En ocasiones podemos recibir correos en los que el remitente dice ser una persona de la empresa, pero su dirección de correo no pertenece a esa persona. Estos correos los consideremos como correos falsificados o spoofing, los cuales intentan ganarse la confianza del receptor del mensaje para obtener información o beneficio económico.
Ejemplo de correo falsificado:
De: Marcos Olivo <m.olivo@phishing.net>
Para: Marta Pérez <m.perez@olivoycia.com>
Hola marta,
Por favor ingresa la cantidad de 25.000€ a la siguiente cuenta:
FX21-2151-84516607852
Avísame en cuanto esté hecho, es bastante urgente.
Atentamente,
- - - - - - - - - - - -
Marcos Olivo
CEO de Olivo y Cia S.A
Teléfono: +34 91.541.21.55 Ext 1
Correo: h.scorpio@olivoycia.com
Esto puede ser bloqueado gracias al filtro Fraude del CEO, el cual forma parte de nuestro filtro Targeted Fraud Forensics Filter (TFFF).
El filtro comprobará que el nombre que se indica en el display name y la dirección de correo electrónico desde la cual nos envía ese correo, sean iguales a la configurada en el filtro. En caso de que la dirección de correo electrónico no sea igual al configurado en el filtro, el correo será puesto en cuarentena.
Por ejemplo, si estamos protegiendo la dirección "m.olivo@olivoycia.com", y su nombre y apellidos son "Marcos Olivo", en los datos básicos del buzón, bloquearíamos correos que vengan de direcciones distintas a "m.olivo@olivoycia.com" cuyo display name especifique "Marcos Olivo":
Este filtro podría prevenir casos en los que un usuario podría leer "Marcos Olivo" al empezar a leer el campo "De" en un correo, y asumir que es el Marcos verdadero, sin prestar atención a la dirección especificada justo a continuación.
Activar Filtro:
Para activar el filtro TFFF, accede al Panel de Control y dirigirse a Configuración de Seguridad > Advanced Threat Protection > Activar Targeted Fraud Forensics Filter.
Configurar filtro:
Una vez activado, se deben de crear el grupo de usuarios potencialmente sensibles, como puede ser CEO, Administrador, Contable, etc. Para ello nos dirigiremos a Configuración del cliente > Grupos
Pulsa sobre el botón +Añadir, asigna un nombre al grupo, una descripción y selecciona a los miembros que quieres añadir al grupo:
Una vez creado el grupo, vuelve a Configuración de Seguridad > Advanced Threat Protection, pulsa sobre Añadir para añadir el grupo previamente creado al filtro TFFF.
Importante: Para que el filtro funcione correctamente, por favor comprueba que:
- La comprobación de SPF para el tráfico entrante está habilitada
- Los campos Nombre y Apellidos de los miembros del grupo son correctos bajo Configuración de cliente > Buzones > Datos básicos
Consejo: Recomendamos proteger con este filtro tan sólo las cuentas sensibles de ser falsificadas y cuyos fraudes pudieran tener un gran impacto si quien recibe el mensaje no detecta el fraude.
Esto es porque cada vez que añades una nueva cuenta al filtro, considerará que sus nombres y apellidos son "exclusivos" de la dirección de correo protegida.
En consecuencia, a más usuarios se añadan a la lista, más probable es que estas coincidencias ocurran. Es por ello que recomendamos elegir qué cuentas requieren esta protección, en vez de agregar a todos los usuarios al grupo.
Por ejemplo, si el CEO de la empresa se llama Juan Fernández, el filtro bloqueará correos que lleguen de otras direcciones de correo, cuyo display name sea "Juan Fernández".
Esto puede causar algún falso positivo, ya que puede ser que haya otros "Juan Fernández" legítimos fuera de la empresa, o que "nuestro" Juan Fernández envíe correos desde por ejemplo su cuenta personal en Yahoo o Gmail, y también especifique "Juan Fernández" en el display name.
Si esto ocurriera, desde Soporte podremos ayudaros a configurar excepciones para determinados remitentes válidos que coincidieran en nombre y apellidos con una cuenta protegida por TFFF.