Observatorio de Amenazas

El contrabando de SMTP: envia correos electrónicos falsificados

Escrito por Javiera González | 04-01-24

Una nueva técnica de explotación llamada contrabando de SMTP puede ser utilizada por los actores de la amenaza para enviar correos electrónicos falsificados con direcciones de remitente falsas mientras se eluden las medidas de seguridad.

¿Cómo funciona?

El contrabando de SMTP explota las inconsistencias en la forma en que los servidores SMTP salientes y entrantes manejan las secuencias de fin de datos. Cuando un servidor SMTP saliente envía un mensaje, termina el mensaje con una secuencia de fin de datos específica. El servidor SMTP entrante espera ver esta secuencia de fin de datos antes de comenzar a procesar el mensaje.

En el caso del contrabando de SMTP, el actor de la amenaza puede insertar comandos SMTP arbitrarios después de la secuencia de fin de datos. El servidor SMTP entrante procesará estos comandos como si fueran parte del mensaje original.

Esto permite al actor de la amenaza realizar una variedad de acciones, incluida la suplantación de direcciones de remitente, el envío de correos electrónicos a direcciones no autorizadas y la modificación del contenido de los mensajes.

Impacto potencial

El contrabando de SMTP tiene el potencial de causar un impacto significativo en la seguridad de las organizaciones. Los actores de la amenaza pueden utilizar esta técnica para llevar a cabo ataques de phishing, robo de datos y otros ataques maliciosos.

Recomendaciones:

Para protegerse de estos ataques debe mantener al día su conocimiento sobre las estrategias de ataque e implementar medidas de seguridad para proteger sus sistemas y datos. Es fundamental mantener los servidores de correo electrónico a las últimas versiones.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin que tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

Medidas de mitigación:

Para mitigar el riesgo de esta vulnerabilidad, las organizaciones pueden tomar las siguientes medidas:

  • Implementar medidas de seguridad adicionales. Las organizaciones deben implementar medidas de seguridad adicionales para mitigar el riesgo de ataques de phishing, como la implementación de DKIM, DMARC y SPF.
  • Educar a los empleados sobre las amenazas de correo electrónico malicioso y cómo identificarlo. Los empleados deben estar capacitados para identificar y evitar correos electrónicos maliciosos. Las organizaciones deben proporcionar capacitación sobre seguridad a sus empleados para ayudar a proteger sus sistemas.
     

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

      • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
      • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
      • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://thehackernews.com/2024/01/smtp-smuggling-new-threat-enables.html  

https://gbhackers.com/new-smtp-smuggling-attack/

https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/

https://stalwartlabs.medium.com/smtp-smuggling-what-it-is-and-how-stalwart-is-protected-3639c445e760