Hoy me encontré con un enlace spam que simulaba ser una foto de Facebook (http://bit.ly/facebook_photo_*****.jpg), lo interesante del caso es la cantidad de personas que le hicieron clic y la técnica de camuflaje utilizada. Se estuvo propagando principalmente por e-mail, mensajería instantánea y Facebook, estos son los números:
Camuflaje:
El uso de acortadores para ocultar enlaces es una práctica habitual de los spammers, pero en este caso utilizaron dos servicios, como se puede ver en la siguiente captura, el destino real del enlace spam es otro enlace corto:
Este segundo enlace es el que redirecciona hacia la descarga maliciosa, para el usuario es lo mismo ya que ocurre de forma instantánea.
La mayoría de los filtros antispam tienen la capacidad de leer el destino real de los enlaces cortos, al menos de los servicios más conocidos (bit.ly, tinyurl.com, goo.gl, etc) pero cuando se usan dos enlaces cortos como en este caso algunos pierden efectividad.
El siguiente es un ejemplo de lo que sucede con el complemento WOT. En la captura se pueden ver 3 enlaces cortos que apuntan a un sitio con baja reputación:
Los dos primeros enlaces se marcan como peligrosos, esto es correcto pues el destino de ambos es un sitio no confiable. Sin embargo el tercer enlace cuyo destino final es el mismo que los anteriores, se marca como seguro (circulo verde).
– Tinyurl + sitio spam = detectado
– Bit.ly + sitio spam = detectado
– Bit.ly + Tinyurl + sitio spam = no detectado
Esto sucede porque WOT sigue el primer enlace pero no el segundo, lo que está considerando como seguro es el dominio tinyurl.com. Fallas de detección parecidas ocurren con otros filtros y complementos, el problema es aún mayor dada la cantidad de servicios que existen para acortar enlaces y la facilidad con la que se pueden crear.
Hoy una de las principales web que bombardean con spam utitlizando el correo de Tutopia , no sabemos porque lo permiten , porque se les aviso muchas veces .
Es " trabajo por horas o Trabaje desde su casa "
vienen con el mail : contact@vacancy-wug.com
y su dueña o empresaria dice ser : Rosita Cavazos agente de relaciones , se calcula que envian miles por dia y en un solo correo pueden llegar hasta 10 veces por dia .
y este spamer trabaja en conjunto con la web :
http://dietinhcg.com/
http://elargesweet.com/
que envia mas de un millon de correos y llega al correo tutopia unas 20 veces al dia a cada usuario saturando todas las cuentas .
Nosotros nos tomamos el trabajo de seguirlo e identificarlos pero la empresa Tutopia aun no se entera….
que raro no..?
Gracias .
Yo uso los enlaces cortos dobles para Rickrollear :P
Impresionante, 40 mil clics en un día :)
Para saber hacia donde van los enlaces cortos uso View Thru, no se si sea efectivo para este caso, pero puede tener utilidad