Tengo un problema de mail spoofing que quisiera debatir con ustedes...

Iniciado por MiguelRed1912, 18 Enero 2019, 17:54 PM

0 Miembros y 2 Visitantes están viendo este tema.

MiguelRed1912

Buenas tardes,
Tengo un caso de mail spoofing que quiero debatir con ustedes.

Hace ya un par de meses, ando recibiendo emails donde supuestamente son enviados por determinados contactos míos, sin embargo, al mirar el header se ve perfectamente que son solo copiaron la dirección de email y están enviando desde otra cuenta y dominio, en resumen, claro caso de mail spoofing.

La duda que me entra es la siguiente, la dirección de email la cual supuestamente me envía el correo es una dirección de correo electrónico que es conocido mio, por ejemplo, un cliente, un proveedor, etc. ahí es donde parte mi duda de cómo desde el otro lado pudieron saber la dirección de algunos de mis contactos y así colocar éste en el encabezado para que sea más creible el email?

Estarán "interceptando" mis emails y así saber estas cuentas de correo? Tengo algún equipo infectado desde el cual se están alimentando para usar estas cuentas?

Alguien que pudiera iluminarme?

Mi servidor de correo es un Posfix corriendo en un CentOS

WHK

Hola, cuando comencé a leer tu post, inmediatamente pensé en que estabas utilizando un servidor de correos personal y no gmail ni similares ya que ese tipo de cosas son bloqueadas inmediatamente y rechazadas.

Probablemente la vulnerabilidad la tiene tu servicio de correos ya que está permitiendo que cualquier persona que se conecte a tu servidor SMTP envíe correos de manera anónima y sin autenticación haciendose pasar por un contacto válido.

Como saber si una persona realmente es quien dice ser? para eso existen las firmas DKIM las cuales, al recibir un correo, el servidor revisa la firma, si la firma adjunta corresponde a la firma generada por el servidor de salida de tu SMTP, entonces es válido, sino lo rechaza.

Te recomiendo en este caso darle un vistazo a Zimbra Email Server, es un conjunto de aplicaciones de correos que incluye smtp, pop, imap, ldap, ical, web dahsboard, etc, es gratis y es muy pesado como software, requiere Java, pero hace todo y de una manera bastante segura.



Si quieres solucionar tu problema de manera manual en tu servidor deberás aplicar las firmas DKIM y habilitar un buen antispam.

Mira: https://www.linuxtechi.com/configure-domainkeys-with-postfix-on-centos-7/

saludos.

MiguelRed1912

Como estás @WHK?

Antes que nada gracias por darme un retorno.

Te comento más detallado, ya que creo que no me supe expresar bien.

Mi servidor es de dominio personal.

Ya tengo instalado SPF en mi servidor y se encuentra funcionando perfecto

El caso que se me presenta es así:

Mi dominio supongamos es asd.com

Caso 1)
Los correos que me entran NO son de mi dominio (asd.com) sino más bien son de contactos conocidos, por ejemplo: maria@qwe.com que es un proveedor nuestro, jose@zxc.com que tambien es un proveedor nuestro, juan@iop.com que sería un cliente nuestro, y así sucesivamente. Pero si miro en el header NO son enviados a través de sus servidores, sino a través de cualquier otro servidor (o dominio).

Caso 2)
Tambien se me presentan casos donde copian alguna dirección de mis funcionarios pero éstos NO son enviados a través de mi servidor, ya que si miro el header confirmo que son enviados de cualquier otro servidor menos del mio.


Ahora bien, mi principal duda es cómo estos robots tienen o tuvieron acceso a mis direcciones de contactos conocidos? y cómo lograron tener acceso a las direcciones de correo de mis funcionarios? Por ejemplo, si mi funcionario en "remitente" figura Pepita - Gerente adminitrativo - Empresa XXX (pepita@asd.com) figura así mismo  en la dirección del remitente, pero como digo, en el header se comprueba que NO fueron enviados a través de mi servidor.

No sé si ahora me expliqué mejor, ya que considero un poco complejo de explicar pero es una duda que me carcome desde hace un buen tiempo

warcry.

Cita de: WHK en 22 Enero 2019, 00:28 AM

Si quieres solucionar tu problema de manera manual en tu servidor deberás aplicar las firmas DKIM y habilitar un buen antispam.


para poder habilitar DKIM tienes que tener acceso al DNS del dominio, en mi caso lo gestiona mi ISP y por tanto no tengo acceso, luego por mi parte puedo habilitar el DKIM pero si el DNS no resuelve la clave game over.

Cita de: MiguelRed1912 en 22 Enero 2019, 12:09 PM

Ahora bien, mi principal duda es cómo estos robots tienen o tuvieron acceso a mis direcciones de contactos conocidos? y cómo lograron tener acceso a las direcciones de correo de mis funcionarios? Por ejemplo, si mi funcionario en "remitente" figura Pepita - Gerente adminitrativo - Empresa XXX (pepita@asd.com) figura así mismo  en la dirección del remitente, pero como digo, en el header se comprueba que NO fueron enviados a través de mi servidor.


Lo preguntas es fácil, alguno de tus empleados, o tu mismo, a través de un correo malicioso generalmente, ejecutó una aplicación (malware) que no tenia que ejecutar, que lo que hizo fue exportar tu libreta de direcciones al atacante.

puede ser una malware residente, o si solo tenia el objetivo de extraer información y cuentas de correo, con ejecutarlo una vez a petición del usuario suficiente y así pasa mas desapercibido.

es mas normal de lo que crees.

https://www.elperiodico.com/es/tecnologia/20190117/fuga-datos-pone-peligro-millones-cuentas-correo-7252064
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

MiguelRed1912

Cita de: warcry. en 22 Enero 2019, 19:27 PM
para poder habilitar DKIM tienes que tener acceso al DNS del dominio, en mi caso lo gestiona mi ISP y por tanto no tengo acceso, luego por mi parte puedo habilitar el DKIM pero si el DNS no resuelve la clave game over.

Lo preguntas es fácil, alguno de tus empleados, o tu mismo, a través de un correo malicioso generalmente, ejecutó una aplicación (malware) que no tenia que ejecutar, que lo que hizo fue exportar tu libreta de direcciones al atacante.

puede ser una malware residente, o si solo tenia el objetivo de extraer información y cuentas de correo, con ejecutarlo una vez a petición del usuario suficiente y así pasa mas desapercibido.

es mas normal de lo que crees.

https://www.elperiodico.com/es/tecnologia/20190117/fuga-datos-pone-peligro-millones-cuentas-correo-7252064

También consideraba lo del malware, sólo que quería compartir mi caso para ver si coincidíamos, ya que quería descartar en cierta forma que se tratase de alguna falla de seguridad en la configuración de mi servidor de correos.

Todos mis equipos los tengo con Kaspersky a la última versión de la base de datos, aunque sé que cualquier malware puede saltarse un antivirus, consideraba poco probable que ocurriese.

warcry.

Cita de: MiguelRed1912 en 22 Enero 2019, 19:36 PM
Todos mis equipos los tengo con Kaspersky a la última versión de la base de datos, aunque sé que cualquier malware puede saltarse un antivirus, consideraba poco probable que ocurriese.

no tiene porque detectarlo el antivirus, ya que es una petición legitima que inicia el usuario, o ¿es que tu nunca has exportado tus contactos a un csv cuando has cambiado de móvil? y a que eso no te lo para el antivirus.
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

MiguelRed1912

Cita de: warcry. en 22 Enero 2019, 19:41 PM
no tiene porque detectarlo el antivirus, ya que es una petición legitima que inicia el usuario, o ¿es que tu nunca has exportado tus contactos a un csv cuando has cambiado de móvil? y a que eso no te lo para el antivirus.


No me refería a la exportación de los contactos a un csv, sino a la ejecución del malware propiamente

warcry.

Cita de: MiguelRed1912 en 22 Enero 2019, 19:43 PM
No me refería a la exportación de los contactos a un csv, sino a la ejecución del malware propiamente

si quieres te hago un malware ahora mismo sin que sea considerado una amenaza, con el mismo winrar se puede hacer un ejecutable que al darle doble click, no solo te abra un archivo, sino que por ejemplo programe un reinicio retardado que haga que mientras estes trabajando se te apague el pc y pierdas toda la información que no hubieras guardado. Y el antivirus no te va decir nada.

lee el concepto de Malware

CitarMalware es la abreviatura de Malicious software y este término engloba a todo tipo de programa o código informático malicioso cuya función es dañar un sistema o causar un mal funcionamiento....Además, existe el Spyware tiene como objetivo recopilar información del equipo en el que se encuentra y transmitírselo a quien lo ha introducido en el equipo. Suele camuflarse tras falsos programas, por lo que el usuario raramente se da cuenta de ello. Sus consecuencias son serias y van desde robos bancarios, suplantaciones de identidad hasta robo de información.
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

MiguelRed1912

Gracias warcry.

En realidad interpretaba de otra manera, pero viendolo del lado de que con un simple script se puede exportar datos como contactos (que es mi caso) tiene mucho sentido

warcry.

Cita de: MiguelRed1912 en 22 Enero 2019, 20:06 PM
Gracias warcry.

En realidad interpretaba de otra manera, pero viendolo del lado de que con un simple script se puede exportar datos como contactos (que es mi caso) tiene mucho sentido

Pues ya sabes lo que te toca, invertir un poco de tiempo de tus empleados en formación y concienciación, para que no piquen en los correos que reciban o en las webs que visiten, ya que siempre lo he dicho, el eslabón mas débil de la cadena es el usuario que maneja el pc.
HE SIDO BANEADO --- UN PLACER ---- SALUDOS