En esta era de ciberataques y violaciones de datos, la mayoría de los usuarios de correo electrónico buscan, y comprender los riesgos potenciales de mensajes y archivos adjuntos que provienen de fuentes desconocidas.

Sin embargo, que la vigilancia por sí sola podría no ser suficiente para mantenerte protegido, según una nueva investigación de Virginia Tech que examina la creciente sofisticación de los ataques de phishing.

Junto con una escritura más inteligente, ahora, los piratas informáticos emprendedores pueden falsificar la dirección de correo electrónico de un amigo de confianza, compañero de trabajo o negocios y enviar correos electrónicos falsificados a las víctimas. Con la cantidad adecuada de ingeniería social, es fácil obtener información crucial y sensible de un destinatario desprevenido con una simple solicitud.

"Este tipo de ataques de phishing son especialmente peligrosos, "dijo Gang Wang, profesor asistente de ciencias de la computación en la Facultad de Ingeniería de Virginia Tech. "La tecnología cambia tan rápido, y ahora un hacker puede obtener su información fácilmente. Esta información se puede utilizar para cometer ciberataques que van desde ser levemente molestos, como tener que lidiar con una cuenta corriente que ha sido pirateada, a graves consecuencias de vida física y muerte si la información, por ejemplo, a la computadora central de un hospital ".

Una de las áreas de investigación de Wang se centra actualmente en estudiar cómo frustrar estos ataques. Presentará un artículo sobre sus hallazgos recientes en el 27o Simposio Anual de Seguridad de USENIX en Baltimore, Maryland, en agosto.

Los ataques de phishing han involucrado a casi la mitad de los más de 2, 000 violaciones de seguridad confirmadas reportadas por Verizon en los últimos dos años. Estas infracciones provocan la filtración de miles de millones de registros y su rectificación cuesta millones de dólares, según la industria afectada y su ubicación geográfica.

Spoofing, donde el atacante se hace pasar por una entidad de confianza, es un paso crítico en la ejecución de ataques de phishing. El sistema de correo electrónico actual no tiene ningún mecanismo para evitar completamente la suplantación de identidad.

"El sistema SMTP que usamos hoy se diseñó sin tener en cuenta la seguridad, ", dijo Wang." Eso es algo que ha plagado al sistema desde sus inicios ".

Se implementaron medidas de seguridad para protegerse contra ataques de suplantación de identidad después de los hechos y confiar en los proveedores de correo electrónico para implementar estrategias utilizando extensiones SMTP. como SPF (marco de políticas del remitente), DKIM (correo identificado con DomainKeys), y DMARC (autenticación de mensajes basada en dominio), para autenticar al remitente. Las mediciones realizadas por el equipo de investigación en 2018 indican que entre el millón de dominios principales de Alexa, El 45 por ciento tiene SPF, El 5 por ciento tiene DMARC, y aún menos están configurados correcta o estrictamente.

Para el estudio, La metodología de los equipos de investigación se centró en la creación de experimentos de suplantación de identidad de un extremo a otro en proveedores de correo electrónico populares que utilizan miles de millones de usuarios. Lo hicieron configurando cuentas de usuario en los servicios de correo electrónico de destino como el receptor de correo electrónico y utilizando un servidor experimental para enviar correos electrónicos falsificados. con una dirección de remitente falsa, a la cuenta del receptor.

La dirección del remitente falsificada es la clave del estudio, ya que es una parte fundamental del proceso de autenticación. Si el dominio falsificado tiene un SPF válido, DKIM, o registro DMARC, luego el receptor, En teoria, es capaz de detectar la suplantación de identidad.

La suplantación de identidad se puede realizar utilizando contactos existentes o el mismo proveedor de correo electrónico que el destinatario previsto.

Para tal fin, Los investigadores utilizaron cinco tipos diferentes de contenido de correo electrónico para el estudio:un correo electrónico en blanco, un correo electrónico en blanco con una URL benigna, un correo electrónico en blanco con un archivo adjunto benigno, un correo electrónico benigno con contenido real, y un correo electrónico de phishing con contenido que se hace pasar por soporte técnico para notificar y rectificar una brecha de seguridad al ser dirigido a una URL.

En total, el estudio utilizó 35 servicios de correo electrónico populares, como Gmail, iCloud, y Outlook. Los investigadores encontraron que los proveedores de correo electrónico tienden a favorecer la entrega de correo electrónico sobre la seguridad. Cuando un correo electrónico falla en la autenticación, la mayoría de los proveedores de correo electrónico, incluidos Gmail e iCloud, todavía entregó el correo electrónico siempre que el protocolo del dominio falsificado no lo rechazara.

Los investigadores también encontraron que solo seis servicios de correo electrónico han mostrado indicadores de seguridad en correos electrónicos falsificados. incluido Gmail, Protonmail, Naver, Mail.ru, 163.com, y 126.com. Solo cuatro servicios de correo electrónico muestran constantemente indicadores de seguridad en sus aplicaciones de correo electrónico móvil. Los factores humanos siguen siendo un eslabón débil en el proceso de principio a fin, por lo que el equipo de investigación enmarcó el estudio para comprender los hábitos de correo electrónico de los usuarios.

En el estudio de Wang, la tasa de clics para las personas que recibieron el correo electrónico con un indicador de seguridad fue del 17,9 por ciento. Sin una señal de seguridad la tasa fue del 26,1 por ciento. Debido a que no todos los que recibieron un correo electrónico de suplantación de identidad abrieron el correo electrónico, el equipo también calculó la tasa de clics de todos los usuarios que abrieron el correo electrónico, resultando en tasas más altas de 48,9 por ciento y 37,2 por ciento.

Las recomendaciones del estudio incluyen la adopción de SPF, DKIM, y DMARC para autenticar correos electrónicos, y si se envía un correo electrónico a una bandeja de entrada, los proveedores de correo electrónico deben colocar un indicador de seguridad, como el signo de interrogación rojo de Google en el correo electrónico, para advertir a los usuarios de los riesgos potenciales.

El equipo también recomendó la coherencia entre los proveedores de correo electrónico para diferentes interfaces. Actualmente, los usuarios móviles están expuestos a un mayor nivel de riesgos debido a la falta de indicadores de seguridad. Y finalmente, el estudio recomendó que los elementos engañosos, como una "foto de perfil" y un historial de correo electrónico, "desactivarse en correos electrónicos sospechosos.

Con tantos correos electrónicos que se envían a diario, es sorprendente que no haya campañas de phishing más exitosas.

"Realmente solo se necesita un correo electrónico para causar una brecha de seguridad, "dijo Wang.