Si sospechas de un mail fraudulento o con “bandera falsa”, es conveniente que antes de que te aborde el pánico, investigues en su cabecera. Muchos programas de correo la ocultan de forma predeterminada, no puedo explicar el funcionamiento de todos los clientes de correo, vamos a verlo desde Outlook Express: Selecciona el mail que quieres investigar más a fondo y en el Menú Archivo-Propiedades selecciona la ficha de Detalles, verás algo como lo que sigue:
Para observar con más detalle las cabeceras pulsa el botón Código fuente del mensaje, las cabeceras ofrecerán un aspecto parecido a este, yo he seleccionado la parte que nos interesa por ahora: 
El contenido del código fuente puede ser muy extenso, de momento nos preocuparemos de los siguientes registros:
Received: En este campo encontrarás él o los nombres de los servidores de correo que participaron en la entrega del mensaje, como si se tratara de un “matasellos” del correo convencional y además incluye la IP del origen, la nuestra y la de todos los Servidores de Correo por las que pasa.
Message-ID: identificador del mensaje del servidor de correo saliente de la persona que lo envía, debe ser único para cada mail dentro del mismo servidor.
From: La dirección electrónica que indicó el expedidor del mensaje, no tiene por qué coincidir con su dirección real.
To: La dirección del destinatario, o sea nosotros. Si no coincide con la nuestra puede ser debido a
múltiples factores, para no pensar mal, suponemos que el mail se ha enviado a un grupo de identidad creado a propósito, de tal forma que el remitente se envía a sí mismo el mail y nos llega a nosotros porque nos ha incluido en esa nueva identidad creada a tal efecto, de esa forma puede enviar múltiples correos indicando una única dirección. Si pensamos mal, puede ser que el correo del servidor está siendo redirigido a nosotros, que el remitente tiene un virus que envía cualquier cosa a todos los que tiene en su libreta de direcciones, que está usando un remailer, bueno no vamos a pensar nada malo de momento.
En el ejemplo de este correo el destinatario debería ser mi cuenta de correo y sin embargo aparece otra dirección, precisamente la misma que lo envía, eso nos hace suponer, y solo suponer, que está usando un grupo de direcciones dentro de una identidad creada para enviar mail masivos con el objeto de informar de algo a los miembros.
Date: Fecha y hora en la que se envió el mensaje
Subject: el texto que escribió el remitente en la línea de asunto
MIME versión: Versión del estándar Multipart Internet Mail Extensión, mediante el cual podremos enviar un mail en formato HTML o no, y asegurarnos que tiene un formato adecuado, ufff, esto es complicado de explicar, por ahora piensa que es “algo” que se pone para que el destinatario reciba correctamente el mensaje o para que se puedan enviar correos con datos binarios (ejecutables que se convierten a Base64), imágenes, vídeos, archivos de sonido, etc.
Content-Type: proporciona información de las partes que forman el mensaje compuesto por MIME, ya sé que no te estás enterando de nada, de momento no le prestes mayor atención, ya se la prestaremos cuando nos llegue la hora de componer un mail malicioso para explotar algún bug de Outlook o Internet Explorer.
Todos los registros que comienzan por X son opcionales, pueden existir o no, los más comunes son:
X-Mailer: Programa o sistema de correo que utilizó el remitente para enviarnos el correo.
X-Sender Order ó X-Authenticated Sender: Lo mismo que From pero más difícil de falsificar puesto que es la dirección que anotó el servidor de correo del expedidor y que apenas puede ser manipulada.
X-Authenticated IP: Informa de la dirección IP de la red interna del ordenador que emitió el mensaje, figurará si el equipo desde el que se nos envía el mail forma parte de una red y si los servicios de correo de la misma están así configurados.
X-Priority ó X-MSPriority: Prioridad del mensaje, alta, normal, etc.
Si la cabecera X-Sender no coincide con From indicará que el remitente no está usando su verdadera dirección mail.
Si la última cabecera Received que figura al final del código fuente no coincide la dirección del remitente es otro aviso de que la dirección del mismo no es correcta.
Una falsificación profesional del mail no puede ser descubierta de este modo, por eso es profesional, por ahora ya es suficiente, al menos empezamos a entender todos esos nombres “raros” que aparecen en los mail que recibimos, nos será de gran ayuda en las prácticas de este capítulo.
No hay comentarios:
Publicar un comentario