Aquestes són les tècniques de spoofing per correu electrònic més utilitzades

Gairebé tots els usuaris d’Internet estan familiaritzats amb el concepte de phishing, però hi ha un altre tipus d’atac per correu electrònic molt freqüent que no en coneixem tant. Saps què és el spoofing i en què es basa per enganyar els usuaris? Aquí t’ho expliquem. En els darrers anys, però especialment des de l’inici de la pandèmia , la transformació digital de la societat s’ha anat accelerant: els models de negoci, atenció i educació es basen cada vegada més a Internet, el teletreball s’està implantant en massa i, en conseqüència, s’usen més eines a la núvol. Però, alhora que les empreses evolucionen, també ho fan els atacs dels ciberdelinqüents. Ja el 2021 la signatura d’antivirus Kaspersky va alertar sobre una modalitat d’atac que va en augment< /a>. Es tracta del spoofing (‘suplantació’ o ‘imitació’ en anglès), que consisteix en utilitzar una sèrie de mètodes maliciosos per falsejar la identitat d’una pàgina, una entitat o una persona a la xarxa , amb l’objectiu principal de fer-se amb credencials que donaran als estafadors accés il·limitat a comptes privats o informació privilegiada.

La suplantació d’identitat per correu electrònic creix un 51% el 2023

La suplantació de correus electrònics és un dels tipus d’espoofing més clàssics que existeixen. Consisteix a falsificar l’adreça de correu d’una persona o una entitat de confiança per sol·licitar informació a la víctima. En els darrers anys s’han vist atacs d’aquest tipus dirigits, entre d’altres, a personal de recursos humans: un presumpte empleat de l’empresa escriu el departament de RH per avisar un canvi de compte bancari. A començaments del mes següent, el treballador reial es posa en contacte perquè no li han ingressat la nòmina. L’empresa ha pagat un estafador. A més, aquesta tècnica es fa servir per llançar altres classes d’atacs, que van del phishing a les estafes BEC (business email compromise o ‘suplantació de correu corporatiu’). El 2021, segons les dades de Kaspersky, només entre l’abril i el maig els casos detectats d’aquest tipus de ciberatac van passar dels 4.440 als 8.204. Entre el 2022 i el 2023, l’increment ha estat del 51%, i ha arribat a la xifra rècord dels 1,76 bilions de correus fraudulents, segons dades de l’informe elaborat per Vade Secure (Hornet Security).

Les tècniques més usades al spoofing per falsificar emails

Per fer que un spoofing de correu electrònic o suplantació d’identitat siguin creïbles, els ciberdelinqüents apliquen les tècniques següents:

1. Falsificació del “From”

El correu electrònic pot ser manipulat per mostrar una adreça d’enviament falsa a través del camp “De:” o “From:”, emmascarant un correu fals amb un nom legítim. El remitent fraudulent pot fer-ho fàcilment comprometent el protocol SMTP, creat sense cap protecció de seguretat, modificant els camps de capçalera del correu electrònic. Aquesta pràctica pot ser difícil de desemmascarar. Les marques han d’implementar DMARC per detectar aquests casos, com veurem més endavant.

2. Suplantació d’identitat d’un remitent real (phishing)

En aquest cas, el correu fals està signat per un company, client o departament «real» amb què la víctima té contacte més o menys habitual. La direcció, però, no és la correcta. Gairebé totes les plataformes de correu electrònic mostren el nom del remitent en lloc de l’adreça d’enviament a la safata d’entrada perquè sigui més còmoda. El problema rau en el fet que la majoria dels usuaris només se sol fixar en el nom del remitent: si el coneix, se’n fia. Un conegut exemple és el de l’estafa del CEO, adreçat a un empleat amb capacitat per fer transaccions. Aquest rep un correu suposadament procedent del CEO de l’empresa que, amb algun pretext, sol·licita la realització d’una transacció econòmica urgent, saltant-se els protocols habituals per a aquests tràmits. A diferència d’altres tipus d’emails de correu brossa, aquest atac té un blanc específic. Es basa en l’enviament de missatges des d’una adreça registrada en un domini vàlid (p. ex. spamming@gmail.com o emisorcreible@outlook.com), però sota el nom d’un soci o proveïdor conegut a l’organització en qüestió. Els filtres d’spam no detecten aquests correus electrònics perquè no inclouen contingut sospitós, només frases vagues que sol·liciten informació o una acció relacionada amb un compte o factura.

3. Dominis enganyosament similars (typosquatting)

Quan el domini d’una organització està protegit mitjançant autenticació, els ciberdelinqüents poden intentar enganyar el destinatari registrant-ne d’altres que s’assemblen molt a primera vista. Aquest tipus d’emails falsos es coneixen com a atacs homògrafs i consisteixen a ometre o afegir una lletra o paraula, o introduir algun error ortotipogràfic. Imaginem que el nostre domini és noticias.com; podríem trobar variants d’aquest tipus:

• Faltes ortogràfiques: notisias.com
• Errates: noricias.com
• Reformulació: noticia.com
• Extensió diferent: noticias.app
• Afegida: noticias-actualitat.com
• Ús de caràcters semblants: 1 en lloc de l (paypa1 en lloc de paypal)

Un exemple famós és el de la suplantació de l’empresa postal alemanya Deutsche Post mitjançant el correu deutschepots.de (en comptes de deutschepost.de). Aquest canvi subtil pot passar desapercebut fàcilment entre més d’un usuari.

4. Ús de caràcters d’altres alfabets

Els atacants també poden substituir alguna lletra de l’alfabet llatí per caràcters d’un altre alfabet al rang Unicode. El ciríl·lic és una opció molt habitual, perquè els clients de correu electrònic el transformen de tal manera que moltes lletres són visualment idèntiques a les llatines (la lletra ciríl·lica i, per exemple, és gairebé indistingible).

5. Manipulació del contingut del missatge

Els atacants poden crear correus electrònics amb contingut enganyós o alarmant, com ara falses notificacions de problemes amb el compte o advertiments de seguretat falses, amb l’objectiu que el destinatari actuï impulsivament.

6. Social engineering

A més de la manipulació del contingut del correu electrònic, els atacants poden utilitzar tàctiques de manipulació psicològica per induir el destinatari a realitzar accions específiques, com clicar en enllaços maliciosos o descarregar fitxers adjunts infectats.

7. Reutilització de credencials compromeses

En alguns casos, els atacants poden obtenir accés a comptes de correu electrònic legítims mitjançant tècniques de phishing o atacs de contrasenya, i utilitzar-los per enviar correus electrònics de spoofing a altres destinataris.

Evolució de l’email spoofing entre 2020 i 2024

L’evolució del spoofing de correu electrònic entre 2020 i 2024 ha estat marcada per diversos factors:

1. Millora de les defenses de seguretat: Les empreses i organitzacions han millorat les seves defenses contra el spoofing de correu electrònic mitjançant la implementació de solucions de seguretat més avançades, tals com filtres de correu electrònic, autenticació de dominis ( DMARC, SPF, DKIM ), i solucions d’intel·ligència artificial per a la detecció de correus electrònics fraudulents.
2. Augment de la sofisticació dels atacs: Tot i les defenses millorades, els atacants han continuat evolucionant les seves tècniques per eludir les mesures de seguretat i enganyar els destinataris. Això inclou lús de més sofisticades tàctiques de social engineering, com la personalització dels correus electrònics per a objectius específics i la utilització dinformació personal extreta de línies dassumpte o contingut de correus electrònics anteriors.
3. Increment de l’ús de tècniques d’automatització: Els atacants han aprofitat les tecnologies d’automatització per augmentar l’eficiència dels seus atacs de spoofing de correu electrònic. Això inclou l’ús de bots per generar correus electrònics massius amb contingut enganyós i la utilització de serveis d’infraestructura de pesca com a serveis per enviar correus electrònics de forma massiva.
4. Major enfocament en els atacs dirigits (Spear Phishing): En lloc d’atacar àmpliament grans audiències, els atacants han posat més èmfasi en els atacs dirigits, coneguts com spear phishing. Aquests atacs impliquen la personalització dels correus electrònics per a objectius específics, com per exemple empleats d’empreses o individus d’alta jerarquia, per tal de maximitzar les possibilitats d’èxit.

Com prevenir la suplantació d’identitat per correu electrònic

Les empreses poden adoptar diverses mesures de seguretat i precaucions per intentar impedir aquests atacs, inclòs aprofitar els seus drets de propietat intel·lectual per actuar ràpidament en casos de suplantació d’identitat en línia, que sovint passen per alt. Vegem quins recursos hi ha disponibles per prevenir el frau per suplantació de correu o email spoofing:

Monitorització de dominis

La monitorització de dominis forma part del grup de serveis de detecció proactiva d’infraccions en línia. Aquest tipus de serveis detecten i prevenen prematurament aquests tipus de ciberatacs, fins i tot abans que el domini es propagui entre les víctimes , en lloc d’actuar quan ja s’ha donat lloc l’atac. El “millor prevenir que curar” de tota la vida. hem adonat, aquest servei ho detectarà.

En què consisteix?

El monitoratge de dominis escaneja la marca de la teva empresa (per exemple, “ubilibet”) i detecta els dominis registrats o expirats (és a dir, van ser registrats però després d’expirar no es van renovar, per la qual cosa estan disponibles perquè qualsevol els torni a activar ) que l’esmenten al nom de domini (per exemple, “ubilibetonline.com” o “suport-ubilibet.com”).

Com s’ha d’utilitzar correctament

Perquè la monitorització de dominis sigui una eina de prevenció del frau online útil, no ha de caure en la mala praxi d’usar-se amb caràcter retroactiu, és a dir, “veurem a veure què hi ha registrat”. Sinó per detectar en temps real quan s’acaba de registrar un domini amb la teva marca. És a dir, que avui s’acaba de registrar. Només així podem avançar-nos al ciberatac i frenar-lo abans que puguin fer una campanya de pesca que causi víctimes. A més, ens hem d’assegurar que el nostre proveïdor ens ofereixi una eina que inclogui el màxim de variants possibles en la construcció del nom de domini: que inclogui caràcters d’altres alfabets, guions, que detecti automàticament typos (ús deliberat d’errors, com “ubilibt” o “ubiliebt”), ús confús de caràcters (com una “i” majúscula en lloc de “l”). Així mateix, altres funcionalitats avançades, com a resultats il·limitats, són rellevants per assegurar-nos la més cobertura possible.

Monitorització de continguts i metadades

Ha diferència de la monitorització de dominis, la monitorització de continguts i metadades ens permet < strong>identificar pàgines web que han clonat la nostra pàgina oficial o fan un ús fraudulent de la nostra marca, a través de l’escaneig dels continguts i metadades de la home page. Això ens permet identificar dominis que no esmenten la marca al nom de domini, però sí que fan un ús fraudulent de la nostra marca en els seus continguts. Per tant, és un servei que complementa i incrementa la cobertura del servei de monitorització de dominis. Idealment, els hauríeu de tenir tots dos.

Vigilància de dominis sospitosos

Què passa si algú ha registrat un domini que esmenta la teva marca, però ho ha deixat aparcat o sense desenvolupar (“no hi ha res” en ell)? En aquests casos, no hi ha res a denunciar encara, ja que no ha comès cap infracció o ús fraudulent. No obstant això, la menció de la nostra marca en el nom de domini és sospita suficient que es pot haver registrat per cometre un atac de pesca, oi? En aquests casos, s’utilitza un servei de vigilància amb el >es monitoritza l’activitat d’aquest domini buit. D’aquesta manera, quan es detecta que s’ha desenvolupat una pàgina web amb contingut, s’ha activat un servidor de correu o hi ha hagut un canvi a la DNS, es rep una alerta a mesura que s’ha de tornar a revisar. Ara sí que podrem prendre mesures si hi ha algun risc real.

Com detectar atacs de correu electrònic spoofing en curs

Imaginem que tot això falla o no ho tenim implementat encara. Com podríem detectar quan hem fet un atac de suplantació d’identitat per correu amb la nostra marca? Et donem algunes claus:

Protocols de seguretat: SPF, DKIM i DMARC

Els protocols de seguretat per a correu tenen com a objectiu garantir l’entrega dels correus electrònics que envies a les teves bases de dades de contactes i, als usuaris, que ets un remitent de confiança, segur. Per això, és extremadament important comptar-hi. Especialment ara que els grans clients de correu com Gmail o Yahoo s’han posat durs amb els requisits per senders massius. SPF és un registre txt al vostre DNS que indica quins remitents i quins IPs tenen permís per enviar correus en el vostre nom. Perquè un remitent passi aquesta autenticació, haurà d’estar inclòs en aquest registre. Si no, el client de correu marcarà que no ha passat SPF i, probablement, acabi a la carpeta dspam. DKIM funciona com una signatura de correu que garanteix que aquest no ha estat alterat per un tercer entre l’enviament i el lliurament. DMARC és un protocol que ens permet tenir visibilitat sobre el trànsit al vostre domini i definir 3 polítiques que determinen què fer en cas de detectar una irregularitat: no fer res, enviar el correu a spam o bloquejar-lo. DMARC és el màxim exponent de seguretat de correu per a remitents i un dels requisits que exigeixen els grans clients de correu avui dia.

Com ens ajuda DMARC a detectar frau per suplantació de correu electrònic?

Una de les claus de DMARC són els informes que envia amb les irregularitats que detecta al trànsit. Per exemple, quan detecteu que hi ha un pic de correus que no ha superat els protocols de seguretat SPF i/o DKIM ens envia una alerta. Aquests pics significa que s’han enviat amb el nostre domini correus a grans quantitats de bústies de correu que l’han marcat com a correu brossa i, si no ens encaixa amb les activitats de comunicació i màrqueting de la nostra empresa o els nostres nivells de lliurament habituals, seria un indicatiu que algú ha fet servir el nostre domini per fer un atac de phishing mitjançant email spoofing. Si voleu saber més sobre DMARC, us recomanem llegir la nostra Guia completa d’implementació de DMARC .

Correus rebotats

Encara que una mica més rudimentària, és una altra tècnica que podem fer servir per detectar aquests casos. Quan els ciberdelinqüents usen grans bases de dades de contacte per realitzar atacs de phishing per email, sovint trobaran moltes bústies que ja no existeixen, per la qual cosa generaran munts de correus de “mail delivery failure” del nostre client de correu. Si estem alerta d’aquests correus electrònics del sistema, podrem detectar enviaments que no hem realitzat nosaltres.

La teva marca ha estat víctima d’estafa per correu electrònic sproofing?

Si la nostra marca es troba a la tessitura d’haver estat usada en un ciberatac, podem dur a terme diferents accions legals que ens permeten desactivar dominis que usen la nostra marca o els continguts que mostren. Posa’t en contacte amb el nostre equip legal, analitzarem el vostre cas i us assessorarem quant als mecanismes per frenar qualsevol activitat il·lícita en marxa. Així mateix, estudiarem quines solucions són adequades per evitar futurs atacs amb la vostra marca.