Español | English
rss facebook linkedin Twitter

SPAMBOTS

En este artículo, vamos a tratar el uso de la Inteligencia Artificial (IA) en el mundo de la seguridad informática. Ya comenzamos la saga con los chatbots, continuando con los pokerbots y con la acentuación de la crisis en los días actuales, ha habido una serie de bots que cada vez van a ir tomando más protagonismo como es el caso de los spambots como medio de transmision de informacion basura o spam.

Un Spambot es un programa o software encargado de la generación de correos basura o spam que, posteriormente, serán enviados a través de correos, chats...a una lista masiva de clientes de dichos servicios. La motivación principal de los spammers para el envío de dicho correo basura se centra en los siguientes puntos:
  • Envío de publicidad para la venta de sustancias de dudosa reputación.
  • Realización de un ataque phising para obtener contraseñas de cuentas bancarias, contraseñas de correos...
  • Envío de cadenas de mail para reivindicar algún tema político-social...
El funcionamiento de los robots generadores de spam se centran en tres fases principalmente:
  • Obtención de listas de mail: Una lista de mail se puede crear a traves de la generación automática de direcciones de correo electrónico o buscando éstas en páginas web. Lo podemos hacer mediante la creación de un programa capaz de identificar direcciones de correo en las páginas y con la capacidad de encontrar enlaces a otras páginas como medio de propagación para la recolección de dichas direcciones.
  • Generación del spam: La creación del mensaje podemos realizarla en base a un patrón de mensaje, a la creación personalizada de mensajes, basado en imágenes... Todas estas técnicas las trataremos un poco más detalladamente en la fase de evolución.
  • Distribución del spam: Esta fase es la centrada en el envío de los mensajes a los destinatarios de la lista desde un ordenador o una red de ordenadores (botnet).
La evolución de los robots generadores de spam esta muy ligado a la evolución del spam. En los comienzos de este ataque, el spam se enviaba de forma directa, es decir, se generaba una lista de direcciones e-mail y se comenzaba desde un mismo ordenador a enviar e-mails a un gran número de direcciones de correo. Pronto, los spammers evolucionaron hacia la creación de mensajes más personalizados para captar la antención de las víctimas, como, por ejemplo, introduciendo dentro del saludo la dirección de correo destino. Esto se combatió mediante el uso filtros basados en técnicas Fuzzy, es decir, en técnicas basadas en condiciones mediante las llamadas reglas de Zadeh. Esto permitía que un mensaje de e-mail quedará bloqueado (bandeja de correo no deseado) si el contenido del mensaje no pasaba unas ciertas reglas.

Con el boom de Internet en los años 90, el spam también evolucionó junto con la tecnología. Con el nacimiento del ADSL, los spammers podían llevar su ataque de una forma más rápida, es decir, podían enviar más mensajes en menos tiempo. Actualmente, los spammers se centran en el uso de Botnets con el fin de enviar, desde numerosos ordenadores, un número astronómico de mensajes basura. Las botnets están formadas por un conjunto de ordenadores zombies (infectados mediante algún tipo de malware y controlados por un Bot Master) con el fin de realizar alguna acción, en nuestro caso el envío de correo basura, aunque existen otros ataques como DDoS.

Con el fin de sobrepasar los filtros de correo no deseado, los spammers optaron por el envío del mensaje modificado de tal forma que sea legible para una persona humana, pero no para una máquina. Es decir, imaginemos que queremos mandar el mensaje: “NUMERO”, pudiéndolo modificar de la siguiente forma: “NUM3R0”. De esta forma el detector de spam dejaba pasar este mensaje. Otra modificación posible es la utilización de juegos de letras y colores en el mensaje, de tal forma que quede legible para el ser humano.

En la actualidad, los spammers han aumentado su mercado mediante el envío de mensajes vía blogs, redes sociales... Ante esto, cada vez más, aparecen captchas para la aprobación de un mensaje dentro del blog. Esta técnica, en un principio, se combatió mediante el uso de IA, más concretamente, mediante el uso de los llamados OCR (sistemas diseñados para identificar texto escrito de una imagen). Es por esto que hoy en día los captchas están formados por texto dentro de una imagen retocada o mediante el uso de “juegos de lógica simple” con el fin de que un ordenador no lo reconozca automáticamente (Touring test).

Tampoco debemos olvidar que hoy en día, y cada vez con más frecuencia, podemos ver mensajes de spam en nuestro móvil (vía SMS, MMS...) de spammers mediante el mensaje: “Tengo una foto tuya, si la quieres manda SMS al numero XXXX”. La obtención del número de estos dispositivos puede realizarse no solo desde formularios web sino también, generarlo aleatoriamente.

Algunas formas de detección de los robots generadores de spam son:
  • Mediante el uso de direcciones e-mail: Esta técnica se basa en la creación de e-mails falsos o e-mails dedicados exclusivamente a la recepción de spam, con el fin de estudiar la procedencia de los mismos y crear filtros contra estas direcciones.
  • Detección mediante Logs de la página: Esta técnica se basa en ver quién ha entrado en la página web y con qué frecuencia han realizado clicks (normalmente los robots realizan un alto numero de cliks en un tiempo relativamente corto). Por otro lado, también se suele mirar los clicks en imágenes pequeñas en las que un usuario humano clickaría con el fin de verlas o mediante el orden de clicks de los links siguiendo el orden del contenido (los robots no lo hacen de esta forma).
Hoy en día, ya que los spambots forman parte de redes de ordenadores zombie o botnets, los expertos se centran también en la identificación de este tipo de malware, muy de moda en los tiempos que corren. Para la detección de una botnet, los expertos usan honeynets, es decir, redes señuelo para la detección de ataques o la investigación de los mismas con el fin de obtener patrones de comportamiento basados en flujos de tráfico, logs...

Para finalizar, mencionar que en los comienzos de este año, según lo informado por McAfee y Symantec , el spam se ha visto reducido notablemente con la eliminación de dos hostings de grandes redes de spambots/botnet como es el caso de McColo y Bobax/Kraken respectivamente. Con la eliminación de estas amenazas, el impacto en internet ha sido una reducción notoria del spam que llega a nuestros correos. Pero a lo largo de 2009 y con el impacto económico de la crisis mundial, las grandes empresas de antivirus no dudan que los spammers buscarán nuevos servidores de hosting donde implantar las botnets. Del mismo modo, los usuarios de ordenadores están cayendo cada vez más en ataques phising o infección de otro tipo de malware por medio de páginas de ganar dinero fácil, préstamos bancarios... Es por esto por lo que la gente se tiene que mentalizar en que nadie regala dinero, y que antes de dar información privilegiada conviene estar seguro de que estos datos llegan a buenas manos.

Aitor Corchero Rodríguez
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login