Analitzar les capçaleres d’un correu electrònic per esbrinar si és fals

Una consulta típica que em fan és com saber si un email és legitim, falsificat o conté virus o malware.  De fet a vegades el contingut del correu electrònic ja ens dona pistes de la seva autenticitat, tals com generalismes o informacions errònies,  però tot i així podem tenir dubtes del seu origen o fins i tot dels seus continguts (enllaços externs, virus javascript, etc).

Per a esbrinat l’autenticitat i perill real que pot suposar un correu electrònic haurem de fer servir coneixements molt bàsics de informàtica forense i interpretar el contingut exacte del correu electrònic, especialment les seves capçaleres.

Per accedir al contingut original (el que s’intercanvien els servidors de correu) del correu electrònic, i a les capçaleres, és important no obrir el mateix ja que podríem “disparar” virus incrustats  com el famós I LOVE YOU del 2000 (antic, però que va aconseguir un gran ressò).  Depenent del client de correu electrònic que emprem, la opció de veure el missatge original estarà en un lloc o un altre, per sort aquí podreu trobar un petit recull de com accedir a aquesta informació o si més no a les capçaleres en els client més típics com el WebMail de Google o Hotmail, OutLook, Mozilla Thunderbird, etc.  En el nostre cas veurem un correu de gMail que ens permet veure no tan sols les capçaleres sinó tot el correu com un arxiu de text.  Això significa una grana avantatja ja que també podrem analitzar el contingut real del correu a més de les seves capçaleres.

Un exemple de correu seria el següent:

analisisEmail

Els camps que hem d’analitzar especialment son:

  • From: Correu origen (o remitent), mirar especialment si el domini està ben escrit (p.e.: info@bancosantander.com no és el mateix que info@bancasantander.com).  Aquí podrem detectar intents de spoofing de domini original.
  • Received: Aquests camps indican els equips i servidors per on ha circulat el correu electrònic.  Constitueixen la font principal per a la autentificació del email ja que l’últim d’ells ens indicarà l’equip original des de on s’ha escrit el email.  Aquí podem trobar dos casos:
    • L’origen és un webmail: Ens apareixerà una IP que pertany al proveïdor del servei de correu electrònic que s’ha emprat per enviar el email (gMail, Hotmail, etc).  Si es tracta de serveis coneguts com gMail, Hotmail, etc podrem estar segurs del seu origen.  Si es tracta d’un webmail corporatiu caldria verificar si la IP correspon al rang de IPs assignades a l’empresa, i ho podríem fer amb una cerca inversa de whois.
    • L’origen és un client de correu: Aquí ens apareixerà la IP del equip des de on ens han enviat el email i és el cas més perillós ja que en cas de ser una falsificació, poden haver modificat tots els camps del email a plaer.  Per tant aquesta IP hauria d’estar situada geogràficament prop de les instal·lacions de l’empresa o entitat que se suposa que ens envia el email,  també podem verificar si aquesta IP té algun servidor web i conté la web corporativa,  o podríem verificar si la IP realment pertany al conjunt de IPs que té assignat el suposat remitent del correu (utilitzant la comanda whois).
  • Content-Type: indica els diferents tipus de continguts del email.  Un contingut de text/plain no suposa cap risc més enllà d’accions d’enginyeria social, un tipus text/html podria contenir enllaços manipulats, javascript perillosos i en definitiva qualsevol tipus d’atac que es pogués llançar des de una web html, per tant caldrà revisar el codi html amb molt de compte.  Per últim els binary, image, etc indicant adjunts de cada tipus particular, amb els seus propis riscos que caldrà examinar amb programes especialitzats.
  • Message-Body: Apareixen els continguts en sí, i és on hem de analitzar els continguts per a descartar perills.
  • X-Client: Per finalitzar aquesta etiqueta, que no sempre apareix, ens indicarà el programa utilitzat per a enviar el correu electrònic.  Pot ser d’especial importància per verificar si s’ha utilitzat un webmail, un client de correu electrònic o eines especialitzades i acabar de lligar caps.

En la imatge d’exemple anterior podem veure que l’últim received ens indica que el correu s’ha originat en un equip amb IP dinàmica 83.32.226.141, que pertany a un particular.  Podem intentar geo-localitzar la IP amb el servei IP Location Finder per confirmar que es tracta de una IP situada a la Catalunya Central o del Bages.  Recordeu que és una aproximació!  De fet aquesta IP de fet estava situada a Manresa i IP Location Finder la situa a Navarcles, per tant l’exactitud és relativa però suficient per a l’objectiu que busquem.

Geo-localització aproximada de la IP origen del correu.

Geo-localització aproximada de la IP origen del correu.

Al ser una IP dinàmica no té sentit fer un whois <IP> per saber el seu propietari ja que ens apareixeran les dades del seu ISP i poca cosa més.  Tanmateix també podem veure que l’origen està relacionat amb DinaHosting i per acabar el contingut és un text pla, sense cap mena de perill.

Per acabar dir que cada correu és un món i podeu trobar correus realment complicats de interpretar.  En aquests casos us caldrà analitzar la major part dels camps del correu electrònic i indagar més a fons en els seus valors (IPs, programari, la ruta que ha seguit el correu, etc) per a intentar verificar l’autenticitat del email i el seu contingut.

No descarteu cercar parts del contingut del correu a Google per intentar cercar plantilles, noticies o correus similars en una cerca de noticies de atacs o la verificació de que aquests tipus de emails s’estan enviant realment.

El phishing , el pharming i atacs de enginyeria social son, a vegades, complicats de detectar si el hacker fa una bona tasca de recollida de informació i personalització del correu electrònic.  Tanmateix amb el descrit en aquest post és possible detectar la major part d’estafes de correu electrònic sempre que els analitzem amb mirada crítica, calma i sentit comú.

Advertisements

~ per madyyelf a 22 Novembre 2013.