Sophos News

Los formularios web pueden robar ancho de banda y perjudicar a tu marca

Spam es una palabra que todos conocemos y una actividad que todos aborrecemos. Para los que no estén familiarizados con esta práctica, se trata de enviar millones de correos electrónicos no solicitados sobre productos que no interesan o de empresas en las que nunca confiaremos.

La palabra spam ha originado otras como SPIM, para el spam a través de mensajes instantáneos, o SPIT para el realizado a través de telefonía de internet (llamadas automáticas que ofrecen falsos servicios de soporte, por ejemplo), y SPEWS, para el spam a través de envíos electrónicos web.

Los  SPEWS se producen normalmente de dos formas:

Expertos en ciberseguridad rusos de Dr. Web, nos han recordado recientemente que los cibercriminales utilizan otro método para realizar SPEWS.

Han detectado correos enviados desde direcciones legítimas empresariales, pero que incluyen enlaces fraudulentos.  En vez de decir “Hi, Mr Ducklin”, como podrías esperar en un correo genuino de una empresa conocida, aparece algo similar a “Hi, MONEY FOR YOU! [enlace]”.

De hecho, si se investiga los correos comprobamos que no solo los correos son de una fuente legítima, sino que también el servidor del que salieron corresponde al servidor de esa empresa.

¿Cómo funciona?

Simple, los ciberdelincuentes suscriben a listas de correos oficiales a correos de otras personas, para que reciban el mensaje de bienvenida, pese a que no han participado en el proceso.

Irónicamente, los ciberdelincuentes se aprovechan de un elemento de seguridad que incluyen la mayoría de las listas de correo que a veces incluso es obligatorio por ley: el enviar un correo de confirmación para activar la dirección en la lista.

Esta configuración de seguridad se conoce habitualmente como doble opt-in. No recibirás ningún correo hasta que introduzcas por primera vez tu correo (opt-in #1), después tendrás que confirmar que eres el dueño de ese correo contestando a un mensaje o siguiendo un enlace (opt-in #2).

El doble opt-in se creó como una forma de asegurarse que las personas que se apuntan a una lista de correo realmente tienen acceso a ese correo y así evitar que alguien nos apunte sin nuestro permiso, o simples errores al introducir la dirección del correo.

El problema reside en que muchas organizaciones copian demasiada información del formulario de inscripción en el correo de confirmación, por lo que los ciberdelincuentes pueden en vez de introducir un nombre verdadero, poner “Hi, MONEY FOR YOU! [enlace]”, con lo que consiguen enviar un correo desde una fuente legítima, con un formato oficial, que posiblemente pase los filtros antispam ya que su origen es el correcto, con un enlace fraudulento.

¿Qué hacer?

Cuando se reutilizan datos del exterior, debemos tener cuidado de no copiar ningún dato de vuelta en el cuerpo del correo, o en la página siguiente que se genere.

Si lo hace abres tu servidor web o de correo a ataques de reflexión, en los que se publica el contenido malicioso que yo escoja, como hemos mostrado en este caso.

Nuestros consejos son:

Como a menudo ocurre en ciberseguridad, menos es más.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: