Las señales del phishing pueden ser obvias: falta de concordancia entre la dirección del remitente y la de su supuesta empresa, inconsistencias lógicas, notificaciones que parecen proceder de servicios online. Sin embargo, no siempre es tan fácil detectar un correo falso. Una manera de hacerlo ver más creíble es modificar el campo visible que contiene la dirección de correo electrónico.
La técnica es bastante común en casos de phishing masivo, pero se ve un poco más en la mensajería dirigida. Si un mensaje se ve real, pero dudas de la autenticidad del remitente, intenta indagar un poco más y revisa el encabezado Received. Aquí te decimos cómo.
Motivos para dudar
Cualquier solicitud extraña es una alerta roja evidente. Por ejemplo, debes profundizar más en un correo electrónico en el que se te pide ir más allá de tu función o alguna acción no estándar, especialmente si afirma ser importante (¡petición personal del CEO!) o urgente (¡debe pagarse en las próximas dos horas!). Estos son trucos estándar de phishing También debes ser muy cauteloso si te piden:
- Seguir un enlace en el correo electrónico a un sitio web externo que solicite tus credenciales o información de pago.
- Descargar y abrir un archivo (especialmente un archivo ejecutable).
- Realizar acciones relacionadas con transferencias monetarias o acceso a sistemas o servicios.
Cómo encontrar los encabezados de los correos electrónicos
Por desgracia, el campo De visible es fácil de falsificar. Sin embargo, el encabezado Received debe mostrar el dominio real del remitente. Puedes encontrar este encabezado en cualquier cliente de correo. Para esta publicación estamos usando Microsoft Outlook como ejemplo debido a su amplio uso en empresas modernas. El proceso no debería ser muy diferente en otro cliente; si utilizas alguno, puedes consultar la documentación de ayuda o intentar encontrar los encabezados por ti mismo.
En Microsoft Outlook:
- Abre el mensaje que quieres revisar.
- En la pestaña Archivo, selecciona Propiedades.
- En la ventana de Propiedades que se abre, encuentra el campo Received en la sección de encabezados de Internet.
Antes de que llegue al destinatario, un correo electrónico puede pasar a través de más de un nodo intermedio, de manera que puedes ver varios campos de Received. Busca el último, el que contiene información sobre el remitente original. Debe verse algo así:
Verifica el dominio del encabezado Received
La manera más fácil de utilizar el encabezado Received es con nuestro Threat Intelligence Portal. Algunas de sus funciones son gratuitas, lo que significa que puedes utilizarlo sin registrarte.
Para verificar la dirección, cópiala, dirígete a Threat Intelligence Portal de Kaspersky, pégala en la caja de búsqueda en la pestaña Lookup, y haz clic en Look up. El portal arrojará toda la información disponible sobre el dominio, su reputación y los detalles WHOIS. El resultado debe verse algo así:
La primera línea tal vez muestra un veredicto de “Good” (bueno) o “Uncategorized” (sin categorizar). Esto solo significa que nuestros sistemas no han visto antes este dominio usarse para fines criminales. Al preparar un ataque dirigido, los atacantes pueden registrar un dominio nuevo o invadir un dominio legítimo con buena reputación. Verifica con cuidado la organización con la cual está registrado el dominio para ver si coincide con la que el remitente supuestamente representa. Es poco probable que, por ejemplo, un empleado de una empresa asociada en Suiza, por ejemplo, envíe un correo electrónico mediante un dominio desconocido registrado en Malasia.
A propósito, es buena idea utilizar nuestro portal para verificar los enlaces en el correo electrónico también, si parecen sospechosos, y utilizar la pestaña de File Analysis para verificar cualquier archivo adjunto del mensaje.
El Threat Intelligence Portal de Kaspersky cuenta con muchas otras funciones útiles, pero la mayoría solo están disponibles para usuarios registrados. Para obtener más información sobre el servicio, revisa la pestaña About the Portal.
Protección contra phishing y correos maliciosos
Aunque verificar los correos electrónicos sospechosos es una buena idea, evitar que los correos de phishing lleguen a los usuarios es mejor. Por lo tanto, siempre recomendamos instalar soluciones antiphishing a nivel del servidor de correo corporativo.
Además, una solución con protección antiphishing que se ejecute en las estaciones de trabajo bloqueará los redireccionamientos mediante enlaces de phishing, en caso de que los creadores del correo logren engañar al destinatario.