lunes, julio 23, 2007

Cómo saber si te llega una dirección de correo suplantado?

Cómo saber si te llega una dirección de correo suplantado?

Estimados amigos:

Quiero proveerles de una herramienta que creo que les puede servir mucho para que no los engañen por email, y es, el cómo identificar al emisor de un email.

Les escribo esto porque en este último tiempo al parecer andan de moda las suplantaciones de email y otros delitos por internet. Uno de estos delitos típicos es el de la "suplantación de correos electrónicos", es decir, yo me presento como Juan@Perez.com pero en realidad mi verdadero email es Julito@tramposo.net, pero logro suplantar el email de otra persona porque tengo un software que me permite mandar un email que me presenta como si yo tuviera un correo distinto (que yo me invento), y muestra este correo a la persona que recibe el email.

Ya había mandado esta infromación en el foro pasado, pero creí conveniente que Uds. tuvieran esto en conocimiento a través de este foro también.

[b]Identificación de las direcciones de correos electrónicos suplantados[/b]

Esto sirve en especial para reconocer emails falsos o enmascarados o suplantados, como se les denomina a los emails que llegan de parte de un cierto remitente (de cierto correo electrónico), pero que no han sido enviados por este, sino por alguien distinto que tiene otro email.

Estos suplantadores logran efectuar estos engaños porque poseen programas que generan correos con direcciones de email de otros usuarios.

Por ello se habla de enmascaramiento o suplantación. Esto está penado por ley internacional, y si llegan a ser sujetos de engaño por parte de estas personas, se les sugiere que recurran a la policía del país o al provedor de internet que les presta servicio a Uds. o a los que suplantaron el email. Con paciencia e insistencia podrán lograr que las personas que incurrieron en este acto ilegal, llegen a ser enjuiciados, como manda la ley.

Por ello es necesario buscar un abogado y en el caso de Chile, contactarse con la BRICIB que es la brigada del cibercrimen, quienes requerirán que se les lleve el computador afectado (donde se recibió el falso email y/o desde donde se envian regularmente los emails cuyo correo electrónico ha sido falsificado por otros y usado ilegalmente) para así ellos proceder al rastreo de la dirección de orígen de la suplantación.

Por lo general, los cibercafé no deberían tener programas que permitan generar estos falsos emails, pues si lo tienen, se podrían exponer a la clausura de su local además de juicios legales. Por ello, es más probable que las suplantaciones de email provengan de computadoras personales (dentro de una empresa, domicilio o de otro particular asociado al impostor).

Existen dos técnicas básicas para descubrir si un email sospechoso, proviene o no del remitente que sale en pantalla, y yo las denominaría: a) IP Matching (comparación de IP); y la otra: b) IP Tracking (búsqueda de la IP).

A continuación les detallo un poco cómo se hacen ambas cosas: cualquier duda que tengan, hágansela porfavor a alguien que sea experto en el
tema y que sea cercano a Uds. Ojalá este material les pueda servir.

Hago esta inserción porque a ciertos personajes del ambiente que nos rodea les están suplantando sus emails, cosa que a mí me pasó años atrás y logré que la compañía proveedora de internet se hiciera cargo de la investigación del delito informático.

OBTENCION DEL ENCABEZADO O CODIGO FUENTE DE EMAILS: (FULL HEADERS)

Como modo general de reconocer al emisor de un mensaje, se sugiere seguir el siguiente ejemplo:

1) Si yo recibo un correo de alguien, y en la parte del emisor se indica
que es de xxx@terra.cl, la unica forma de saber si efectivamente este email corresponde al mismo emisor, es haciendo lo siguiente:

2) a los que utilizan por ejemplo outlook express, y luego de verificar
que el email no viene con virus, abranlo, y verán a continuación una lista de opciones

3) entren a "datos"

4) vayan selecciones "propiedades"

5) les aparecerá una nueva ventana con dos lenguetas, una dice "general"
y la otra dice "detalles"

6) seleccionen "detalles"

[en los casos de personas que ocupen: a) yahoo, los pasos 1 al 6 se logran apretando la opción "encabezados completos" o "full headers" (en la versión de inglés); en el caso de hotmail, hay que ir a "opciones", donde aparecerá una pantalla denominada "Opciones de correo", en donde hay que apretar en "Configuración de pantalla de correo" y luego en esa pantalla hay que elegir en "Encabezados de mensajes" y marcar la opción avanzada) y luego apretar en "aceptar" abajo.

Cada tipo de email tiene un modo distinto: en los programas como outlook express, microsoft outlook y eudora, poseen una opción similar. Al abrir el email de alguien, uno debe ir luego a la opción "datos", luego a "propiedades" y luego a "detalles" y luego a "código fuente" (este es el caso por ejemplo de "outlook express")]

7) Una vez que Uds. puedan lograr que en el email aparezcan los códigos fuente de los destinatarios, debieran ver un cuadro encasillado que contiene mensajes tales como:

X-Message-Info: xxxxxxxx
Received: from xxxxxxx
Fecha: xxxxxxxx
Received: from xxxxxx
Date: xxxxx
Message-ID: xxxx@xxxx.xxxx.xx
From: xxx@xxxx.xx
Subject: xxxxxx
MIME-Version: xxxx
Content-Type: xxxx
Return-Path: xxxxx@xxxx.xx
X-OriginalArrival

en el caso de algunos softwares para leer y enviar emails, abajo de ese texto anterior puede que aparezca otra pequena opción (tecla virtual) que dice "código de fuente" o "código" o "fuente" (depende de las versiones de los correos que Uds. utilicen (eudora, outlook, microsoft outlook, etc)

9) apreten esta opción y les aparecerá nuevamente los mismos mensajes y códigos extranos pero ahora con más información específica

10) agranden la ventana al máximo y muevan la barra lateral derecha para recorrer el mensaje desde arriba hacia abajo. Allí verán el contenido completo del los emails, vale decir, sus códigos fuente con sus encabezados respectivos.

ANALISIS DE LOS ENCABEZADOS DE LOS CORREOS

En el texto que se logre rescatar siguiendo los pasos 1 al 10, debe buscarse desde abajo hacia arriba el primer código donde
aparezca el siguiente identificador (similar) hacia la izquierda de la ventana:
"Message-Id: xxx123xxxetcetera@xxxxl.xxx.xxx" (nota: el texto anterior dentro del email es solo como ejemplo)

Pues bien, lo que está delante de "Message-Id:" es el identificador
exacto del correo electrónico o email desde donde se envió el mensaje

Cuando uno es cliente de www.terra.cl (caso año 2002-2003), los emails que se generan al usar este portal como acceso a internet, sea cual sea la comuna desde la cual accedamos, generarán un mensaje del tipo xxx@queule.ctcinternet.cl Message-Id: xxxxxxxxxx@queule.ctcinternet.cl> (Nota: puede que para ciertos
clientes de Terra el último identificador cambie).

Es posible que el email del emisor aparezca con unos símbolos o números largos extraños, pero lo importante es descubrir si el email aparente que se recibió en un principio, se asemeja al email que aparece en el encabezado "Message-Id: ..." mencionado.

Esta es al primera parte que aconsejo que realizen, mientras que la segunda parte es la que resumo a continuación:

IDENTIFICACION DE EMAILS E IPs: (MATCHING)

Aparte del message ID que permite conocer el verdadero email del emisor, en el código que se rescata al tener el encabezado completo del email (o también lo que a veces aparece como código fuente del email), también aparece la información de las máquinas involucradas en el orígen y envío del email. Esta información se denomina código IP (Internet Protocol) y que en el fondo, es un identificar codificado (del tipo numeral por ejemplo 122.256.88.36 (aunque puede aparecer con nombres y números como por ejemplo: "Received: from [66.218.66.160] by n18.grp.scd.yahoo.com" ).

Cada máquina (computador) por la que pasa un email, le incorpora un código IP al mensaje, lo que permite saber por dónde fue originado y por dónde fue luego enviado hasta llegar al receptor final.

Por ejemplo, en un email que contenga los datos codificados y visibles a través del encabezado completo del email, debieran aparecer los siguientes encabezados tipo:

De: Juan Soto
Para: pablorojas@groups.com
Cc: teresapinto@merida.es
Asunto: Ud. es un tal por cual !!
Enviado: Tue, 20 Jul 2004 20:14:17 -0500

Return-Path:
Received: from [210.71.177.161] by web52503.mail.teco.com via HTTP; Tue, 20 Jul 2004 20:14:17 CDT
To: grupotanto@yahoogroups.com
X-eGroups-Remote-IP: 216.100.29.124
From: Julio Aguilera
MIME-Version: 1.0
Mailing-List: list grupodos@yahoogroups.com; contact grupodos-owner@yahoogroups.com
Delivered-To: mailing list grupodos@yahoogroups.com
Precedence: bulk
List-Unsubscribe:
Date: Tue, 20 Jul 2004 20:14:17 -0500 (CDT)
Subject: Ud. es un tal por cual !!

Reply-To: grupodos@yahoogroups.com
Content-Type: multipart/alternative;
boundary="0-955998443-1147372457=:37697"

(aquí va el mensaje que lleva el email, y que no es necesario colocarlo aquí)

Aquí vemos que el Sr. Pablo Rojas (" Para: pablorojas@groups.com
") recibió un email del aparente emisor de nombe Juan Soto ("De: Juan Soto )" que en realidad es distinto al emisor real que aparece en el encabezado "Message-ID: <20040898741417.32263.qmail@web52503.mail.teco.com>", puesto que
el emisor Juan Soto posee un email del tipo ".....@yahoo.com" por lo que en algún luger del encabezado "Message-ID: ... debería haber una indicación a este tipo "....@yahoo.com".

Podríamos afirmar que el emisor aparente es probablemente el emisor verdadero si en el Message-ID: encontraramos por ejemplo un email del tipo "<20040898741417.32263.qmail@web52503.mail.yahoo.com>", pero esto no es prueba suficiente puesto que el emisor real puede tener una cuenta del tipo "....@yahoo.com", y la persona que ha sido suplantada puede también tener una cuenta del tipo "...yahoo.com".

El proceso que acabamos de realizar se llama "comparación de email" o "identificación de email por calce (matching)". Si esta etapa no fuera suficiente para determinar alguna anomalía en el email producto de la posibilidad de que los correos del emisor suplantado () así como del emisor verdadero (el suplantador) sean similares (por ejemplo calixtoprieto@yahoo.com), se puede proceder entonces al seguimiento de una IP:

IDENTIFICACION (O CALCE) DE UNA IP: (IP MATCHING)

Para ello es necesario nuevamente revisar los encabezados anteriores, en donde además aparecen los códigos IP de las máquinas involucradas en el envío del correo, cada una con una IP particular única.

Esto aparece en encabezados tales como: "Received: from .... (211.68.217.7 by ... (7.0.028) ..."

o en "Received: from [66.218.66.160] by n18.grp.scd.yahoo.com with NNFMP ..."

o en "Received: from unknown (66.218.66.216) ... (215.188.31.120)"

y muy especialmente fijarse en el encabezado: "X-eGroups-Remote-IP: 216.100.29.124"

Generalmente una persona conocida y que labora en un lugar fijo (desde un computador fijo) debería tener una IP muy parecida durante un mensaje u otro, y por lo general, se analiza esto de la siguiente forma: los IP tienen un formato del tipo XXX.YYY.UUU.ZZZ

Si una persona se conecta por un mismo servidor de internet (en Chile por ejemplo Entel, telefónica, etc), en caso de usar solo un proveedor, es posible que en distimtos emails del mismo emisor hayan cambios menores en los códigos ZZZ y en algunas ocasiones en los códigos UUU, pero no debiera haber cambio alguno en los códigos XXX ni en los códigos YYY. Por ejemplo: Juan Perez puede mandar un email a Pedro Soto, y este puede descubrir en en el encabezado completo del email que en la manana Juan Perez tiene una IP 200.100.60.85 y en la tarde una IP 200.100.60.128, por lo que es probable que sea el mismo. En caso que no sea así y una reciba un email suplantado y con un código IP similar (por ejemplo IP 200.100.60.96), esto quiere decir que la persona suplantadora está conectada a internet a través de la misma companía proveedora de servicios internet.

El otro caso es el siguiente: si una persona se conecta a internet en la manana a través de un servidor de internet y en la tarde a través de otro, es posible encontrar por ello cambios drásticos en todos los códigos IP (XXX.YYY.UUU.ZZZ). Por ejemplo, puede que por Entel un mismo usuario tenga una IP 200.100.010.30 y por Telefónica tenga una IP 111.210.222.145. Por ello es importante ver cuáles son los emails verdaderos de un emisor conocido y ver cuáles son los IP generales por los cuáles este se conecta.

Pero el modo más importante para reconocer la IP de alguien, es recurrir directamente a un programa seguidor de IP, que se obtiene por ejemplo en internet y de manera online a través de la página

http://arul.telenet-systems.com/track.html

en donde hay que colocar las IP del email dudoso en el casillero que dice "Enter the IP address" y luego apretar la tecla "start tracking", con lo que comenzará una búsqueda de los datos relacionados a las IP ingresadas.

Por lo general, esto sirve mucho para identificar a suplantadores que están en otro país, pues esos programas que buscan el origen de la IP muestran los datos de las compañías proveedoras de internet por las cuáles pasaron los mensajes enviados por el emisor, así como la IP de la máquina desde donde se envío el mensaje dudoso.

Por lo general se sugiere como mínimo revisar la IP que está debajo del encabezado: "Message-ID: <124544489.89663.xmail@web53593.mail.yahoo.com>
Received: from [124.75.181.222] "

pues ese dato se relaciona por lo general con la IP de la máquina desde donde se emitió inicialmente el mensaje.

Eso sería lo básico por ahora.

La información entregada anteriormente puede contener errores menores, por lo que se sugiere que lo verifiquen con gente realmente especializada en estos temas informáticos. Si tienen cualquier problema, se sugiere recurrir a la brigada del cibercrimen dependiente de Investigaciones de Chile (BRICIB)
http://www.investigaciones.cl/paginas/brigadas/bg-bricib/bg-bricib.htm
o a la Subtel o al proveedor o portal Internet (ISP Internet Service Provider) con el que uno ha contratado servicio Internet, o a alguien que diga encargarse de estas cosas en materia judicial.

Resumen

Lo clave de todo lo que escribí es recordar lo siguiente:

-te puede llegar un email de una persona que usa el email de otro para presentarse, pero en realidad no es dueño de ese email, sino que tiene un programa para suplantar email. Eso es un engaño y no supone una buena intención y por ello, te sugeriría que tuvieras cuidado

-cuando te llega un email cualquiera, te tiene que llegar desde un correo con una dirección específica, la cual es única

-para saber si la dirección de correo (por ejemplo juanito@super.com) que se ve en email recibido, también corresponde a la dirección de correo de la persona que lo envía de verdad, hay que ir a lo que se llama el código oculto, o también los encabezados, cosa que te lo permite tanto el eudora, el outlook express, el microsoft outlook, o los webmails tipos yahoo, hotmail, etc

-el código oculto (o los encabezados) muestra los datos electrónicos del computador desde donde procede el correo electrónico. Los datos que llevan la identificación de ese computador son, entre otros, la dirección IP (Internet Protocol), que es una dirección única que no puede estar presente en el mismo momento en dos computadores distintos. Además, en el código oculto van las IP de los computadores a través de los cuales se transporta el correo hasta llegar al destinatario

-el código oculto (o los encabezados) muestran además los datos electrónicos del email con que el emisor está enviando los correos, lo que permite corroborar si el email que te aparece en pantalla es efectivamente el email real desde el cual el emisor genera la carta que te envía -por ello, aunque los pasos que les mencioné son algo engorrosos, si trata de aplicarlos con algún correo cualquiera, y si tienes dudas de como seguir, avísame o pídele ayuda a los demás chiquillos, por ejemplo en http://www.elforo.de/ovnis/viewtopic.php?t=504&highlight=mail alguien dejó algunas herramientas para hacer análisis de emails y de IPs, entre varias otras cosas.

Por otro lado, algunos se interesarán en saber si quizás sea posible que un segundo programa usé el administrador de correos (como por ejemplo el software outlook express) para enviar emails con datos modificados para que no sea facilmente rastreados. Debo decir que allí desconozco varias cosas y por ello les sugiero que lean lo que sale en wikipedia en lo de phishing (o yendo a http://es.wikipedia.org/wiki/Carding ) ya que lo que podrían estar haciéndoles en el peor caso es justamente un tipo de phishing aunque en el fondo lo que podría llegar a ser es más un spoofing (ver en http://es.wikipedia.org/wiki/Spoofing)

Lo otro que deben cuidarse es de ver si es que este personaje, en caso que no sea quien dice ser, no los esté utilizando para hacer pharming (ver en http://es.wikipedia.org/wiki/Pharming).

Lo otro que puede ser es que alguien se haya introducido en el pc de alguien (quizás aquella de la cual se están recibiendo efectivamente mensajes con el email de la persona) y que use su sistema para generar comunicación con otras personas como Uds. escudándose en el hecho de que en algún momento dado cuando Uds. quieren investigar al originador de los mensajes lleguen a esta otra víctima que usan de intermediario quien quizás no tiene idea de todo esto puesto que puede estar siendo una víctima de lo que se llamaría Cross-site scripting o encriptación de zona cruzada (ver http://es.wikipedia.org/wiki/XSS) en donde quizás una víctima desconoce que están usando su pc y sus recursos de internet e incluso su alias e identidad para engañar a otros.

Yo les sugiero que le escriban a Microsoft apretando simplemente en la opción "denunciar suplantación de identidad o phishing" que es una opción que al menos google gmail ofrece y creo haberlo visto también como opción en hotmail. De poco les servirá saber si los emails son enviados desde el mismo servidor de correos (por ejemplo el outlook express) o directamente de la webmail online.

Lo más importante es fijarse siempre en la gravedad de las amenazas que se reciban en caso que así ocurra pues allí convendría acudir a la brigada del cibercrímen de cada país involucrado y ver qué ayuda les pueden brindar ellos.

Lamento cualquier confusión que pueda producir el modo como ha sido explicado todo el procedimiento citado. Espero su comprensión.

Finalmente, espero que Uds. hagan buen uso de esta herramienta que se les entrega, de modo de evitar que la gente sea engañada. Muchas gracias.
saludos

Atte.
Michel
esiomajb@gmail.com

Nota: Este es un material que alguna vez publiqué en algunas listas y no se si es de las más actuales pero ojalá les sirva.
Originalmente escrita en http://209.85.135.104/search?q=cache:14QO8xI_5XEJ:www.elforo.de/ovni2/viewtopic.php%3Fp%3D126%26sid%3D8c024a60bb8eec835b6d4f828438eba7+esiomajb+cibercrimen&hl=de&amp;ct=clnk&cd=1&gl=de

Edición: 23/07/2007, 080609
Publicar un comentario