Spam es una palabra que todos conocemos y una actividad que todos aborrecemos. Para los que no estén familiarizados con esta práctica, se trata de enviar millones de correos electrónicos no solicitados sobre productos que no interesan o de empresas en las que nunca confiaremos.
La palabra spam ha originado otras como SPIM, para el spam a través de mensajes instantáneos, o SPIT para el realizado a través de telefonía de internet (llamadas automáticas que ofrecen falsos servicios de soporte, por ejemplo), y SPEWS, para el spam a través de envíos electrónicos web.
Los SPEWS se producen normalmente de dos formas:
- Utilizando herramientas HTTP de envío masivo para rellenar formularios de comentarios en foros y webs. La idea es saltarse los filtros de spam o moderadores para colar un anuncio gratis, material promocional y falsos comentarios en lugares visibles, por lo menos hasta que los detecten y eliminen
- Usando los formularios de contacto o informes para enviar mensajes de phishing a organizaciones. La idea es engañar al sistema de procesamiento para generar un correo interno con contenido que viene desde el exterior, de esta manera se saltan parte o todos los filtros que un email externo debería pasar.
Expertos en ciberseguridad rusos de Dr. Web, nos han recordado recientemente que los cibercriminales utilizan otro método para realizar SPEWS.
Han detectado correos enviados desde direcciones legítimas empresariales, pero que incluyen enlaces fraudulentos. En vez de decir “Hi, Mr Ducklin”, como podrías esperar en un correo genuino de una empresa conocida, aparece algo similar a “Hi, MONEY FOR YOU! [enlace]”.
De hecho, si se investiga los correos comprobamos que no solo los correos son de una fuente legítima, sino que también el servidor del que salieron corresponde al servidor de esa empresa.
¿Cómo funciona?
Simple, los ciberdelincuentes suscriben a listas de correos oficiales a correos de otras personas, para que reciban el mensaje de bienvenida, pese a que no han participado en el proceso.
Irónicamente, los ciberdelincuentes se aprovechan de un elemento de seguridad que incluyen la mayoría de las listas de correo que a veces incluso es obligatorio por ley: el enviar un correo de confirmación para activar la dirección en la lista.
Esta configuración de seguridad se conoce habitualmente como doble opt-in. No recibirás ningún correo hasta que introduzcas por primera vez tu correo (opt-in #1), después tendrás que confirmar que eres el dueño de ese correo contestando a un mensaje o siguiendo un enlace (opt-in #2).
El doble opt-in se creó como una forma de asegurarse que las personas que se apuntan a una lista de correo realmente tienen acceso a ese correo y así evitar que alguien nos apunte sin nuestro permiso, o simples errores al introducir la dirección del correo.
El problema reside en que muchas organizaciones copian demasiada información del formulario de inscripción en el correo de confirmación, por lo que los ciberdelincuentes pueden en vez de introducir un nombre verdadero, poner “Hi, MONEY FOR YOU! [enlace]”, con lo que consiguen enviar un correo desde una fuente legítima, con un formato oficial, que posiblemente pase los filtros antispam ya que su origen es el correcto, con un enlace fraudulento.
¿Qué hacer?
Cuando se reutilizan datos del exterior, debemos tener cuidado de no copiar ningún dato de vuelta en el cuerpo del correo, o en la página siguiente que se genere.
Si lo hace abres tu servidor web o de correo a ataques de reflexión, en los que se publica el contenido malicioso que yo escoja, como hemos mostrado en este caso.
Nuestros consejos son:
- Valida los datos. Si vienen de fuera, no puedes confiar en ellos, por lo que tendrás que comprobarlos. Incluso si vienen de dentro, compruébalos de todas maneras para poder filtrar los que no sean apropiados, irrelevantes o no deseados.
- Haz los mensajes de confirmación simples. No son una oportunidad de marketing, por definición son exactamente lo contrario. Cuanto más simple sean, menos oportunidades habrá de que alguien abuse de ellos.
- No reutilices nada del formulario de inscripción salvo la propia dirección de correo. Supón que un ciberdelincuente está utilizando ese formulario, no hay necesidad de que le des una oportunidad de que abusen de tus sistemas.
- Pasa estos correos autogenerados a través del filtro antispam si es posible.
Como a menudo ocurre en ciberseguridad, menos es más.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Jose Sosa
Definitivamente es muy importante que todos los formularios de registro incluyan, confirmación por parte del e-mail del suscriptor, e inclusive cuando se cambie el correo desde dentro de una aplicación ya registrada. Pues pueden registrarse con un correo que no es el tuyo y validarlo correctamente, y luego al ingresar cambiarlo, pues muchas aplicaciones ya no validan los cambios de e-mail.
Por lo visto hay que filtrar siempre todo texto que se ingrese desde formularios públicos, ya sea que pueda tener código para ataques de SQL-injection o BadLink-injection como les llamaría en este caso. Para evitar que se agreguen links (html, base64, etc) en cualquier campo del formulario. Y no solo validarlo desde el cliente (javascript), también y principalmente desde el server, al momento de guardar en la base de datos.