Análisis básico de Phishing

Correo basado en Ingeniería Social

1. Abre tu cuenta de correo electrónico, localiza un correo que creas que sea sospechoso
de ser Phishing. No abras nada asociado al mismo (ni fichero adjunto, ni enlaces, etc.).
2. ¿Qué técnicas de ingeniería social crees que han aplicado a ese correo?
3. Vamos a analizar el encabezado del correo. Para ello en la ventana del correo hacemos
click en los tres puntos, y en el menú que se despliega seleccionamos “Ver detalles del
mensaje”. Se nos abre una ventana similar a la siguiente donde tenemos los
encabezados del correo:

Podemos copiarlos. Usaremos la herramienta

https://toolbox.googleapps.com/apps/messageheader/, el intérprete de cabeceras de
Google. En este caso nos da la ruta completa del mensaje, además de verificar el origen:
4. Como es evidente nuestro correo viaja a través de varios servidores hasta que alcanza
su destino. Verifica la “reputación” de un servidor en varios sitios web, como son:
a. MXToolbox: https://mxtoolbox.com/blacklists.aspx
b. Cisco Talos: https://www.talosintelligence.com/reputation_center
c. DNSbl: https://www.dnsbl.info/

Creación de correos phishing

1. Simula la creación de un correo de tipo spam. Para ello, detalla como utilizarías la
ingeniería social para engañar a la posible víctima.
a. Asunto atractivo.
b. Imitación de correo formal.
c. Cuidado del leguaje.
d. Etc.
2. Puedes crear el correo electrónico con la herramienta Social Engineering Toolkit
(SeToolKit), que puedes encontrar en la distribución de Kali (opcional).

Entrega
Sigue los pasos del ejercicio y realiza un informe sobre el mismo, además de las conclusiones
obtenidas. El informe debería ser no mayor de 6 páginas.