En mi trabajo diario como responsable de comunicaciones de ValiMail , paso mucho tiempo explicando lo fácil que es crear correos electrónicos fraudulentos usando una dirección de correo electrónico que no te pertenece.
Una dirección "de" falsa es, de hecho, cómo ocurre la mayoría de los ataques de correo electrónico . Y los ataques por correo electrónico (también conocidos como phishing) son la forma en que comienzan la mayoría (en realidad, la gran mayoría ) de los ataques cibernéticos. Entonces, la facilidad de falsificar correos electrónicos de personas es una vulnerabilidad importante.
Pero, te preguntarás, ¿por qué me molestaría en falsificar un correo electrónico de "company.com" cuando podría registrar un dominio falso (como c0mpany.com) y usarlo? ¿O crear una cuenta de Gmail ([email protected]) y darle un nombre descriptivo que parezca el director general de una empresa?
Bueno, en realidad, es significativamente más fácil falsificar la dirección de una persona real en una empresa real que registrar un dominio falso, o incluso crear una cuenta de Gmail desechable.
Así de fácil es.
Encuentre un sitio web como deadfake , que se describe a sí mismo como “un sitio que le permite enviar correos electrónicos falsos gratuitos a cualquier persona que desee”. O anonymailer.net. O spoofbox.com. Hay docenas. Muchos de ellos son gratuitos, algunos cuestan un poco de dinero para enviar correo. Después:
Aquí hay un mensaje que me envié usando la dirección del presidente Trump. Tenga en cuenta que Gmail sospecha de la fuente; es por eso que puso un pequeño signo de interrogación rojo junto a la dirección.
Si tiene una computadora que está configurada con servicios de correo, o puede usar telnet o SSH a una computadora que tiene servicios de correo, puede falsificar una dirección de remitente con una línea. Solo escribe esto:
mail -aFrom:lo que [email protected]
Eso crea un mensaje que dice "lo que [email protected]" en el campo De. Escribe una línea de asunto y el resto de tu mensaje, presiona Ctrl-D cuando hayas terminado y el mensaje desaparece.
Esto no funciona en todas las versiones de Unix, y si funciona depende de cómo esté configurado su sistema (si está conectado a Sendmail, etc.). Aún así, esta es la idea básica y funciona en muchos sistemas.
Debido a que no soy muy sofisticado con la programación, uso PHP cuando necesito codificar cosas para mis sitios web personales. Es rápido, fácil y lo usa aproximadamente el 90% de las personas (como yo) que no saben más sobre programación de lo que pudieron obtener a través de las búsquedas de Google y robando fragmentos de código publicados en varios foros públicos. (Esa es también la razón por la que a menudo se acusa a PHP de ser inseguro). Hey, construí un sistema de administración de contenido de sitio web completo en PHP. Si puedo resolverlo, ¿qué tan difícil puede ser?
Sin entrar en todos los pros y contras de PHP, diré que es perfecto para propósitos de correo electrónico. Puede falsificar correos electrónicos con cinco líneas de código PHP muy simple:
<?php$para = '[email protected]';$asunto = 'el asunto';$mensaje = 'hola';$encabezados = 'De: [email protected]' . "\r\n";mail($para, $asunto, $mensaje, $encabezados);?>
Nota: Estas son líneas reales de código utilizadas como ejemplo en el manual en línea para la función mail() de PHP . Saqué un par de líneas que en realidad no necesitas.
De nuevo: las configuraciones varían; tal vez esto no funcione en todas las versiones de PHP en todos los servidores.
El mundo del correo electrónico, hasta hace muy poco tiempo, era un lugar de total confianza. La mayor parte todavía lo es. No importa quién sea, si uso el comando de correo de Unix o el correo de PHP(), el correo electrónico se envía a Internet e Internet se lo entrega amablemente a quien sea, con los encabezados exactos que especifiqué. Nadie verifica si soy dueño de la dirección que usé en el campo de. A nadie le importa.
Bueno, casi nadie: como mencioné anteriormente, Gmail y algunos otros clientes de correo están comenzando a marcar el correo que parece sospechoso, como mi mensaje de correo anónimo. Aún así, eso depende del cliente que use y/o del servidor de correo receptor.
Por supuesto, estas herramientas de suplantación de identidad son bastante simples. Si quiero hacer un formato más elegante y hacer que mis mensajes se vean aún más realistas, se necesita un poco más de trabajo. Pero la falsificación básica es así de simple.
Lo único que realmente detiene las direcciones de origen falsas es la autenticación de correo electrónico utilizando un estándar llamado DMARC . Pero eso solo funciona si el dominio que está intentando falsificar ha publicado un registro DMARC y lo ha configurado con una política de cumplimiento. Entonces, y solo entonces, casi todos los servidores de correo electrónico que reciben mensajes (Gmail, Yahoo Mail, etc.) bloquearán los correos electrónicos falsos.
Afortunadamente para los estafadores, la mayoría de los dominios de Internet aún no lo han hecho. Por ejemplo, solo alrededor del 4% de los dominios .gov se han protegido.
¿En cuanto al otro 96%? Los estafadores pueden falsificar correos electrónicos de esos dominios durante todo el día sin repercusiones.
Dominios como justice.gov. House.gov. Senado.gov. Whitehouse.gov.
Y también dominios como democrats.org, dnc.org, gop.com, rnc.org. y DonaldJTrump.com.
Todos ellos pueden ser falsificados fácilmente por estafadores de correo electrónico con acceso a una línea de comandos de Unix o algunas habilidades rudimentarias de PHP. Y, como estamos aprendiendo, los estafadores se han aprovechado de esa vulnerabilidad. Por ejemplo, según una fuente, uno de cada cuatro mensajes de correo electrónico de dominios .gov es fraudulento .
Y es por eso que estoy tratando de transmitir el mensaje: es demasiado fácil falsificar correos electrónicos de la mayoría de las fuentes. Necesitamos comenzar a autenticar nuestro correo electrónico hoy.
PD: Me encantaría saber lo que piensas. Si tiene alguna idea sobre esto, ¡por favor deje un comentario a continuación!
Publicado originalmente en dylan tweney .