jueves, 7 de marzo de 2013

SPF contra el phishing: mejor en la banca española que en el mundo

Hablábamos el otro día sobre las SPF, una de las medidas que puede adoptar la banca para intentar que el phishing no caiga en los buzones de los usuarios y, por tanto, reducir su efecto. Hemos realizado una comparativa sobre qué bancos españoles implementan esta medida comparada con los más importantes del mundo, comprobando que en España está más extendido el uso de esta buena práctica.

El estudio se ha basado en comprobar la configuración SPF de los principales dominios de las entidades bancarias. Si el sistema está bien configurado, dejará pasar los correos que vienen de las direcciones IP designadas como válidas, y marcará el resto que dicen venir de la entidad como "falsos". Si está configurado de otra manera, en los que no se marca tajantemente el correo como "falso", se entenderá que la configuración es incompleta. Si el dominio principal no utiliza SPF, la configuración se considera deficiente.

Hemos tomado 62 dominios de las principales entidades financieras españolas o entidades con su representación en España. En ellos, el resultado es que:

  • 22 entidades no implementan ninguna medida SPF.
        
  • 11 las implementan, pero no de forma estricta.
         
  • 29 tienen configurado de forma correcta sus registros SPF para el dominio principal.
        

Lo que se traduce en que un 46,7% de las entidades mantiene correctamente configurado sus registros SPF, y por tanto aportan esta buena práctica que puede resultar en una reducción del phishing en los buzones de los usuarios.

Para la comparativa, hemos tenido en cuenta los 50 mayores bancos del mundo, sacados de una lista realizada en febrero de 2012.

Entre ellos hay dos españoles ya estudiados previamente, por lo que la comparativa se reduce a 48 entidades. Los resultados han sido:

  • 21 entidades no implementan ninguna medida SPF.
        
  • 13 implementan las medidas, pero no de forma estricta.
        
  • 14 tienen configurado de forma correcta sus registros SPF para el dominio principal.
        

Lo que nos deja con un pobre 28% de entidades que mantiene correctamente configurado sus registros SPF entre los 50 bancos más grandes del mundo.

Entre las curiosidades, hemos visto cómo alguna entidad mantiene el sistema en modo de pruebas: (con la política "?all"), otras que directamente parecen no enviar correo desde ese dominio, puesto que no designa ninguna IP como válida, y otras con errores de sintaxis en su configuración.

No se han tenido en cuenta otros factores más "sutiles", como por ejemplo que se implemente correctamente SPF para todos los dominios o subdominios de la entidad.  Adicionalmente, hemos comprobado que otras medidas similares más complejas, como DKIM, directamente no son implementadas por ninguna entidad.

En resumen, se puede afirmar que la banca española en general, toma las medidas básicas contra el phishing, lo que supone que se respetan las buenas prácticas establecidas, mientras que los grandes bancos mundiales parecen no tenerlas demasiado en cuenta.

Los dominios de las entidades españolas estudiadas, han sido:

bancaja.es, bancocetelem.es, bancodevalencia.es, bancogallego.es, bancoherrero.es, bancopastor.es, bancopopular.es, sabadellatlantico.com, sabadellurquijo.com, barclays.es, banesto.es, ebankinter.com, bankoa.es, barclays.es, bbk.es, bbvanet.com, santandercentralhispano.es, caixacatalunya.es, novagaliciabanco.es, unnim.es, cajaespana-duero.es, cajaespana.es, cai.es, cajalaboral.es, bankia.es, cajarioja.es, iparkutxa.es, cajavital.es, cajamar.es, deutsche-bank.es, santanderconsumer.es, ibanesto.com, ibercaja.es, ingdirect.es, inversis.es, kutxa.es, lacaixa.es, lacajadecanarias.es, lloydsbank.es, Openbank.es, ruralvia.com, unicaja.es, uno-e.es, bancamarch, bde.es, bancoetcheverria.es, bnpparibas.es, caja3.es, caixaontinyent.es, cajasur.es, liberbank.es, cajacirculo.es, caixapenedes.com, caixalaietana.es, cajastur.es, cajamurcia.es, cajarioja.es, cajaextremadura.es, sanostra.es, tríodos.es, cajagranada.es, cajabadajoz.es.

Los dominios de las otras entidades estudiadas, han sido:

icbc.com.cn, ccb.com , wellsfargo.com, hsbc.com, abchina.com, jpmorganchase.com, boc.cn, itau.com, citibank.com, commbank.com.au, rbcroyalbank.com, bankofamerica.com, tdbank.com, westpac.com.au, mufg.jp, bradesco.com.br, sbrf.ru, anz.com, scotiabank.com, standardchartered.com, nab.com.au, usbank.com, bnpparibas.net, goldmansachs.com, .ubs.com, bankcomm.com, cmbchina.com, smfg.co.jp,bb.com.br, barclays.co.uk, deutsche-bank.de, bmo.com      , mizuho-fg.co.jp, morganstanley.com, santander.com.br, lloydsbankinggroup.com, nordea.com, ecitic.com, pnc.com, .credit-suisse.com, cibc.com, intesasanpaolo.com, bochk.com, spdb.com.cn, bnymellon.com, rbs.co.uk, hangseng.com, sbi.co.in.

Más información:

Buenas prácticas contra el phishing por parte de los bancos: SPF
http://unaaldia.hispasec.com/2013/02/buenas-practicas-contra-el-phishing-por.html


Laboratorio Hispasec

4 comentarios:

  1. Me parece curioso la utilización de SPF para este propósito, debido a que:

    - El atacante puede usar una dirección de correo con un nombre de dominio parecido por lo el usuario podría no detectar el ataque. (o al menos los mas despistados)

    - El cliente de correo muestra el texto que acompaña al nombre, un atacante puede enviar correos desde su server (valido según SPF), poniendo el email de la institución en el texto del nombre del remitente, muchos lo creerán como un email válido ya que muchos clientes de correo ocultas la direcciones y solo muestran dicho texto.

    SPF es para ayudar a detener el SPAM, y no el phishing, la falsa sensación de seguridad del usuario al creer que un correo es valido es algo que le puede jugar en contra a la banca

    ResponderEliminar
    Respuestas
    1. La verdad es que leí el artículo y tu comentario y tienes razón en parte, pero: SPF se diseño para evitar el spoofing de las direcciones de correo. A partir de ahí su uso no es exclusivo para el SPAM, aunque si que parece que motivo su creación. De la wikipedia inglesa: "It is also used in phishing techniques, where users can be duped into disclosing private information in response to an email purportedly sent by an organization such as a bank." fuente: http://en.wikipedia.org/wiki/Sender_Policy_Framework

      Eliminar
  2. Manuel,
    El uso de SPF para evitar phishing lo encuentro totalmente valido, pues los registros SPF son manjeados por el DNS.
    Asi, si por ejemplo mi servdor de correo recibe un mail que dice venir desde "@bancoejemplo.com" , mi servidor de correo primero hara una consulta DNS hacia el dominio bancoejemplo.com para obtener la lista de servdores de correo "confiables" que podrian enviar correos en su nombre. Si el servidor de origen no esta en esa lista, el correo se marca como posible SPAM o FRAUDULENTO.
    Para que el atacante mande correos desde su propio server y este aparezca valido para el SPF, tendria primero que engañar a mi servidor para que la consulta DNS la haga a otro servdor y no al servidor DNS de la institucion bancaria.

    ResponderEliminar
  3. En primer lugar, agradeceros el trabajo que hacéis para divulgar ataques y contramedidas de modo gratuito.

    Y con respecto a este artículo, echo de menos que hubiérais incluído los nombres de las entidades con su puntuación respecto a las medidas tomadas de modo correcto.

    Un cordial saludo.

    ResponderEliminar