Correo electrónico: "el caos más maravilloso y problemático que existe"
Con el teletrabajo la línea que divide lo personal de lo profesional se difumina
Correo electrónico: "el caos más
maravilloso y problemático que existe"
Proveedores de correo electrónico
Phishing
Uso del correo electrónico
Typosquatting
Email spoofing
Vector: Correo electrónico. Objetivo: tu interacción.
Vulnerabilidades puramente técnicas
En equipo del usuario
En servidor de correo
Servidores email comprometidos
Móvil
Corporativo (PYMES, grandes compañías)
Gratuito
Anatomía de un dominio
De dominio para dentro
De dominio para fuera
Auto gestionado
Delegado a terceros
PS, VPS, servidor en oficinas....
en el campo "from" o "desde" aparece el nombre exacto del dominio suplantado
Gmail, Yahoo, Outlook...
Domicilio particular
Oficina-trabajo
Todas las medidas necesarias para la securicación del equipo indiviudal y la red
DNSSEC
SPF
DKIM
DMARC
Visualización de cabeceras del correo en el gestor
BIMI
Configuración validación SPF, DKIM y DMARC en correos entrantes. (servidor)
Apoyándose en SPF y DKIM, añade algunas características más de validación que,
de ser correctas, refuerzan al confiabilidad del origen y camino recorrido, que NO
EL CONTENIDO, de un correo electrónico.
Esta configuración se encuentra en el DOMINIO.
El remitente ha firmado el correo saliente, dicha firma coincide con la recibida: el
correo no ha sido modificado y el remitente es quien dice ser. La configuración de la
firma, se encuentra en el DOMINIO
La IP origen del correo está dentro del grupo de IP's que puede usar el NOMBRE del
dominio para enviar correos.
Dicha lista de IP's se encuentra configurada en el DOMINIO
Thunderbird
Móvil
PC
PC
Campos por dominio
ASPF
VALID
RECORD
WARNINGS
FALSE
SPF
ERROR
DNSSEC
TRUE
LON
GEOIP
dominio.extension
LAT
CONTINENT CODE
BASE_DOMAIN
SLD
DMARC
CITY NAME
TLD
AS ORG
RI
RF
RUF
RUA
COUNTRY NAME
WARNINGS
SP
PCT
ERROR
P
SUBDOMAINS
DMA CODE
FO
MX
ASPF
ADKIM
NS
RECORD_LOCATION
VALID
ASN
RECORD
COUNTRY CODE
MX_ERROR
MX_WARNINGS
NS_WARNING
NS_ERROR
IP
COUNTRY CODE 2
COUNTRY CODE 3
Domain Hunter DMARC edition
Display Mail User Agent T
MailHops
Message Header Toolbar Customize
Verificador DKIM
Gestores de correo
Sobremesa
Móvil
Global
Paper: Email Spoofing: un enfoque tecnico-jurídico
Dra. Margarita Robles Carrillo
Marc Almeida
Enlaces relacionados
Algunas conclusiones
El proyecto
El estudio
Gestión/visualización de logs DMARC
How to Combat Fake Emails (cyber.gov.a)
Business email compromise: How Microsoft is combating this costly threat
(microsoft.com)
Russian Cyber Gang 'Cosmic Lynx' Focuses on Email Fraud (darkreading.com)
200 millones de dominios
Uso personal
Uso profesional
"mira lo que hay detrás de la @"
Subdominios
lacaixa-ebay-paypal.dominio.extensión
[2020] Seminario AITEX Ciberseguridad con Chema Alonso (youtube.com)
MECSA es una herramienta online creada por el Joint Research Centre (JRC) para
evaluar la seguridad de las comunicaciones entre proveedores de correo electrónico
(europa.eu)
Sender Policy Framework
Domain-based Message Authentication, Reporting and Conformance
DomainKeys Identified Mail
Brand Indicators for Message Identification
permite a los propietarios de dominios coordinarse con los agentes de usuario de
correo (MUA) para mostrar indicadores (logotipos) específicos de la marca junto a
los correos electrónicos autenticados.
subdominio(s).dominio.extensión
Domain Name System Security Extensions
DNSSEC añade una capa de seguridad adicional al protocolo DNS que permite
comprobar la integridad y autenticidad de los datos. Gracias a estas extensiones de
seguridad se pueden prevenir ataques de suplantación y falsificación.
Base Domain
subdominio.DOMINIO.extensión
IDN
Nombre de dominio (y/o extensión) internacionalizado
Partes que componen el dominio
Gestión del dominio
Adquisición
Gestión administrativa
Gestión técnica
Si el dominio es tuyo, cómpralo tú, con tus datos, siempre.
El contacto y gestión administrativos siempre a tu nombre.
Se puede delegar en terceros.
Webmail
Webmail
APPS
Uso pasivo, tratar de no interactuar, verificar siempre los datos recibidos antes de
ejecutar.
Extensión
Dominio de nivel superior genérico o tld
Dominios de nivel superior geográficos (ccTLD)
Dominios de nivel superior genéricos (gTLD)
Dominios de segundo nivel o SLD o 2LD (Second Level Domain)
ccSLD o Country Code Second-Level Domain.
Dominios de nivel superior de infraestructura (.arpa)
IANA
ICANN
ietf.org
Listado de todas las extensiones existentes (iana)
Engaño por codificación de caracteres.
https://ᴏracle.com/alliances/es/cibernicola.es
Campos
-all !!!
Facturas
Contratos
Documentos confidenciales
Altas en servicios
etc.etc, etc
200 millones de dominios analizados
Desconocimiento del problema: mail spoofing.
Desconocimiento de la solución: DMARC
Identificar el problema exclusivamente de dominio para dentro
Estándares de configuración de servicios de e-mail
Servicios de email relacionados con proveedores de servicios de terceros
Presión sobre la continuidad ineludible del servicio de correo electrónico..
Es cosa de dos, del servidor que envía y también del que recibe
Si no uso correo en mi web, no hay problema
Con DMARC se pierden correos.
El servicio de correo no está ni activado
Configuración
SPF
DMARC
v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:
[email protected]
;
ruf=mailto:
[email protected]
; pct=100; fo=0:1:d:s;
v=spf1 -all
Desconocimiento
Confusión
Inercias
Mitos
DKIM
No
Subdominio
admin@ᴏracle.com
De pago
Con cuentas tipo Gmail todo está bien
Implementaciones (a largo plazo) de DMARC erróneas
p=none
Esta política sirve para iniciar la configuración de DMARC sin que interfiera en la
correcta recepción de los correos, pero debería ser cambiada a reject.
En este cas el nombre de dominio es idéntico
Filtrando hasta encontrar el total de dominios con todos los protocolos activos, en
modo estricto y válidos
Dominios con extensiones españolas
SUBDOMINIO.dominio.extensión
subdominio.dominio.EXTENSIÓN
Domain brand protection
Configuraciones
Sub Tema
¿Extensiones de navegador, opciones del proveedor del servicio?
Se trata de recomendaciones técnicas, no obligaciones (legales?¿), con lo cual su
implementación es muy dispar.
Podría inferirse por su baja cuota de implementación que la comunicación entre
quienes crean estos estándares y quienes deberían implementarlos falla.
Visualización de logs DMARC
Tuit de BTSHELL
Ni SPF, ni DKIM ni DMARC pueden validad la intencionalidad del remitente
Correo potencialmente malicioso, con SPF, DKIM y DMARC válidos.
Esta problemática viene por tratar de simplificar la usabilidad de Internet
Marc Almeida
@cibernicola_es
Programador
Analista técnico
Visualización de datos
Agradecimientos
Silvia Barrera
Organización del evento
A tod@s l@s que han soportado y soportan turras
Dominios similares, con leves modificaciones (I,0, guiones o extensiones distintas)
En la red
MitM
Modificación de correos
Masivo
Dirigido / Spear phishing
Tipos generales
Sobre la baja implementación de DMARC
Cuando algo es gratuito el producto eres tú.
Multitud de opciones, paneles y plantillas. Proveedores que admiten ciertas
configuraciones, plantillas en paneles (como Plesk), con configuraciones por
defecto...
Factor humano
Tips rápidos
DMARC (y por extensión SPF y DKIM), debería tratarse como un proyecto en
el departamento IT de la empresa, iniciándolo con la política none y con
objetivo de llegar a la de reject.
Etc. etc..
Doméstico
Gmail, hotmail, etc..
GSuite, O360, etc..
DMARC NO impide el envío del correo, es el servidor de correo que lo recibe el
encargado de aplicar la política configurada en el dominio del remitente
SFP en soft fail (~all) tiende a ser /muy/ mala idea.
Existe la "suplantación consentida, pero desconocida"
p.e: Servicios de facturación online de terceros
DKIM
DKIM tiene distintos selectores para poder aplicar la firma de otros proveedores
Esta casuística tiende a tener efectos en cadena.
La configuración es errónea
No se tiene claro "quién hace qué" con nuestros correos
Elevado a
La no implementación de DMARC
Políiticas laxas en DMARC
Fernando Rodríguez
Raul Ramirez
Global Cyber Alliance
dmarc.org
Mirar no es suficiente
Jaume Pons
El reenvio (forwarding) de correos
Por qué en China no se usa el correo electrónico tanto como en el resto del mundo
(bbc.com)
En algunos "validadores" online de esta política, solo analizan que exista el campo
DMARC
Quizás la disparidad de % de uso entre China y el resto del mundo tenga, también,
algo que ver.
Permite el uso de caracteres como ç, ñ en dominios y extensiones
Dominios "aparcados" para su venta/especulación. p.e: caixa.es
Se tiende a dar por hecho que una cuenta de correo identifica inequívocamente al
remitente o destinatario y no siempre es así
Los "leaks" o dumps de RRSS, no ayudan...
Infografía MITM
Created With
MindMaster