Español | English
rss facebook linkedin Twitter

Aprendiendo del enemigo. Spammers

Desde hace algunos años poseo una cuenta en gmail, principalmente debido a que me permitían tener un nombre mucho mas profesional al de hotmail, tenia mas capacidad de almacenamiento y no recibía prácticamente ningún correo spam.

Desde hace algunas semanas estoy empezando a recibir algunos correos un tanto sospechosos:






Al principio no lo tome demasiado en cuenta pero debido a varios casos que he vuelto a detectar, empecé a cuestionar me una serie de preguntas :

¿de donde han obtenido mi dirección?
¿cómo he llegado yo a esta lista?
¿por que me envían SPAM?


Inicialmente, se enviaban correos utilizando direcciones IP de origen conocidas o enviaban los correos a servidores de correo de internet.
La primera solución que se decidió tomar fue asignar las direcciones IP de las cuales provenían estos correos a las famosas DNS BLACKLIST (Listas Negras), las cuales siguen siendo utilizadas por firewalls, antispam y antivirus.


Estas listas se alimentan mediante robots encargados de buscar sistemas Open Relay's Http://en.wikipedia.org/wiki/Open_mail_relay(Esta técnica aun no está optimizada del todo ya que, una vez detectado , se deberá intentar contactar con el administrador del servidor de correo afectado y en el caso de que no muestren cambios en la configuración, el servidor sera incluido en la lista).

Los sistemas de correos abiertos, han sido durante muchos años unos de los métodos preferidos por los spammers para el envío de correo masivo, una vez que se detecta un servidor con estas características, los responsables del servidor relay son afectados por un consumo de recursos y ancho de banda elevado y, por la parte contraria, la de sus clientes, reciben una cantidad ingente de correo basura o “spam”

En los últimos años, el uso de esta técnica se ha visto reducida, debido posiblemente a los problemas que podrían acarrear, por ejemplo, el no atender bien a estas listas antes descritas.

Telefónica, 2004.
Http://www.hostinglmi.es/bitacoras/index.php/archives/2004/05/12/telefonica-en-blacklist/


Algunas de estas técnicas son conocidas como:

E-Mail Address Harvesting

Proceso de obtención de listas de correo de formas tan dispares como las siguientes:
*Compra de listas a otros spammers
*Búsquedas de direcciones a través de búsquedas realizadas en páginas web (USENET)
*Uso de Aplicaciones software (Spam bots, harvesters)


Directory Harvest Attack
Consiste en ataques de diccionario sobre los servidores de correo, donde aquellas direcciones de correo que sean válidas en dominios, son obtenidas por fuerza bruta, mediante el uso de nombres comunes en direcciones de correo y a través de la respuesta dada por el servidor.

Ejemplo: intentar mediante scripts, encontrar correos como: pepe@eldominio.com, paco@eldominio.com, etc...

Los spammers para conocer si estos correos son válidos o no, saben que los servidores de correo usan una utilidad para diferenciar a los usuarios legítimos: el comando VRFY, por el que un servidor de correo chequea el usuario antes de enviarle un correo, y el comando EXPN, por el cual podríamos obtener una lista con todos los usuarios en el servidor.

Ejemplo:

$ telnet localhost 25 Trying 127.0.0.1 ... Connected to localhost. Escape character is '^]'. 220 localhost sendmail ---- ready at Fri, 12 Feb 2010 09:13:12 -0800 debug 500 Command unrecognized vrfy jose 250 Pepito el de los palotes expn all 250-Juan Cisneros 250-Pepito el de los palotes 250-Alfredo Perez Rubalcaba [/code]

Eso si en la actualidad, han sido deshabilitadas.

Otras de las técnicas de los spammers de burlar la seguridad es usando formatos de archivos desconocidos, son las siguientes (detectadas por Symantec):

-eFax: Tipo de archivo asociado al popular servicio del mismo nombre, y funciona asociando al correo electrónico un número de Fax real como si de un aparato se tratase, esto con el fin de facilitar el envió y recepción de faxes entre personas, recibiendo estos en la bandeja de entrada en forma de adjuntos.

-MHT: Un formato de archivo web creado originalmente por Microsoft para intercambiar contenido por la internet, cuya función es guardar páginas web que emulan un email HTML. Actualmente dicho tipo de fichero es soportado por varios navegadores entre los que es popular el de Opera.

Solo cabe por destacar los correos mas típicos recibidos como SPAM

1.Ofertas de trabajo en casa o aquellas que te ofrecen un empleo fácil y beneficios muy jugosos a cambio de nada o casi nada.
2.Relojes Rolex, Mido o de marcas reconocidas, eso si, casi siempre con su correspondiente descuento.
3.Cadenas de apoyo solidario, FW y demás del tipo de reenvío.
4.Mails con asuntos bancarios (nuevas tarjetas, comprobación de solicitudes inexistentes, promociones).
5.Ofertas de negocios, publicidad empresarial y todo lo que tenga que ver con “apoyo” a negocios y microemprendimientos.
6.Usando los eventos deportivos del momento, dígase juegos olímpicos o copas mundiales de fútbol.
7.Informando la muerte de algún personaje famoso o un incidente insólito acerca de alguno, mentiras por supuesto.
8.Escudándose en instituciones gubernamentales o privadas con cierta reputación.
9.Publicidad de productos en general.
10.Viagra, el asunto favorito de estos trash mails, por temporadas sube.


Propongo ahora algunas de las técnicas para ocultar direcciones de correos.

Mediante el empleo de técnicas conocidas como "Address Munging", se intenta ocultar la dirección de correo en las páginas WEB o post en listas de correo. Por ejemplo, la cuenta de correo pepe@example.domain, puede ser escrita utilizando esta técnica como "pepe at example dot domain", "pepe-at-example-dot-domain", "pepe AT example DOT domain" ...
Lamentablemente casi todo el mundo utiliza las mismas técnicas de ocultación, con lo que los programas cosechadores de direcciones de correo ya conocen el léxico empleado en la mayoría de ocasiones. Solo hace falta hacer una búsqueda del tipo +"-AT-" +"-DOT-com" y en google aparecen más de 36.000.000 de resultados con direcciones de correo ocultas con este tipo de mecanismos. La mejor forma de ocultar nuestra dirección de correo de los famosos Harvesting Bots, es incluir una imagen con nuestra dirección de correo. Aunque esto no nos libra de los ojos de los spammers.
(imagen sacada de intenet).

Si se me permite la sugerencia, a modo personal, propongo evitar todo tipo de correo que pida directamente el reenvio a "todos tus contactos"....(el 99,9% es SPAM...)

como ya sabreis este no es el único método de extraer informacion personal:

- Envio de sms con el fin de extraer informacion
http://blog.s21sec.com/2010/02/smishing.html
-Usos fraudulentos de las redes sociales
http://blog.s21sec.com/2010/01/10-usos-fraudulentos-de-twitter.html

Raúl Pérez Rojo. S21sec.

1 comentario:

Anónimo dijo...

Muy buen post, sigue expandiendote por la blogesfera, de aqui al NY Times... ;)


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login