Desde hace algunos años poseo una cuenta en gmail, principalmente debido
a que me permitían tener un nombre mucho mas profesional al de hotmail,
tenia mas capacidad de almacenamiento y no recibía prácticamente ningún
correo spam.
Desde hace algunas semanas estoy empezando a
recibir algunos correos un tanto sospechosos:
Al principio no lo
tome demasiado en cuenta pero debido a varios casos que he vuelto a
detectar, empecé a cuestionar me una serie de preguntas :
¿de
donde han obtenido mi dirección?
¿cómo he llegado yo a esta lista?
¿por
que me envían SPAM?
Inicialmente, se enviaban correos
utilizando direcciones IP de origen conocidas o enviaban los correos a
servidores de correo de internet.
La primera solución que se decidió
tomar fue asignar las direcciones IP de las cuales provenían estos
correos a las famosas DNS BLACKLIST (Listas Negras), las cuales siguen
siendo utilizadas por firewalls, antispam y antivirus.
Estas
listas se alimentan mediante robots encargados de buscar sistemas Open
Relay’s Http://en.wikipedia.org/wiki/Open_mail_relay(Esta
técnica aun no está optimizada del todo ya que, una vez detectado , se
deberá intentar contactar con el administrador del servidor de correo
afectado y en el caso de que no muestren cambios en la configuración, el
servidor sera incluido en la lista).
Los sistemas de correos
abiertos, han sido durante
muchos años unos de los métodos preferidos por los spammers para el
envío de correo masivo, una vez que se detecta un servidor con estas
características, los responsables del servidor relay son afectados por
un consumo de recursos y ancho de banda elevado y, por la parte
contraria, la de sus clientes, reciben una cantidad ingente de correo
basura o “spam”
En los últimos años, el uso de esta técnica se ha
visto reducida, debido posiblemente a los problemas que podrían
acarrear, por ejemplo, el no atender bien a estas listas antes
descritas.
Telefónica, 2004.
Http://www.hostinglmi.es/bitacoras/index.php/archives/2004/05/12/telefonica-en-blacklist/
Algunas
de estas técnicas son conocidas como:
E-Mail Address
Harvesting
Proceso de obtención de listas de correo de formas tan
dispares como las siguientes:
*Compra
de listas a otros spammers*Búsquedas de direcciones a través de búsquedas
realizadas en páginas web (USENET)*Uso de Aplicaciones software (Spam bots, harvesters)
Directory
Harvest Attack
Consiste en ataques de diccionario sobre los
servidores de correo, donde aquellas direcciones de correo que sean
válidas en dominios, son obtenidas por fuerza bruta, mediante el uso de
nombres comunes en direcciones de correo y a través de la respuesta dada
por el servidor.
Ejemplo: intentar mediante scripts,
encontrar correos como: [email protected], [email protected], etc…
Los
spammers para conocer si estos
correos son válidos o no, saben que los servidores de correo
usan una utilidad para diferenciar a los usuarios legítimos: el comando VRFY, por el que un servidor de
correo chequea el usuario
antes de enviarle un correo,
y el comando EXPN, por el cual podríamos obtener
una lista con todos los usuarios en el servidor.
Ejemplo:
$ telnet
localhost 25 Trying 127.0.0.1
… Connected to localhost.
Escape character is ‘^]’. 220
localhost sendmail —- ready at Fri, 12 Feb 2010 09:13:12 -0800 debug 500 Command unrecognized vrfy jose 250 Pepito el
de los palotes
expn all 250-Juan Cisneros
250-Pepito el de los palotes
250-Alfredo Perez Rubalcaba [/code]
actualidad, han sido deshabilitadas.
Otras de las técnicas de los spammers de
burlar la seguridad es usando formatos de archivos desconocidos, son
las siguientes (detectadas por Symantec):
-eFax: Tipo de
archivo asociado al popular servicio del mismo nombre, y funciona
asociando al correo electrónico un número de Fax real como si de un
aparato se tratase, esto con el fin de facilitar el envió y recepción de
faxes entre personas, recibiendo estos en la bandeja de entrada en
forma de adjuntos.
-MHT: Un formato de archivo web creado
originalmente por Microsoft para intercambiar contenido por la internet,
cuya función es guardar páginas web que emulan un email HTML. Actualmente dicho tipo de
fichero es soportado por varios navegadores entre los que es popular el
de Opera.
Solo cabe por destacar los correos mas típicos
recibidos como SPAM
1.Ofertas de trabajo en casa o aquellas que
te ofrecen un empleo fácil y beneficios muy jugosos a cambio de nada o
casi nada.
2.Relojes Rolex, Mido o de marcas reconocidas, eso si,
casi siempre con su correspondiente descuento.
3.Cadenas de apoyo
solidario, FW y demás del tipo de reenvío.
4.Mails con asuntos
bancarios (nuevas tarjetas, comprobación de solicitudes inexistentes,
promociones).
5.Ofertas de negocios, publicidad empresarial y todo lo
que tenga que ver con “apoyo” a negocios y microemprendimientos.
6.Usando
los eventos deportivos del momento, dígase juegos olímpicos o copas
mundiales de fútbol.
7.Informando la muerte de algún personaje famoso
o un incidente insólito acerca de alguno, mentiras por supuesto.
8.Escudándose
en instituciones gubernamentales o privadas con cierta reputación.
9.Publicidad
de productos en general.
10.Viagra, el asunto favorito de estos
trash mails, por temporadas sube.
Propongo ahora algunas de
las técnicas para ocultar direcciones de correos.
Mediante el
empleo de técnicas conocidas como "Address Munging", se intenta ocultar
la dirección de correo en las páginas WEB o post en listas de correo.
Por ejemplo, la cuenta de
correo [email protected],
puede ser escrita utilizando esta técnica como "pepe at example dot
domain", "pepe-at-example-dot-domain", "pepe AT example DOT domain" ...
Lamentablemente
casi todo el mundo utiliza las mismas técnicas de ocultación, con lo
que los programas cosechadores de direcciones de correo ya conocen el
léxico empleado en la mayoría de ocasiones. Solo hace falta hacer una
búsqueda del tipo +"-AT-" +"-DOT-com" y en google aparecen más de
36.000.000 de resultados con direcciones de correo ocultas con este tipo
de mecanismos. La mejor forma de ocultar nuestra dirección de correo de
los famosos Harvesting Bots, es incluir una imagen con nuestra
dirección de correo. Aunque esto no nos libra de los ojos de los
spammers.
(imagen
sacada de intenet).
Si se me permite la sugerencia, a modo
personal, propongo evitar todo tipo de correo que pida directamente el
reenvio a "todos tus contactos"....(el 99,9% es SPAM...)
como ya
sabreis este no es el único método de extraer informacion personal:
-
Envio de sms con el fin de extraer informacion
http://blog.s21sec.com/2010/02/smishing.html
-Usos
fraudulentos de las redes sociales
http://blog.s21sec.com/2010/01/10-usos-fraudulentos-de-twitter.html
Autor: Raúl
Pérez Rojo.
Fuente: S21sec
Original post:
Aprendiendo del enemigo. Spammers |