Análisis de correos electrónicos: Me han Hackeado

Hace algunas semanas recibí por enésima vez un correo que fui hackeado con el asunto

YOU HAVE BEEN HACKED

Obviamente y espero que no suceda, esto es falso. Porque digo espero que no suceda? porque nadie esta exento de que algún sistema no este bien asegurado y le peguen a gmail, hotmail, yahoo o a empresas de telefono o empresas de segundo factor de autentificacion.

Este fue el correo que recibí:

ACLARACION: este análisis lo estoy realizando en un entorno seguro aislado de mi equipo principal

Como veran dice que lo mando K para K, si ustedes reciben algun correo asi, como cualquier otro asegurense de mirar realmente desde que direccion viene porque se puede cambiar el nombre pero lo envia otra cuenta. En este caso como es un Ataque de phishing con características OBVIAS de Spoofing.

Basicamente, El spoofing es una tecnica que usan los atacantes para falsificar la informacion de un correo electronico (el encabezado). De esta manera parece que el mensaje proviene de una fuente legitima o confiable, pero en realidad proviene de algo fraudulento.

Cual es el objetivo principal? Engañar a quien recibe para que tome acciones que en su mayoría sean abrir enlaces con contenido malicioso que puede derivar en descargas de malware o falsos inicios de sesión de correos electrónicos entregando usuarios y contraseñas.

Explicando un poco mas técnico, para entender que es lo que "modifican" los atacantes.

El campo From para que el destinatario crea que es una cuenta legitima, pero en realidad viene de una IP o servidor no autorizado. Como es este ejemplo, de donde llego este correo 31[.]41[.]39[.]157.

Fallo en la autenticación SPF/DKIM/DMARC. Estos son protocolos que se utilizan en los correos electrónicos

• SPF (Sender Policy Framework)

• DKIM (DomainKeys Identified Mail)

• DMARC (Domain-based Message Authentication, Reporting & Conformance)

Y se utilizan para verificar la autenticidad del remitente. Y generalmente, no siempre es un fracaso al identificarse en estos mecaniscos lo que indica que el remitente no tiene autorizacion para usar el dominio de nuestro correos (hotmail, gmail, yahoo, etc). Es decir, esa IP no esta autorizada para hacer uso del nombre de los dominios de correo.

Entonces, para resumir la idea de este tipo de ataques. Ellos quieren que pienses que te hackearon la cuenta y te enviaron correo electronico desde tu propia cuenta para que les envies un pago y encima dicen que te vieron en paginas de contenido adulto y encima que por medio de un malware... En fin muchas cosas que no tienen sentido, no te asustes (por ahora). Nadie te robo la cuenta y no pagues nada.

Lo mejor que podes hacer si tenes dudas, es cambiar tu contraseña por otra y no poner el nombre de tu perrito o tu fecha de nacimiento.

Correo catalogado como Spoofing.

K.