentos.

Más ejemplos, en este caso un correo firmado por LiDL y aquí debemos de observar que la dirección, tanto en el enlace de la imagen 

Como en el botón para no recibir más correos como este, es el mismo:


Y si copiamos la dirección y verificamos en Virustotal...


veremos que son Malware y phishing, el problema de esto esta en que el dominio que se nos muestra si es correcto: storage.googleapis.com  que es el dominio de Google Cloud Storage y que es empleado para guardar software malicioso almacenado en un servicio legítimo de almacenamiento, como puede ser Dropbox o One Drive.

Os recomiendo dar un repaso  a la documentación de INCIBE sobre las campañas de correos fraudulentos, pero que tambien puede ser un SMS.

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campana-correos-fraudulentos-suplantando-al-ministerio-trabajo-y

Y recordar, proteger vuestras cuentas con el segundo factor para que sea más complicado el que accedan a vuestras cuentas, aunque conozcan la contraseña. 

Y por cierto, apuntaros a la news que así reciben un email cuando se actualiza el blog y algo más de temas de interés.

Saludos

Pedro