ANÁLISIS DE CABECERAS DE CORREO ELECTRÓNICO PARA DETECCIÓN DE PHISHING
El phishing busca robar datos personales mediante enlaces maliciosos o archivos ejecutables en emails. Direcciones sospechosas, lenguaje amenazante, errores gramaticales, adjuntos sospechosos, solicitudes de información sensible. Los atacantes pueden suplantar identidades utilizando técnicas de spoofing. Es crucial analizar la dirección del remitente, la dirección IP SMTP, el dominio del correo electrónico y el asunto para identificar ataques.
Cabeceras de Email:
Las cabeceras contienen información vital como el remitente, destinatario, fecha, ruta del email, entre otros.
CABECERAS DE CORREO ELECTRÓNICO Y SU SIGNIFICADO
- From (De): Indica el nombre y la dirección de correo electrónico del remitente. Ejemplo: From: «John Doe» <john.doe@example.com>
- To (Para): Contiene los detalles del receptor del correo electrónico, incluyendo su nombre y dirección de correo electrónico. Ejemplo: To: «Jane Doe» <jane.doe@example.com>
- Date (Fecha): Muestra la fecha y hora en que se envió el correo electrónico. Ejemplo: Date: Wed, 16 Nov 2021 16:57:23 +0100
- Subject (Asunto): Menciona el tema del correo electrónico. Resume el contenido del mensaje. Ejemplo: Subject: Reunión programada para el 20/11/2021
- Return-Path (Ruta de Retorno): También conocido como Reply-To. Si respondes a un correo electrónico, irá a la dirección mencionada en este campo. Ejemplo: Return-Path: <reply-to@example.com>
- Domain Key y Firmas DKIM: Las firmas Domain Key y Domain Key Identified Mail (DKIM) ayudan a los proveedores de servicios de correo electrónico a identificar y autenticar tus correos electrónicos, similar a las firmas SPF. Ejemplo: DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=brisbane; c=relaxed/relaxed;…
- Message-ID (ID del Mensaje): Un campo de encabezado único que identifica cada correo electrónico con una combinación de letras y números. No hay dos correos electrónicos con el mismo Message ID. Ejemplo: Message-ID: <CADn8pRJXn0Mk0k+mTO=fpj@mail.gmail.com>
- MIME-Version: Las Multipurpose Internet Mail Extensions (MIME) son un estándar de Internet que convierte contenido no textual como imágenes y videos en texto, para que puedan adjuntarse a un correo electrónico y enviarse a través de SMTP. Ejemplo: MIME-Version: 1.0
- Received (Recibido): Lista cada servidor de correo por el que pasó un correo electrónico antes de llegar a la bandeja de entrada del destinatario. Se lista en orden cronológico inverso. Ejemplo: Received: from mx0.example.com (mx0.example.com. [198.51.100.22]) by mx.google.com with ESMTPS id…
- X-Spam-Status: Muestra el puntaje de spam de un mensaje de correo electrónico, incluyendo si se clasifica como spam y cuál es el umbral de spam para el correo. Ejemplo: X-Spam-Status: No, score=-1.9
MEDIDAS DEFENSIVAS:
Escaneo y filtrado de emails, pasarelas de seguridad de email, autenticación DNS, antimalware/antispam, autenticación multifactor (MFA), y concienciación.