Cargar imágenes alojadas de forma remota en lugar de incrustarlas directamente en los correos electrónicos es uno de los muchos trucos empleados por los phishers para evitar los filtros de correo electrónico.
Los correos electrónicos de phishing, especialmente cuando se hacen pasar por marcas conocidas, contienen logotipos corporativos y otras imágenes para dar la sensación de haber sido enviados por organizaciones legítimas.
Su objetivo es engañar o manipular a alguien para que divulgue información confidencial o facilite al atacante acceso a sistemas, redes corporativas, ubicaciones físicas, y también para obtener ganancias financieras.
Las imágenes también se han utilizado durante años como una manera de eludir el análisis del contenido textual de un correo electrónico por parte de las aplicaciones de seguridad que implementan filtros para evitar el spam.
Pero, a medida que las soluciones antimalware se están volviendo más efectivas a la hora de extraer y analizar el contenido de las imágenes, los phishers han comenzado a probar varios trucos para hacer el proceso más difícil y lento para los escáneres de seguridad.
A diferencia de las imágenes incrustadas, que se pueden analizar en tiempo real mediante filtros de correo electrónico, las imágenes remotas se alojan en sitios de terceros y, por lo tanto, es necesario que los escáneres de seguridad pasen por múltiples redirecciones hasta encontrar el sitio anfitrión.
Para dificultar y retrasar la búsqueda, los phishers emplean múltiples redirecciones, técnicas de encubrimiento y alojan las imágenes en sitios perfectamente legítimos y con una sólida reputación, lo que hace que la detección basada en la fiabilidad del dominio sea ineficaz.
El uso de JavaScript también es algo común, por lo que es necesario que los proveedores de seguridad utilicen rastreadores web de última generación que son más costosos y más difíciles de implementar.
También se pueden emplear técnicas de encubrimiento para garantizar que sea la víctima la que obtenga la imagen directamente saltándose el análisis del proveedor de seguridad.
Por lo tanto, es sumamente importante bloquear de forma predeterminada la carga de imágenes alojadas de forma remota en la configuración de nuestro cliente de correo electrónico, a menos que procedan de alguien con quien tengamos algún tipo de relación, o esté en nuestra libreta de direcciones.
Y aun en este caso, siempre hay que tener cuidado antes de darlas por legítimas.
