En esta entrada vamos a llevar a cabo el seguimiento de como se analiza un correo de dudosa procedencia o mejor conocidos como spam y phishing, sin más que agregar comenzamos por un concepto importante:
¿Qué es el Phishing?
El phishing es un ataque en el cual el atacante engaña al usuario y por lo general tiene como objetivo robar su información, para que esto suceda, este mismo envia enlaces maliciosos sobre correos electrónicos o la ejecución de archivos maliciosos en su computadora.
⚠️ Los ataques de phishing caen en la etapa de DELIVERY del Cyber Kill Chain
Ejemplos de Phishing
⛔ Haz ganado un regalo
⛔ No te pierdas el gran descuento
⛔ Si no hace click en el enlace del correo, su cuenta será suspendida
En esta entrada daremos una introducci
Information Gathering
El information gathering en un análisis de correo de phishing indispensable para recopilar los datos disponibles sobre el email y sus componentes. Esto es esencial para entender la procedencia, el propósito y el nivel de riesgo que el correo puede representar.
⛔ Debido a que los correos no cuentan con mecanismo de Autenticación, un atacante puede enviar correos a nombre de una persona, así mismo haciéndole creer al usuario que el correo es totalmente confiable.
Se han creado diversos protocolos para la prevención de suplantación de correo electrónico, por ejemplo:
- SPF (Sender Policy Framework)
- DKIM (Domain Keys Identified Mail)
- DMARC
Estos protocolos se utilizan para verificar si la dirección del remitente es real o es falsa.
✅ Una de las tareas del information Gathering para saber si un correo es falso o no, sería identificar la dirección del servidor SMTP remitente.
✅ Otra tarea que debe asumirse en la recopilación de información, es: realizar el análisis de tráfico de correo, es un análisis en el cual se tienen que verificar muchos parámetros para definir un ataque de phishing:
- Dirección del remitente (Ejemplo: info@rojosecurity.com)
- Dirección IP SMTP (127.0.0.1)
- Nombre de Dominio @rojosecurity.com
- Asunto (La dirección del remitente y del servidor SMTP pueden cambiar constantemente)
Conclusión
El análisis de correos sospechosos es clave para detectar intentos de phishing. Revisar la autenticidad del remitente, los protocolos de seguridad y el contenido del correo ayuda a identificar amenazas. Este proceso es esencial para proteger la información y reducir el riesgo de ataques en cualquier entorno.
En siguientes entradas estaremos viendo más partes del análisis de phishing para complementar este tema de manera más completa.
Rojo Security 