Prevenir correos de phishing cuando el cuerpo de PARA esta vacío (sin usar DKIM/DMARC)

  • Article

Por: Adrian Kruss

Como podemos reducir las posibilidades de ataque de phishing usando las reglas de transporte sin la opción de DKIM/DMARC?

DKIM/DMARC es una opción diseñada para prevenir estos casos usando autenticación y verificación de mensajes. Para más información se puede ver https://blogs.office.com/2015/01/20/enhanced-email-protection-dkim-dmarc-office-365/. Pero para configurar DKIM/DMARC es necesario agregar registros CNAME (por ejemplo _dmarc.contoso.com) en el DNS público del dominio. El problema es que algunos proveedores de DNS no permiten utilizar el símbolo “ _ ” (Subrayado) como parte de un registro.

En ciertos casos es posible que los usuarios reciban correos de remitentes externos a la organización haciéndose pasar por una persona interna a esta. Estos mensajes de correo electrónico, en la mayoría de los casos, son los ataques conocidos como phishing.

En el ejemplo siguiente, el usuario Cloudmbx1 recibió un correo electrónico solicitando información sensible. Este correo provenía de una persona afuera de la organización haciéndose pasar por alguien interno. Ramon Rocha no es un usuario existente dentro del dominio y pudo envía un correo como si lo fuera al buzón del usuario Cloudmbx1.

clip_image002

Este mensaje en particular fue enviado usando unos simple comandos por medio de Telnet y es posible que cualquier persona en mi entorno sufra de mensajes como estos.

clip_image004

Este comportamiento es esperado cuando DKIM/DMARC no están habilitados. Usando la herramienta aka.ms/EXRCA podemos analizar el encabezado del correo, del que se envío por medio de telnet, en este podemos ver este no contiene un remitente:

clip_image006

Esto se debe a que en el momento de ejecutar los comandos de Telnet se dejó en blanco el campo de correo o se puso un nombre (como en nuestro caso Ramon Rocha)

Este formato se puede usar por personas que intentan enviar correos de phishing hacia una organización. Creando una regla de transporte se puede prevenir que estos correos lleguen hacia los usuarios internos:

1) Ir al portal de Office 365 (https://login.microsoftonline.com)

2) Acceder al portal de Exchange Online como administrador y navegar a Exchange

3) Haga clic en el flujo de correo.

4) En la ficha Reglas, haga clic en "+" y "Crear una nueva regla ..."

5) Añadir las condiciones como se muestran en la siguiente imagen:

clip_image008

El valor debe ser idéntico a como esta en la imagen de arriba ^$ , esa es la única manera que el producto reconozca que la condición es válida. Una vez que la regla se aplica si alguien intenta enviar otro correo con el cuerpo de PARA vacío el mensaje será bloqueado por esta regla. Haciendo una prueba y haciendo un rastreo de este correo podemos ver:

clip_image010

Con esta regla de transporte simple se puede aumentar la seguridad de la organización para prevenir ataques de phishing.