E-Mail Spoofing

Durante unos meses he estado recibiendo correos electronicos que como remitente tenian mi propia dirección de correo y con contenidos un poco sospechosos y los envíaba directamente a spam.

Sin embargo, despues estar trabajando en RSI con servidores DNS y hablarnos de envenenamiento de dns, man in the middle y cosas de esas y en SAD con temas fraudes en la red, me picó un poco la curiosidad de quién o que podia estar usando mi cuenta de correo para enviarme esos e-mails.

Leyendo un poco llegue a la conclusión que mi dirección de correo se estaba utilizando mi correo para realizar campañas de spam. Se podría decir he sido victima de un un tipo de spoofing: E-MAIL SPOOFING.

E-Mail Spoofing es un término que describe  la actividad de correo electrónico fraudulenta, en la cual se introducen comandos en las cabeceras que alteran las información del mensaje (spoofing). La dirección de remitente y otras partes de la cabecera del correo son cambiadas (campos From, Return-Path and Reply-To), así un usuario mal intencionado puede hacer que el e-mail parezca ser de remitido por alguien que en realidad no es. El e-mail spoofing es una técnica comúnmente usada para realizar actos delictivos:  SPAM y phishing.

Este delito es posible porque el Protocolo SMTP, el protocolo principal usado en el enviar al correo electrónico, no incluye un mecanismo de autenticación. Aunque existe extensión de servicio de SMTP (especificado en IETF RFC 2554) que permite a un cliente SMTP para negociar un nivel de seguridad con un servidor de correo, esta precaución a menudo no se toma.imagesLa forma de averiguar el origen de un correo electrónico es leyendo la cabecera del mensaje, de forma que se puede obtener informacion como la “fecha/hora de envío”, el “remitente” (será el correo suplantado), el “User-Agent” desde donde salió “supuestamente el correo” (también puede ser suplantado) y otros datos que pueden ser útiles en un análisis posterior para los administradores de sistemas.

Abriendo la cabecera de uno de los correos comprobé que la dirección IP de envio no era la mía.Imagen1Con la IP que obtuve en la cabecera 122.166.19.243 hice un tracerote

2016-03-16 21_17_11-http://www.yougetsignal.com/tools/visual-tracert/

Lo que me permitió conocer que el servidor de correo desde donde se mandó el e-mail está en la India.

Tambien comprobé si la dirección estaba en alguna lista de denunciada por abuso.

02_abusehttp://www.abuseipdb.com/check/122.166.19.243

Video ilustrativo de como realizar un e-mail spoofing.

 

Enlaces de interes:

http://blog.theliel.es/2010/02/seguridad-spoofing-capitulo-quinto-email-spoofing.html
http://hacking-etico.com/2010/08/26/hablemos-de-spoofing/
https://www.cert.org/historical/tech_tips/email_spoofing.cfm
https://www.osi.es/mis-contactos-estan-recibiendo-spam-y-el-remitente-soy-yo-por-que.html

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: