miércoles, julio 01, 2009

Banca, Phishing y SPF

Hace unos años abrí una carpeta en mi buzón de correo llamada "Estafas" donde voy situando todos los mails que me llegan de phishing, muleros, venta fraudulenta, etc... Esta carpeta se ha ido llenando al cabo de los años y hoy en día tiene más de 1.000 correos que utilizo para explicar cosas en las charlas.

Desde que migramos nuestro servidor a Exchange Server 2007 y se realizó un assesment de las opciones de Anti-Spam, la verdad es que me cuesta recibir algún correo que llevar a la boca de esa carpeta.

El otro día, repasando con Joshua Sáenz, MVP de Exchange Server y compañero de I64, las opciones y el funcionamiento de los filtros ante correos suplantados, comprobamos el funcionamiento del servidor ante diferentes tipos de spam. Al final, no sabía si besar a Joshua o al Exchange Server 2007 por lo bien que se portan ambos.

El servidor tiene configurados filtros con RBL, filtro de Reputación (basado en registro PTR, estadística de SCL de los correos recibidos de ese servidor y prueba de proxy abierto), filtro de contenido (basado en la tecnología del IMF), soporte para recepción de correos cifrados con canal TLS y filtro de Sender ID.

Esta configuración ha hecho que, por ejemplo, correos de phishing tradicional que suplantan a bancos, hayan dejado de entrar en mi buzón tiempo ha. Esos correos que dicen venir del equipo técnico de un banco para que cambies la contraseña o entres en tu cuenta pinchando en el siguiente link. Esto me sucedió mucho durante un periodo con Cajamadrid.es.

Sin embargo, esto ya no me sucede jamás, porque la gente de Cajamadrid.es ha hecho los deberes y ha configurado el registro SPF en el DNS dando información a los servidores de correo que implementan Sender Policy Framework o Sender ID de quiénes son los servidores autorizados.

El uso del registro SPF ayuda especialmente a las entidades bancarias, víctimas tradicionales del envío de correos electrónicos falsos desde sus dominios, a evitar que llegen al usuario final. Es un sencillo gesto, configurar un registro TXT en el DNS y se consigue que un porcentaje mayor de correos falsos en su nombre no lleguen a las posibles víctimas. Y eso se transforma en dinero.

Así, he podido ver que algunos han hecho los deberes, como Cajamadrid o Cajamar, ambas con registro SPF con la opción -all para que todos los correos que vengan de una IP no dada de alta en él sean destruidos automáticamente.


Registro SPF de Cajamadrid.es y Cajamar.es

Sin embargo, hoy recibí un correo falso de un banco y....alto, esto no puede ser. Algo falla. Si los bancos han puesto el registro SPF y yo tengo el Sender ID configurado...¿cómo es posible que haya entrado este mail? La respuesta es bien fácil, una de las dos premisas no es cierta... y me ha dejado flipado.


Correo falso de un supuesto Banco

Tras comprobar el registro SPF del DNS del banco del mail he podido constatar la no existencia del mismo. Esta acción la he repetido con muchos bancos y las respuestas han sido desalentadoras, casi nadie implementa ese registro. ¿Por qué?. Ni idea.

Lo cierto es que un banco que se gasta pasta en auditorías de seguridad y que se gasta pasta en la lucha contra el fraude debería tener implementada una de las medidas más baratas y que más información ofrece a los usuarios a la hora de detectar correos falsos. Pero no es así. ¿Alguien me lo explica?. Haz una prueba con el DNS de tu banco y dime que encuentras...

Saludos Malignos!

13 comentarios:

Anónimo dijo...

Este ataque, fue contra BBVA. Atentos los clientes de esta entidad

Christian Hernández dijo...

Me cago en la leche, mi banco no tiene SPF...

Vaya tela, si en lugar de gastarse tanto dinero en enviar 20 sobres distintos para meter una hoja en cada sobre lo usaran para mejorar estas cosas...

Excelente artículo.

Anónimo dijo...

OMG!! El mio tampoco...o_O!

Anónimo dijo...

Tienes razón Christian algunos de ellos podrían colaborar un poco en no talar tantos arboles además de ahorrar costes en envio de papeles que no sirven para nada e invertir el dinero en seguridad que es bastante más importante.

Yo he mirado, banesto, que lo tengo que usar por temas hipotecarios, pero después de 5 meses usandolo me dí cuenta que son unos incopetentes y ahora hago lo imprescindible con ellos, ya que la hipoteca me ata a ellos y del SPF ni rastro, además todo esto tiene mucha gracia porque van presumiendo de que son el primer banco español con certificado AENOR de calidad de servicio, jajaja, mi pregunta es ¿la seguridad, no se tiene en cuenta en la calidad del servicio?

Txalin dijo...

Pregunta que lo mismo es muy burra, dado que de spf no tengo mucha idea.... Asi como se puede construir un correo fraudulento con las cabeceras modificadas y tal, ¿no podria ser que se agregara el campo spf de manera fraudulenta metiendo una ip valida del banco a manija?

Anónimo dijo...

Txalin como no metas ese registro en el dns de ese banco...

Anónimo dijo...

Joder mi banco tampoco...
es tan complicado implementar este método Chema?

Ayak dijo...

Pues oficinadirecta que depende del Banco Pastor, si, y también tienen el certificado con validación extendida. Cosa que BBVA tampoco tiene...

Tampopo dijo...

La Caixa parece que si lo tiene configurado adecuadamente. Almenos la salida de nslookup es similar a los ejemplos.

El dinero y el sentido comun no suelen ir de la mano.

frikineka dijo...

Yo tengo cajamar. ... :)

Ruso dijo...

Cabrones, por lo menos teneis algo en el banco, perros. Yo ni lo voy a mirar, total si me estafan 30 € no me voy a cortar las venas. Eso de de banco + internet = comodidad no me va. Lo unico que pago por internet son los server, y eso que prefiero un ingreso directo.

Elfogris dijo...

Chema tengo una noticia para ti: la furgo ha muerto... si esa que casi te cuesta un riñon! xD
Te invito a leer la historia en mi blog si te aburres!
Un saludo y nos vemos en breves en DEFCON!

Anónimo dijo...

Hemos enlazado tu artículo desde el Twitter SerenaMail: Buen artículo.

Gestionamos en modalidad SaaS más de 10 millones de conexiones SMTP al día para más de 50.000 usuarios de medianas y grandes empresas.

Hace aprox 5 años implementamos capa de seguridad SPF; sorprende que aun hoy entidades como el Banco Popular no incorporen un registro SPF de sus dominios, facilitándonos así la detección de ataques phishing.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares