¿Has recibido una notificación de Nodored por spam?

Alexis 07/10/2022
Cómo envían spam los spammers

Contrariamente a la creencia popular , atacar un sitio y cargar scripts maliciosos en él no es la única forma en que el spam comienza. Hay otras formas. Por ejemplo, podría deberse a una cuenta de correo comprometida, el uso de vulnerabilidades de secuencias de comandos o formularios en tu web, sin seguridad alguna.

En este artículo, analizaré las diferentes formas en que el correo electrónico no solicitado (spam) puede ser enviado y algunas de las formas en que puedes detenerlo. Comenzare con un video interactivo donde te explicare y enseñare como proteger tu sitio web, y luego encontraras la teoría de lo explicado.

Spamming por piratería

Un sitio pirateado es la razón más común detrás de un brote de actividad de spam. Pero, ¿Cómo lo hacen realmente los hackers?

Un sitio puede ser pirateado a través de vulnerabilidades en los scripts. Podría ser a través de la exposición de las credenciales de acceso FTP o SSH. Esas mismas credenciales podrían hacer que un pirata informático ingrese al panel de hosting web. Una vez dentro, un hacker (o un bot administrado por él) coloca secuencias de comandos de spam en el sitio o servidor y envía spam a través de ellos.

Para saber de dónde proviene el spam, se necesita analizar los encabezados de servicio del correo electrónico no deseado o los registros del servicio de correo electrónico. Es una tarea que en Nodored, la realizamos por ti, y si encontramos este problema tomaremos acciones correctivas para detener el envío de spam y te notificaremos.

Enviar spam sin piratear un sitio

Ahora me gustaría considerar algunas variantes más interesantes de las técnicas de los hackers. ¿Cómo se puede enviar spam sin piratear primero un sitio y sin instalar scripts de envío de spam? Hay cinco formas.

Spam a través de scripts de correo vulnerables

Los scripts que no verifican los valores pasados ​​a través de las solicitudes son problemáticos. Los scripts legítimos pueden terminar utilizándose para enviar spam cuando se explotan sus vulnerabilidades.

Un ejemplo de esto fue lo sucedido años atrás con el complemento VirtueMart en Joomla, donde cualquiera podía enviar texto arbitrario a cualquier destinatario como correo no deseado.

Es decir, el mantener plugins, módulos o complementos que están desactualizados en tu instalación, son la forma perfecta de invitar a un ciberdelincuente a enviar spam.

Uso de formularios de comentarios

Muchos tienen una protección contra bots débil (por ejemplo, un CAPTCHA) o ninguna. El problema es que los bots de spam modernos eluden fácilmente un CAPTCHA débil. Si el formulario no contiene ningún mecanismo para protegerse contra los bots, la probabilidad de spam es alta. 

Estos problemas se resuelven agregando un campo especial al formulario con un complejo mecanismo de verificación “No soy un bot”. Un buen ejemplo de tal mecanismo es reCAPTCHA de Google

Spam de registros masivos de usuarios o ataques a sitios web

En este mismo orden de ideas, en los sitios donde es posible el registro de usuarios, se pueden crear muchos correos electrónicos mediante el envío de notificaciones de registro. Así es como funciona.

Un bot especial envía solicitudes especialmente diseñadas al sitio varias veces por segundo. Esto crea nuevos usuarios en la base de datos. Un administrador envía una notificación por correo electrónico para aprobar o rechazar el registro. Alternativamente, se envía un mensaje de notificación simple que dice que ha aparecido un nuevo usuario en el foro o sitio web. Dichos mensajes se pueden enviar a una velocidad de varios cientos por hora.

Aunque puede parecer que no hay spam genuino procedente de dichos sitios, tu proveedor de hosting puede bloquear el correo saliente del sitio. Hacemos esto si se ha excedido el límite permitido en la cantidad de mensajes enviados.

Puedes resolver este problema agregando un mecanismo para protegerte contra los registros automáticos, por ejemplo, Google reCAPTCHA. Una solución provisional es deshabilitar las notificaciones de registro de usuarios.

Cuentas de correo comprometidas

Otra forma de enviar spam, es que el atacante obtenga acceso a tu dirección de correo corporativo.

Los correos electrónicos corporativos registrados en el dominio del sitio (whois) se ven cada vez más comprometidos. Los piratas informáticos obtienen acceso a los servidores de correo a través de la selección, interceptación y robo de contraseñas.

Esto puede suceder cuando un usuario está trabajando en una conexión de red no segura. Puede haber troyanos o ‘key loggers’ (programas que registran y transmiten pulsaciones de teclas) en la computadora o dispositivo móvil. O bien, los piratas informáticos enviarán un correo electrónico a un contador o gerente que trabaje con clientes, con la esperanza de conectarse con cualquier persona que no esté particularmente interesada o no tenga conocimiento de la seguridad de la información, para a través de un ataque de spoofing o phishing obtener las credenciales necesarias.

Como medida preventiva, las contraseñas de los buzones deben cambiarse con la mayor frecuencia posible y configurarse con valores complejos y diferentes cada vez.

Envío de spam con nombre de remitente sustituto

En ocasiones, los propietarios de sitios que tienen correo reciben el llamado NDR (Non-Delivery Report). Esta es una notificación sobre mensajes de correo electrónico no entregados. En tales casos, el correo electrónico puede contener un mensaje de spam, texto publicitario, un enlace de phishing o un archivo adjunto malicioso. Resulta particularmente preocupante cuando el propietario del correo no envío ese email, entonces ¿Cuándo y cómo puede suceder esto?

Hay dos maneras:

   1. Hackear la cuenta de correo (mencionado anteriormente).

   2. Enviar mensajes con una dirección de correo electrónico falsa.

El segundo enfoque funciona así: los piratas informáticos pueden utilizar una secuencia aleatoria de caracteres, en lugar de un nombre de usuario, como la dirección de correo electrónico del remitente. Por ejemplo:  as***********@mi*****.com

Si el mensaje no se entrega al destinatario, el correo electrónico se devuelve a esta dirección. (Puede haber cientos o incluso miles de mensajes de este tipo). Si este buzón no está registrado en el dominio, el mensaje irá a la bandeja de entrada predeterminada para correos no entregados o se eliminará.

Tener el correo devuelto eliminado no es tan malo. Sin embargo, los atacantes suelen utilizar direcciones de correo electrónico válidas para enviar spam y pueden enviar correos electrónicos utilizando una dirección real (por ejemplo ad***@mi*****.com  ) en el campo FROM. Si los mecanismos de autenticación SPF y DKIM correspondientes no están configurados en el dominio misitio.com en el que está registrado el correo electrónico, todos los mensajes no entregados se devolverán a  ad***@mi*****.com  .

La única opción para tratar con ellos es usar tu filtro anti-spam en el servidor de correo, o un filtro que elimine los mensajes NDR automáticamente.

Recomendaciones para configurar el correo

Estas son algunas recomendaciones para configurar de forma segura los servicios de correo de dominio:

  1. No expongas las direcciones de correo en tus formularios en tu sitio web
  2. Protege con Google Recaptcha tu sitio web, o con un Honeypot
  3. Utiliza siempre contraseñas muy seguras en tus correos, no uses la misma clave en todos tus servicios
  4. Mantén tu sitio siempre actualizado y seguro
  5. Mantén tu equipo local y red siempre protegidos por un buen antivirus y antimalware
  6. Configura correctamente DMARC, SPF y DKIM para tu dominio

Para concluir…

El spam no es solo un problema técnico, relacionado con configuraciones inseguras del servidor de correo o vulnerabilidades en el sitio. También puede deberse a que los propietarios del sitio, los empleados de la empresa y los especialistas externos no prestan atención a los problemas de seguridad de la información. Por lo tanto, este problema debe resolverse con una combinación de medidas técnicas y organizativas.

Categories: Ciberseguridad
Alexis
CTO | Director de Operaciones y Tecnología en NODORED.COM

Related Articles

Report

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

Block Member?

Please confirm you want to block this member.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Message this member
  • Add this member as a connection

Please note: This action will also remove this member from your connections and send a report to the site admin. Please allow a few minutes for this process to complete.

Report

You have already reported this .