Todos en algún momento hemos recibido emails que parecían no ser para nosotros por ejemplo un mensaje de Correos avisandonos de un paquete que no esperamos, una confirmación de un Banco o estos otros casos (reales) Bankia, ING direct, Caja EspañaBBVA, SabadelSantander) o Facebook, Twitter, iTunes, iCloud o Gmail, podemos recibir emails que parecen provenir de estos servicios independientemente de que estemos registrados en ellos, también hay otros casos como aerolíneas, empresas de telefonía y tiendas online, normalmente borramos ese email al carecer de relacion con la entidad emisora pero si tuvieramos contacto con esa entidad ¿Porque no abrir ese email? y en caso de que no tengamos relación con esa empresa/entidad ¿Porque lo hemos recibido?

A la suplantación de identidades en internet ya sea en emails o en páginas web se conoce como Phishing; Los creadores de phishing eligen un objetivo al que suplantar preferiblemente que sea de uso masivo como los citados anteriormente y una vez conseguida la lista de emails, envian miles de emails indiscriminadamente aún sabiendo que muchos de sus destinatarios sencillamente lo borrarán pero habrá un porcentaje que si tendrá relaccion con la empresa suplantada y que son susceptibles de abrir ese correo y que lo abrirán y pincharán en sus enlaces o peor, abrirán sus ficheros adjuntos y ahí empieza el engaño…

En mi caso acabo de recibir un email de Iberia que no estaba esperando PERO que podría estarlo pues suelo coger vuelos varias veces al año por lo que perfectamente podría estar esperando un email de Iberia (u otra compañia aérea) y por lo tanto lo voy a abrir con cierta desconfianza y vamos a ver como poder distinguir un email verdadero de un email fraudulento y asi poder estar seguros de que lo que estamos recibiendo es real y seguro o no.

Este es el email que he recibido, aparentemente todo normal, pero hay detalles que nos pueden ayudar a arrojar luz sobre si es verdadero o no, el primero el sentido común, ¿Estas esperando un email de tu aerolínea, banco o tienda de confianza? Si la respuesta es NO, bórralo inmediatamente, pero si es SI, sigue leyendo…

iberia

Tirando del sentido común seguimos, hay dos cosas q me han llamado la atención, vivo en españa e iberia es una compañia española pero el precio viene en $ (dolares) al ser una cosa internacional no tiene porque ser definitivo pero ya llama la atención…

Lo segundo  es que la direccion desde la que proviene es esta, en principio no vemos nada raro PERO:

iberiaDireccion

Una buena manera de saber si un correo es verdadero es comprobar si su dominio existe o si responde, en este caso: iberiaplus.iberia.es

iberianoentra

No reponde por lo tanto no existe, pero si responde quizas no tenga nada que ver con el emisor.

Un modo mejor de ver si es un email real es comprobarlo con un servicio de verificación de correos de los muchos que hay en internet, yo utilizo este:

http://www.email-unlimited.com/tools/verify-email.aspx

En mi caso este es el resultado «Address rejected» es decir la cuenta de correo no existe, no es definitivo pero ya va cantando…

iberiaBad

Ahora vamos con el cuerpo del email, como podemos ver vienen dos enlaces que nos invitan a que entremos, uno de ellos para «Imprimir los billetes» o también para «Cancelar los billetes» con esto se aseguran de que si estás esperando un correo de Iberia pinches en el primer enlace y sino quizás pienses que te van a cobrar los billetes y quieras cancelarlos en ese caso es posible que pinches en el segundo, PERO!!!

Antes de hacer click debes saber que los enlaces en los emails tienen dos partes, una visible(texto) y otra con la direccion donde nos llevará el enlace(dirección) donde realmente nos lleva el enlace (que NO es invisible a simple vista) en este caso la parte visible es esta:

iberiaenlaceOK

PERO si ponemos el ratón encima del enlace Outook nos muestra la parte a donde realmente nos lleva el enlace:

iberiaPhishinglink
Y además el segundo enlace apunta exactamente al mismo sitio, raro no?
iberiaDireccion2
Ademas de que no coincide el enlace con el texto tiene bastante mala pinta y SEGURO que no es de Iberia sino de una web desconocida llamada: crawfurdengineering.com ya podemos estar seguors de que este email es PHISHING y que no debemos pinchar en ningún enlace ni mucho menos abrir sus ficheros adjuntos debemos BORRARLO INMEDIATAMENTE y si te sientes con ganas tambien puedes denunciarlo a la Unidad de delitos telemáticos de la GC.

PERO: ¿Que pasaría si hubiese hecho click en el enlace? suelen pasar dos cosas, en algunos casos te llevan a una página web que infecta tu navegador y/o tu ordenador con las consecuencias que eso puede conllevar pero lo más habitual es que veas una web que parece la que dice ser pero que no lo es sino que  «imita» a la página web real, como pasó con EA y los ID de Apple para que introduzcas tu usuario y contraseña.

En mi caso me he atrevido a entrar (en un entorno controlado) y esto es lo que aparece:

iberiaPhishingweb

Obviamente esta no es la página de Iberia de hecho es un phishing bastante «cutre» no funciona ni el enlace de facebook ni el de likedin, ni ninguno de los menús, tan solo quieren que metas tus datos de acceso a Iberia y ZAS! ya son suyos…después de darte error de acceso seguramente te redireccionarán a la página real de Iberia y tu les habrás entregado tus claves si ni siquiera darte cuenta…

Este método ha sido utilizado para robar accesos a bancos como vimos antes, también accesos a Apple, a Gmail, e incluso fué utilizado para robar las famosas fotos de famosas de iCloud y aquí Chema Alonso nos enseñó una demo de como hacerlo en El Hormiguero

A parte de esto si nos fijamos en el lenguaje vemos que si este email fuese de Iberia no se preocupa ni lo más minimo por hablar castellano correctamente, esperemos que los «benevolentes» se expresen mejor sobretodo después de tener que estar a solas con el aeropuerto:

mallenguajephishingiberia

Aquí dejo otro ejemplo esta vez suplantando a Correos España, también falso.

phishingCorreos