Correo electrónico: "el caos más maravilloso y problemático que existe"
Con el teletrabajo la línea que divide lo personal de lo profesional se difumina Correo electrónico: "el caos más maravilloso y problemático que existe" Proveedores de correo electrónico Phishing Uso del correo electrónico Typosquatting Email spoofing Vector: Correo electrónico. Objetivo: tu interacción. Vulnerabilidades puramente técnicas En equipo del usuario En servidor de correo Servidores email comprometidos Móvil Corporativo (PYMES, grandes compañías) Gratuito Anatomía de un dominio De dominio para dentro De dominio para fuera Auto gestionado Delegado a terceros PS, VPS, servidor en oficinas.... en el campo "from" o "desde" aparece el nombre exacto del dominio suplantado Gmail, Yahoo, Outlook... Domicilio particular Oficina-trabajo Todas las medidas necesarias para la securicación del equipo indiviudal y la red DNSSEC SPF DKIM DMARC Visualización de cabeceras del correo en el gestor BIMI Configuración validación SPF, DKIM y DMARC en correos entrantes. (servidor) Apoyándose en SPF y DKIM, añade algunas características más de validación que, de ser correctas, refuerzan al confiabilidad del origen y camino recorrido, que NO EL CONTENIDO, de un correo electrónico. Esta configuración se encuentra en el DOMINIO. El remitente ha firmado el correo saliente, dicha firma coincide con la recibida: el correo no ha sido modificado y el remitente es quien dice ser. La configuración de la firma, se encuentra en el DOMINIO La IP origen del correo está dentro del grupo de IP's que puede usar el NOMBRE del dominio para enviar correos. Dicha lista de IP's se encuentra configurada en el DOMINIO Thunderbird Móvil PC PC Campos por dominio ASPF VALID RECORD WARNINGS FALSE SPF ERROR DNSSEC TRUE LON GEOIP dominio.extension LAT CONTINENT CODE BASE_DOMAIN SLD DMARC CITY NAME TLD AS ORG RI RF RUF RUA COUNTRY NAME WARNINGS SP PCT ERROR P SUBDOMAINS DMA CODE FO MX ASPF ADKIM NS RECORD_LOCATION VALID ASN RECORD COUNTRY CODE MX_ERROR MX_WARNINGS NS_WARNING NS_ERROR IP COUNTRY CODE 2 COUNTRY CODE 3 Domain Hunter DMARC edition Display Mail User Agent T MailHops Message Header Toolbar Customize Verificador DKIM Gestores de correo Sobremesa Móvil Global Paper: Email Spoofing: un enfoque tecnico-jurídico Dra. Margarita Robles Carrillo Marc Almeida Enlaces relacionados Algunas conclusiones El proyecto El estudio Gestión/visualización de logs DMARC How to Combat Fake Emails (cyber.gov.a) Business email compromise: How Microsoft is combating this costly threat (microsoft.com) Russian Cyber Gang 'Cosmic Lynx' Focuses on Email Fraud (darkreading.com) 200 millones de dominios Uso personal Uso profesional "mira lo que hay detrás de la @" Subdominios lacaixa-ebay-paypal.dominio.extensión [2020] Seminario AITEX Ciberseguridad con Chema Alonso (youtube.com) MECSA es una herramienta online creada por el Joint Research Centre (JRC) para evaluar la seguridad de las comunicaciones entre proveedores de correo electrónico (europa.eu) Sender Policy Framework Domain-based Message Authentication, Reporting and Conformance DomainKeys Identified Mail Brand Indicators for Message Identification permite a los propietarios de dominios coordinarse con los agentes de usuario de correo (MUA) para mostrar indicadores (logotipos) específicos de la marca junto a los correos electrónicos autenticados. subdominio(s).dominio.extensión Domain Name System Security Extensions DNSSEC añade una capa de seguridad adicional al protocolo DNS que permite comprobar la integridad y autenticidad de los datos. Gracias a estas extensiones de seguridad se pueden prevenir ataques de suplantación y falsificación. Base Domain subdominio.DOMINIO.extensión IDN Nombre de dominio (y/o extensión) internacionalizado Partes que componen el dominio Gestión del dominio Adquisición Gestión administrativa Gestión técnica Si el dominio es tuyo, cómpralo tú, con tus datos, siempre. El contacto y gestión administrativos siempre a tu nombre. Se puede delegar en terceros. Webmail Webmail APPS Uso pasivo, tratar de no interactuar, verificar siempre los datos recibidos antes de ejecutar. Extensión Dominio de nivel superior genérico o tld Dominios de nivel superior geográficos (ccTLD) Dominios de nivel superior genéricos (gTLD) Dominios de segundo nivel o SLD o 2LD (Second Level Domain) ccSLD o Country Code Second-Level Domain. Dominios de nivel superior de infraestructura (.arpa) IANA ICANN ietf.org Listado de todas las extensiones existentes (iana) Engaño por codificación de caracteres. https://ᴏracle.com/alliances/es/cibernicola.es Campos -all !!! Facturas Contratos Documentos confidenciales Altas en servicios etc.etc, etc 200 millones de dominios analizados Desconocimiento del problema: mail spoofing. Desconocimiento de la solución: DMARC Identificar el problema exclusivamente de dominio para dentro Estándares de configuración de servicios de e-mail Servicios de email relacionados con proveedores de servicios de terceros Presión sobre la continuidad ineludible del servicio de correo electrónico.. Es cosa de dos, del servidor que envía y también del que recibe Si no uso correo en mi web, no hay problema Con DMARC se pierden correos. El servicio de correo no está ni activado Configuración SPF DMARC v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; fo=0:1:d:s; v=spf1 -all Desconocimiento Confusión Inercias Mitos DKIM No Subdominio admin@ᴏracle.com De pago Con cuentas tipo Gmail todo está bien Implementaciones (a largo plazo) de DMARC erróneas p=none Esta política sirve para iniciar la configuración de DMARC sin que interfiera en la correcta recepción de los correos, pero debería ser cambiada a reject. En este cas el nombre de dominio es idéntico Filtrando hasta encontrar el total de dominios con todos los protocolos activos, en modo estricto y válidos Dominios con extensiones españolas SUBDOMINIO.dominio.extensión subdominio.dominio.EXTENSIÓN Domain brand protection Configuraciones Sub Tema ¿Extensiones de navegador, opciones del proveedor del servicio? Se trata de recomendaciones técnicas, no obligaciones (legales?¿), con lo cual su implementación es muy dispar. Podría inferirse por su baja cuota de implementación que la comunicación entre quienes crean estos estándares y quienes deberían implementarlos falla. Visualización de logs DMARC Tuit de BTSHELL Ni SPF, ni DKIM ni DMARC pueden validad la intencionalidad del remitente Correo potencialmente malicioso, con SPF, DKIM y DMARC válidos. Esta problemática viene por tratar de simplificar la usabilidad de Internet Marc Almeida @cibernicola_es Programador Analista técnico Visualización de datos Agradecimientos Silvia Barrera Organización del evento A tod@s l@s que han soportado y soportan turras Dominios similares, con leves modificaciones (I,0, guiones o extensiones distintas) En la red MitM Modificación de correos Masivo Dirigido / Spear phishing Tipos generales Sobre la baja implementación de DMARC Cuando algo es gratuito el producto eres tú. Multitud de opciones, paneles y plantillas. Proveedores que admiten ciertas configuraciones, plantillas en paneles (como Plesk), con configuraciones por defecto... Factor humano Tips rápidos DMARC (y por extensión SPF y DKIM), debería tratarse como un proyecto en el departamento IT de la empresa, iniciándolo con la política none y con objetivo de llegar a la de reject. Etc. etc.. Doméstico Gmail, hotmail, etc.. GSuite, O360, etc.. DMARC NO impide el envío del correo, es el servidor de correo que lo recibe el encargado de aplicar la política configurada en el dominio del remitente SFP en soft fail (~all) tiende a ser /muy/ mala idea. Existe la "suplantación consentida, pero desconocida" p.e: Servicios de facturación online de terceros DKIM DKIM tiene distintos selectores para poder aplicar la firma de otros proveedores Esta casuística tiende a tener efectos en cadena. La configuración es errónea No se tiene claro "quién hace qué" con nuestros correos Elevado a La no implementación de DMARC Políiticas laxas en DMARC Fernando Rodríguez Raul Ramirez Global Cyber Alliance dmarc.org Mirar no es suficiente Jaume Pons El reenvio (forwarding) de correos Por qué en China no se usa el correo electrónico tanto como en el resto del mundo (bbc.com) En algunos "validadores" online de esta política, solo analizan que exista el campo DMARC Quizás la disparidad de % de uso entre China y el resto del mundo tenga, también, algo que ver. Permite el uso de caracteres como ç, ñ en dominios y extensiones Dominios "aparcados" para su venta/especulación. p.e: caixa.es Se tiende a dar por hecho que una cuenta de correo identifica inequívocamente al remitente o destinatario y no siempre es así Los "leaks" o dumps de RRSS, no ayudan... Infografía MITM