• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Un día cualquiera en la vida de un receptor de spam

Un día cualquiera en la vida de un receptor de spam

25 junio, 2006 Por Hispasec Deja un comentario

Como cualquier otra mañana, una de las primeras cosas que hacemos es
descargar el correo. La descarga del correo corporativo es, cada día
con más fuerza, una actividad de alto riesgo, ya que el grado de
contaminación del mismo es creciente en número y peligrosidad.

Hoy el montante inicial de mensajes en mi buzón asciende a 211. Para
tratar de ponernos en la piel de un usuario estándar, he prescindido del
filtro perimetral y he prescindido de las medidas de seguridad en la
estación del trabajo que no sean estrictamente las que proporciona la
mayoría de clientes de correo, es decir, el antispam local. El objetivo
era ponerse en la piel de los usuarios con configuraciones domésticas y
corporativas estándar.

Evidentemente muchos usuarios y empresas operan con soluciones antispam
que mitigan el problema. De hecho, disponer de filtrado de correo
perimetral y en la estación debería entenderse como una obligación, pero
la realidad es que no siempre se cumplen estas dos condiciones de contorno.

Una vez descargado el correo, toca revisarlo. Revisar tantos mensajes
requiere cierto tiempo, y aunque un repaso de las cabeceras suele bastar
para distinguir el spam de lo que no es correo basura, siempre hay que
echar un ojo a la carpeta de correo no deseado, por si el antispam local
del cliente ha clasificado como basura un correo legítimo. No podemos
correr el riesgo de perder información valiosa, seamos usuarios
domésticos o usuarios corporativos.

La fauna que aparece en la bandeja de entrada es bastante variopinta.
Comenzamos con un buen número (23) de mensajes en los que se hace spam
sobre productos farmacéuticos, y donde se incita a su compra bajo
dudosas condiciones de legitimidad. Este tipo de mensajes, en texto
plano, suelen traspasar los filtros de correo basura basándose en la
adulteración del texto mediante la incrustación de caracteres, lo que
anula la detección por palabras clave. Por ejemplo, «It’s h’e’r’b’a’l
solution what hasn’t side e’ffect, but has 100% g’uaranted results!»,
mensaje que permite la legibilidad pero que sin embargo, pone en jaque
al grueso de soluciones antispam. El gancho empleado habitualmente es
ofrecer productos que requieren receta accesibles con un sólo click, y
sin tener receta claro. Antidepresivos, píldoras diversas y un amplio
recetario, donde destacan los productos potenciadores de la sexualidad,
en sus más diversas variantes.

Otro buen número de mensajes (6) son variantes de las anteriores, pero
en este caso es correo HTML con imágenes incrustadas. El objetivo de
la presentación HTML es ofrecer al receptor una imagen visual de los
productos y provocar su atención. Los filtros locales en este caso no
se atreven a ocultar la imagen incrustada, ya que el nombre «top.jpg»
es frecuente y podría corresponderse a contenidos legítimos. El cliente
de correo advierte que es probable que el correo sea basura, pero a la
luz del usuario final no termina de quedar claro.

Hora de comprarse un reloj. Un total de 11 mensajes nos invitan a
adquirir un prestigioso reloj a un precio inusualmente bajo. Los
mensajes llegan en texto plano combinado con texto HTML, y nuevamente
traspasan el filtro de spam mediante la adulteración de palabras.
Sustituir «watches» por «//atches» puede ser suficiente en muchos casos.
El enlace, ofuscado en código HTML, nos transporta al casi ininteligible
dominio http://6euiu1bht5bfx663qromtooo.cahitaic.com/, donde en un sólo
click podemos ordenar nuestra réplica de reloj favorita: Cartier, Rolex,
Breitling, Bvlgari o cualquier otra marca de prestigio.

Nuestros amigos los spammers también nos sirven en la bandeja de entrada
información sobre mercados volátiles. Un total de 24 mensajes nos
invitan a hacer inversiones meteóricas que pueden reportarnos un
beneficio bursátil interesante. La presentación de los mensajes es
variopinta, texto plano e incrustación de imágenes de algunos «tickers»
que contienen datos reales del mercado de valores. El spam financiero
fue comentado en un boletín anterior, http://www.hispasec.com/unaaldia/2762,
y se basa en la generación de confianza al no venir acompañados de
enlaces ni peticiones de cesión de datos. Se presentan como meros
informes, estudiados y cuidados y cuya información es habitualmente
real. El gancho es precisamente ese: su verosimilitud y el factor
confianza. Basta con que respondamos a uno sólo preguntando sobre
cualquier operación, para que un amable teleoperador nos quiera
vender un servicio de asesoramiento financiero que probablemente
no sea legítimo según la legislación mercantil vigente. Muchas
veces, el dinero invertido caerá en oscuras e intrazables cuentas
numeradas para no volver nunca a nuestro bolsillo.

Llega el turno de las hipotecas, los préstamos y demás servicios
financieros. La gama de servicios que nos ofrecen los spammers es
abrumadora, y digna de cualquier entidad bancaria, no en calidad y
fiabilidad, sino en número. Lo que necesitemos, allí estará esperando
nuestro click. Un ejemplo puede ser http://getredyquote.net/index4.php?refid=41.
Ocho mensajes en total. El gancho es, evidentemente, la presentación
de condiciones muy favorables en este tipo de préstamos. Gracias a
estos servicios obtener una hipoteca de 350.000 euros pagando sólo
300 euros mensuales es posible, y ese es un gancho que muchos no
pueden rechazar.

Llegó el turno del phishing. Hoy sólo he recibido un scam de Paypal,
si bien, como por todos es sabido, el phishing a entidades financieras
es una cuestión diaria. Afortunado de mí, ya que hoy sólo requieren mi
atención para verificar una de mis cuentas de Paypal (que no poseo).

Cómo no, los premios. Seis mensajes me hacen saber que es mi día de suerte.
Y es que usando el correo es muy probable que nos toquen diariamente
ingentes cantidades de dinero, o que recibamos la comunicación de un
alto cargo del Gobierno Nigeriano que quiere compartir unos pocos
millones de dólares con nosotros. Estos bulos, de los más vetustos en
la red, siguen produciendo rendimientos a los atacantes absolutamente
desorbitados, y por tanto, persisten. El gancho es el factor económico.
Sólo en loterías varias he sido agraciado hoy con 950.000 dólares
americanos y 367.000 euros. Es para estar contentos.

Y qué mejor manera de gastar el dinero recibido en premios que comprar
software a precios escandalosamente bajos. 7 mensajes me invitan a unos
ahorros espectaculares en http://tverdiisoft.com/ y sitios similares.
Además con la gran ventaja de poder descargarlo, eso sí, previo pago. El
gancho queda claro, y es el factor oferta. Resistirse a la tentación de
un descuento del 70%, 80% o del 90% es complicado. Me pregunto por qué
no encuentro nunca rebajas del 90% en productos ofertados en los
distribuidores autorizados y legítimos. Será que simplemente, no existen.

El repaso del correo me da la oportunidad también de citarme con
hermosas mujeres, de recibir curiosos ficheros ZIP con contenidos
confidenciales (plagados de malware, obviamente), spam erróneo,
caracterizado por envíos en blanco, y por el spam oriental, el cual es
ininteligible, al menos para un usuario que no domine el japonés, el
chino mandarín y otras lenguas similares. Hasta me dan la posibilidad de
sacarme un título universitario, un máster o un doctorado por un módico
precio, en una Universidad de la que nunca oí hablar. También me ofrecen
un puesto de trabajo en el que sin hacer prácticamente nada puedo
conseguir unos jugosos emolumentos a fin de mes (siendo mula para el
phishing). Y todo esto puedo hacerlo jugando a un Casino online, sin
moverme de mi asiento. 19 mensajes en esta modalidad, entre los que he
echado en falta los correos cadena en sus distintas modalidades.

Por cierto, en mi bandeja de correo también había correo legítimo de
diversos contactos, listas de suscripción y mis compañeros.

Sobre estadísticas, es difícil encontrar consenso. El coste imputable al
spam es astronómico, más de 255 millones de dólares anuales en usuarios
domésticos y más de 8900 millones de dólares sólo en las corporaciones
norteamericanas, las más devastadas por la segmentación aplicada a los
ataques de correo basura. Generalmente hay consenso en que, en el mejor
de los casos, borrar un correo basura requiere 5 segundos de media entre
que es identificado y procesado, lo que convierte al tiempo improductivo
anual por empleado debido al spam un factor digno de considerar.

Se estima que el 28% de los receptores contesta a los mensajes de spam y
que el 8% termina realizando una compra. Por sectores, el ganador es el
spam farmacéutico, con aproximadamente un 52% del total de spam.

A la vista de estos números, es fácil razonar que el spam es rentable,
lo que justifica su presencia diaria en nuestros buzones. Por si esto
fuera poco, diversas fuentes estiman el crecimiento esperado del spam en
torno a un 67% para el próximo 2007.

Malos tiempos para el correo electrónico.

Sergio Hernando
shernando@hispasec.com

Más información:

Definición del spam
http://es.wikipedia.org/wiki/Spam

El spam sigue creciendo inmune a cualquier medida en su contra
http://www.hispasec.com/unaaldia/2763

El spam financiero y su impacto en los mercados de valores
http://www.hispasec.com/unaaldia/2762

Spam, spam, spam …
http://blog.hispasec.com/laboratorio/126

Spam: Basura en el correo
http://www.20minutos.es/noticia/8241/0/correo/basura/spam/

Evaluación de alternativas para reducir el spam
http://www.rediris.es/mail/abuso/doc/MedidasAntiSPam.pdf

Hoaxes, cadenas, spam y otros correos indeseados
http://www.rompecadenas.com.ar/

Algunas estadísticas sobre spam (enero de 2006)
http://www.commtouch.com/Site/News_Events/pr_content.asp?news_id=602&cat_id=1

Calculadora de costes corporativos debidos al spam
http://www.commtouch.com/site/ResearchLab/calculator.asp

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR