SpamLoco

  • Noticias
  • Seguridad
  • Arduino
  • Videos
  • Foro

Enlaces cortos dobles para camuflar el spam

Hoy me encontré con un enlace spam que simulaba ser una foto de Facebook (http://bit.ly/facebook_photo_*****.jpg), lo interesante del caso es la cantidad de personas que le hicieron clic y la técnica de camuflaje utilizada. Se estuvo propagando principalmente por e-mail, mensajería instantánea y Facebook, estos son los números:

clics-spam-campaña

El enlace recibió casi 40 mil clics, el destino era un archivo .EXE que se descargaba desde Rapidshare, al momento de escribir este post el archivo ya fue eliminado:

descarga-spam
Camuflaje:

El uso de acortadores para ocultar enlaces es una práctica habitual de los spammers, pero en este caso utilizaron dos servicios, como se puede ver en la siguiente captura, el destino real del enlace spam es otro enlace corto:

enlace-corto-doble
Este segundo enlace es el que redirecciona hacia la descarga maliciosa, para el usuario es lo mismo ya que ocurre de forma instantánea.

La mayoría de los filtros antispam tienen la capacidad de leer el destino real de los enlaces cortos, al menos de los servicios más conocidos (bit.ly, tinyurl.com, goo.gl, etc) pero cuando se usan dos enlaces cortos como en este caso algunos pierden efectividad.

El siguiente es un ejemplo de lo que sucede con el complemento WOT. En la captura se pueden ver 3 enlaces cortos que apuntan a un sitio con baja reputación:

test-wot
Los dos primeros enlaces se marcan como peligrosos, esto es correcto pues el destino de ambos es un sitio no confiable. Sin embargo el tercer enlace cuyo destino final es el mismo que los anteriores, se marca como seguro (circulo verde).

– Tinyurl + sitio spam = detectado
– Bit.ly + sitio spam = detectado
– Bit.ly + Tinyurl + sitio spam = no detectado

Esto sucede porque WOT sigue el primer enlace pero no el segundo, lo que está considerando como seguro es el dominio tinyurl.com. Fallas de detección parecidas ocurren con otros filtros y complementos, el problema es aún mayor dada la cantidad de servicios que existen para acortar enlaces y la facilidad con la que se pueden crear.


1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (¿Te ha servido el artículo?)
Comparte en FacebookComparte en Twitter
Publicado por Alejandro Eguía el 25 mayo, 2011
Actualizado el 16 febrero, 2019 Archivado en: Seguridad


Comentar con Facebook


  1. Anónimo

    Hoy una de las principales web que bombardean con spam utitlizando el correo de Tutopia , no sabemos porque lo permiten , porque se les aviso muchas veces .
    Es " trabajo por horas o Trabaje desde su casa "
    vienen con el mail : contact@vacancy-wug.com
    y su dueña o empresaria dice ser : Rosita Cavazos agente de relaciones , se calcula que envian miles por dia y en un solo correo pueden llegar hasta 10 veces por dia .
    y este spamer trabaja en conjunto con la web :
    http://dietinhcg.com/
    http://elargesweet.com/
    que envia mas de un millon de correos y llega al correo tutopia unas 20 veces al dia a cada usuario saturando todas las cuentas .
    Nosotros nos tomamos el trabajo de seguirlo e identificarlos pero la empresa Tutopia aun no se entera….
    que raro no..?
    Gracias .

    Responder
  2. jProgr

    Yo uso los enlaces cortos dobles para Rickrollear :P

    Responder
  3. Anónimo

    Impresionante, 40 mil clics en un día :)

    Responder
  4. Gvaij

    Para saber hacia donde van los enlaces cortos uso View Thru, no se si sea efectivo para este caso, pero puede tener utilidad

    Responder

Deja un comentario Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Buscador

Suscripción al blog

Feed

Recibe los nuevos artículos del blog en tu correo suscribiéndote gratis:

Redes Sociales

facebook twitter spamloco-youtube google-plus-spamloco

Sobre SpamLoco

Este es un blog dedicado al mundo de la tecnología, internet y la seguridad informática. No te confundas con el nombre, sólo es un juego de palabras, no tiene nada que ver como el ''spam'' sino todo lo contrario.

Si necesitas ayuda puedes pasar por el Foro o contactarme.

Subir

Copyright © 2006 - 2018 SpamLoco.net | Términos del sitio | Cambiar opciones de privacidad | RSS | Contacto