Caçadors d'Evidència: Navegant per l'Anàlisi Forense de Correus Electrònics
Compartir
En la realització de les anàlisis, ja siguin de l'àmbit forense, d'intel·ligència, financer o d'altres, destaca la recerca de la veritat. La veritat com a objectiu i utilitzant com a mitjà la raó, així com Descartes va descriure al seu dia en el Discurs del mètode per dirigir bé la raó i buscar la veritat en les ciències. Els analistes pretenem esbrinar el que ha passat i donar resposta a les inquietuds del client, sense deixar de banda que, de vegades, la veritat és el més complex de testificar.
L'anàlisi forense de correus electrònics sorgeix gairebé íntegrament després d'un succés o incident que requereix ser investigat. Aquestes anàlisis es comprenen de vegades de dues parts, la tecnològica (el procés d'enviament i recepció) i la d'informació (continguda al correu i/o adjunta).
Les consideracions principals per a realitzar l'anàlisi tecnològica dels correus fraudulents, encara que no sempre tindran cabuda en totes les anàlisis, però que cal contemplar inicialment, són:
- Identificar unívocament els serveis de correu involucrats tant en origen com a destinació. Cal identificar la tecnologia de correu de les dues parts, bé podrien ser correus al núvol (SaaS) o servidors de correu on premise.
- Garantir que els correus no han estat manipulats, obtenint les mostres de correu a analitzar amb un compte administratiu directament del servidor, no dels clients de correu dels usuaris afectats.
- Analitzar les capçaleres tècniques als correus electrònics rebuts per identificar els servidors origen de l'enviament.
- Analitzar els elements de seguretat del correu com:
- Alineació SPF: L'alineació SPF es pot considerar inalterada quan el domini de “MAIL-FROM” o “Return-Path“ i de “From” són iguals. La diferència entre aquests podria suggerir que el correu electrònic és fals.
- Autenticació SPF: Si l'autenticació SPF és falsa, significa que l'adreça IP del remitent no està autoritzada per enviar correu electrònic en nom d'un remitent. És a dir, que no està autoritzada a enviar correus electrònics en nom del domini legítim.
- Alineació DKIM: Per confirmar l'alineació de DKIM en un correu, el camp “DKIM-Signature” ha d'incloure la signatura del domini de la capçalera “From” a l'etiqueta “; d=domain.com”.
- Autenticació DKIM: Si el camp Signatura DKIM no està verificat, pot suposar que el correu electrònic ha estat modificat o alterat.
Quant a la part de l'anàlisi sobre la informació del correu electrònic, cal atendre de manera objectiva allò redactat en ell, així com allò inclòs en els arxius adjunts si n'hi hagués. En aquesta part, cal tenir en compte diverses premisses:
- Redacció, estil literari i ortografia: cada vegada més complexa la distinció de missatges reals o lícits dels generats per un atacant utilitzant Intel·ligència Artificial.
- Format de la signatura: anàlisi visual de la signatura a la recerca de possibles falsificacions o en tot cas, si hi ha la possibilitat de ser una còpia d'una signatura autèntica, identificant espais sota la signatura que no deguessin existir .
- Dades rellevants: establir quina informació al correu és de domini públic o privat. Possibles esferes de coneixement de la informació esmentada.
- Menció a persones: valorar si es tracten de persones reals o fictícies, en el cas d'atacants, és més probable el primer, però és important no fer el descart abans de l'anàlisi.
- Correus electrònics filtrats o exposats: identificar si el compte que rep el correu electrònic és present en filtracions de dades o és possible trobar-lo en fonts obertes. En cas de filtracions de contrasenyes, valorar la possibilitat d'un compromís al compte.
- Modus operandi: establir una hipòtesi amb els fonaments més objectius i encertats disponibles que indiqui com es va poder fer l'atac.
- Objectiu: analitzar el possible objectiu de l'atacant, així com el benefici que obtindria, en casos complexos pot ajudar.
- Fitxers adjunts: extracció de les metadades dels fitxers i anàlisis tant d'aquestes com de la informació del document en si (signatura, número de compte bancari, etc.).
Com a aspecte clau en l'anàlisi forense, cal destacar l'extracció de l'element i la cadena de custòdia d'aquest com a element. Si bé és important en l'àmbit forense, pren especial rellevància en el cas del correu, ja que se n'ha de fer una anàlisi en tots els punts per on han passat.
En l'anàlisi forense, per tant, sempre és recomanable acudir als millors experts, aquells que facin una bona identificació de les evidències i siguin capaços de relatar els fets comprovats sense caure en suposicions o falses creences. A més, que sempre que l'informe sigui presentat a judici, es realitzi una correcta custòdia dels dispositius i/o fitxers, comptant també amb els pèrits que van realitzar l'informe per a la seva correcta defensa en seu judicial.
Sergio Gutierrez, Technical Lead a Zerolynx i Noelia B. Analista de Ciberintel·ligència a Zerolynx.