Cómo los estafadores falsifican las direcciones de correo electrónico y cómo puede saberlo
Considera esto como un anuncio de servicio público: los estafadores pueden falsificar direcciones de correo electrónico. Su programa de correo electrónico puede decir que un mensaje es de una dirección de correo electrónico determinada, pero puede ser de otra dirección completamente.
Los protocolos de correo electrónico no verifican que las direcciones sean legítimas: los estafadores, phishers y otras personas malintencionadas explotan esta debilidad en el sistema. Puedes examinar los encabezados de un correo electrónico sospechoso para ver si su dirección fue falsificada.
Cómo funciona el correo electrónico
Su software de correo electrónico muestra de quién es un correo electrónico en el campo "De". Sin embargo, en realidad no se realiza ninguna verificación: su software de correo electrónico no tiene forma de saber si un correo electrónico proviene de quién dice que proviene. Cada correo electrónico incluye un encabezado "De", que se puede falsificar; por ejemplo, cualquier estafador podría enviarle un correo electrónico que parece ser de [email protected]. Su cliente de correo electrónico le diría que este es un correo electrónico de Bill Gates, pero no tiene forma de verificar realmente.
Los correos electrónicos con direcciones falsificadas pueden ser de su banco u otro negocio legítimo. A menudo le piden información confidencial, como la información de su tarjeta de crédito o el número de seguridad social, tal vez después de hacer clic en un enlace que conduce a un sitio de phishing diseñado para parecerse a un sitio web legítimo..
Piense en el campo "De" de un correo electrónico como el equivalente digital de la dirección de devolución impresa en los sobres que recibe por correo. En general, las personas ponen una dirección de retorno precisa en el correo. Sin embargo, cualquier persona puede escribir lo que quiera en el campo de la dirección de devolución: el servicio postal no verifica que la carta sea en realidad de la dirección de devolución impresa..
Cuando SMTP (protocolo de transferencia de correo simple) fue diseñado en la década de 1980 para el uso de la academia y las agencias gubernamentales, la verificación de los remitentes no fue una preocupación.
Cómo investigar los encabezados de un correo electrónico
Puede ver más detalles sobre un correo electrónico al buscar en los encabezados del correo electrónico. Esta información se encuentra en diferentes áreas en diferentes clientes de correo electrónico, y puede conocerse como la "fuente" o "encabezados" del correo electrónico.
(Por supuesto, generalmente es una buena idea ignorar los correos electrónicos sospechosos por completo. Si no está seguro acerca de un correo electrónico, es probable que sea una estafa).
En Gmail, puede examinar esta información haciendo clic en la flecha en la esquina superior derecha de un correo electrónico y seleccionando Mostrar original. Esto muestra los contenidos en bruto del correo electrónico..
A continuación, encontrará el contenido de un correo electrónico no deseado real con una dirección de correo electrónico falsificada. Te explicamos cómo descifrar esta información..
Entregado a: [MI DIRECCIÓN DE CORREO ELECTRÓNICO]
Recibido: por 10.182.3.66 con ID de SMTP a2csp104490oba;
Sáb, 11 de agosto de 2012 15:32:15 -0700 (PDT)
Recibido: por 10.14.212.72 con el ID de SMTP x48mr8232338eeo.40.1344724334578;
Sábado, 11 de agosto de 2012 15:32:14 -0700 (PDT)
Vía de retorno:
Recibido: del 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
por mx.google.com con la identificación ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Sábado, 11 de agosto de 2012 15:32:14 -0700 (PDT)
Received-SPF: neutral (google.com: 72.255.12.30 no está permitido ni denegado por el registro de mejor conjetura para el dominio de [email protected]) client-ip = 72.255.12.30;
Resultados de la autenticación: mx.google.com; spf = neutral (google.com: 72.255.12.30 no está permitido ni denegado por el registro de mejor conjetura para el dominio de [email protected]) [email protected]
Recibido: por vwidxus.net id hnt67m0ce87b para; Domingo, 12 de agosto de 2012 10:01:06 -0500 (sobre-desde)
Recibido: de vwidxus.net por web.vwidxus.net con local (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
para [email protected]; Domingo, 12 de agosto de 2012 10:01:06 -0500...
De: "Canadian Pharmacy" [email protected]
Hay más encabezados, pero estos son los más importantes: aparecen en la parte superior del texto sin formato del correo electrónico. Para comprender estos encabezados, comience desde la parte inferior: estos encabezados rastrean la ruta del correo electrónico desde su remitente hasta usted. Cada servidor que recibe el correo electrónico agrega más encabezados a la parte superior: los encabezados más antiguos de los servidores donde comenzó el correo electrónico se encuentran en la parte inferior.
El encabezado "De" en la parte inferior indica que el correo electrónico proviene de una dirección @ yahoo.com; esto es solo una parte de la información incluida en el correo electrónico; Podría ser cualquier cosa en absoluto. Sin embargo, sobre eso podemos ver que el correo electrónico fue recibido por primera vez por "vwidxus.net" (abajo) antes de ser recibido por los servidores de correo electrónico de Google (arriba). Esta es una bandera roja: esperaríamos ver el encabezado más bajo "Recibido:" en la lista como uno de los servidores de correo electrónico de Yahoo!.
Las direcciones IP involucradas también pueden darle una pista: si recibe un correo electrónico sospechoso de un banco estadounidense pero la dirección IP que recibió de Nigeria o Rusia es probable que sea una dirección de correo electrónico falsificada..
En este caso, los spammers tienen acceso a la dirección "[email protected]", donde desean recibir respuestas a su spam, pero de todos modos están falsificando el campo "De:". ¿Por qué? Probablemente porque no pueden enviar cantidades masivas de correo no deseado a través de los servidores de Yahoo !, se notificarían y se cerrarían. En su lugar, envían spam desde sus propios servidores y falsifican su dirección..