La investigación forense de correos electrónicos se refiere a estudiar en profundidad la fuente y el contenido que residen en los correos electrónicos. El estudio implica la identificación del remitente y el destinatario reales de los correos electrónicos en cuestión, la marca de tiempo de la transmisión del correo electrónico, la intención del correo electrónico y el registro de la transacción completa del correo electrónico. La investigación de correos electrónicos resulta útil en incidentes tales como abuso de correo electrónico, phishing de correo electrónico, estafas de correo electrónico y otros casos en los que se difama el uso del correo electrónico. Partes de la investigación del correo electrónico incluyen búsqueda de palabras clave, investigación de metadatos, escaneo de puertos, etc.
Técnicas para la investigación de correos electrónicos
Las diversas técnicas que se implementan para realizar una investigación de correo electrónico eficaz y sin problemas se detallan a continuación:
1) Análisis de encabezado de correo electrónico
Análisis de encabezado se realiza con el fin de extraer la información relativa al remitente del correo y también la ruta a través de la cual se ha transmitido el correo electrónico. Por lo general, los metadatos de los correos electrónicos se almacenan en los encabezados. A veces, estos encabezados pueden manipularse para ocultar la verdadera identidad del remitente.
2) Tácticas de cebo
Es el proceso para rastrear la dirección IP del remitente de un correo en particular bajo investigación. En esta técnica, un correo que contiene una etiqueta http: “$ lt; img src>” se envía a la dirección de correo desde la que se recibió el correo. El destinatario en este caso es el culpable. Cuando se abre el correo, el servidor de correo que aloja la imagen captura un registro que contiene la dirección IP del destinatario y se realiza un seguimiento del destinatario. En caso de que el destinatario esté utilizando un servidor proxy, se registra la dirección del servidor proxy.
3) Extracción del servidor
La investigación del servidor es útil cuando los correos electrónicos que residen en los extremos del remitente y el receptor se han purgado de forma permanente. Dado que los servidores mantienen un registro de los correos electrónicos enviados y recibidos, la investigación del registro generará todos los correos electrónicos eliminados. Además, los registros pueden dar la información de la fuente desde la que se han generado los correos electrónicos. La investigación del servidor no significa que se puedan extraer todos los correos electrónicos depurados. Esto se debe a que después de un cierto período de retención, los correos electrónicos se eliminan permanentemente de un servidor.
4) Investigación de fuentes de red
Se opta por esta investigación, cuando los logs del servidor no generan la información requerida. Además, si los proveedores de servicios de Internet no dan acceso al servidor, se opta por la investigación de las fuentes de la red. Los registros generados por concentradores de red, enrutadores, cortafuegos, etc. brindan información sobre el origen del mensaje de correo electrónico.
Herramientas populares implementadas para la investigación de correo electrónico
Hay una serie de herramientas de investigación de correo electrónico disponibles que ayudan en el proceso de investigación completo. Estas herramientas generan informes automatizados de la investigación, identifica el origen y el destino de los correos electrónicos y mucho más. Algunas de las herramientas que forman parte de este dominio son:
1) Estuche
Encerrar permite a los investigadores tomar imágenes de la unidad y conservarla en el formato E01, que puede investigarse forense y también puede presentarse en el tribunal como prueba.
2) FTK
Kit de herramientas forenses es una herramienta de investigación integral conocida por la investigación forense de correos electrónicos a través del descifrado en correos electrónicos.
3) Examinador de correo
MailXaminer es una herramienta avanzada de investigación de correo electrónico que admite más de 20 formatos de correo electrónico y alrededor de 750 formatos MIME. La herramienta está equipada con excelentes características como:
- Búsqueda avanzada de palabras clave
- Análisis de enlaces de correos electrónicos
- Análisis del tono de piel
- Análisis de Live Exchange Mailbox y muchos más.
La herramienta extrae evidencia de la manera más eficaz y genera un informe de evidencia completo.
Conclusión
Las técnicas y herramientas adecuadas, si se utilizan en la investigación forense de correos electrónicos, extraen evidencia potencial en un período de tiempo muy corto. Por lo tanto, para realizar una investigación avanzada de correo electrónico, es necesaria la implementación de la herramienta adecuada.
Vicky
Publicación informativa, supongo que desconozco un poco este tema y debo decir que he aprendido una gran información de esta publicación.
Gracias por compartir.
Niraj
Excelente articulo. Siempre es bueno aprender más sobre cómo lidiar con los delitos relacionados con el correo electrónico.
¡Gracias!
Niraj
Mansoorvalli
Esto es muy informativo. Gracias por compartir.