¿Has recibido una notificación de Nodored por spam?
Contrariamente a la creencia popular , atacar un sitio y cargar scripts maliciosos en él no es la única forma en que el spam comienza. Hay otras formas. Por ejemplo, podría deberse a una cuenta de correo comprometida, el uso de vulnerabilidades de secuencias de comandos o formularios en tu web, sin seguridad alguna.
En este artículo, analizaré las diferentes formas en que el correo electrónico no solicitado (spam) puede ser enviado y algunas de las formas en que puedes detenerlo. Comenzare con un video interactivo donde te explicare y enseñare como proteger tu sitio web, y luego encontraras la teoría de lo explicado.
Spamming por piratería
Un sitio pirateado es la razón más común detrás de un brote de actividad de spam. Pero, ¿Cómo lo hacen realmente los hackers?
Un sitio puede ser pirateado a través de vulnerabilidades en los scripts. Podría ser a través de la exposición de las credenciales de acceso FTP o SSH. Esas mismas credenciales podrían hacer que un pirata informático ingrese al panel de hosting web. Una vez dentro, un hacker (o un bot administrado por él) coloca secuencias de comandos de spam en el sitio o servidor y envía spam a través de ellos.
Para saber de dónde proviene el spam, se necesita analizar los encabezados de servicio del correo electrónico no deseado o los registros del servicio de correo electrónico. Es una tarea que en Nodored, la realizamos por ti, y si encontramos este problema tomaremos acciones correctivas para detener el envío de spam y te notificaremos.
Enviar spam sin piratear un sitio
Ahora me gustaría considerar algunas variantes más interesantes de las técnicas de los hackers. ¿Cómo se puede enviar spam sin piratear primero un sitio y sin instalar scripts de envío de spam? Hay cinco formas.
Spam a través de scripts de correo vulnerables
Los scripts que no verifican los valores pasados a través de las solicitudes son problemáticos. Los scripts legítimos pueden terminar utilizándose para enviar spam cuando se explotan sus vulnerabilidades.
Un ejemplo de esto fue lo sucedido años atrás con el complemento VirtueMart en Joomla, donde cualquiera podía enviar texto arbitrario a cualquier destinatario como correo no deseado.
Uso de formularios de comentarios
Muchos tienen una protección contra bots débil (por ejemplo, un CAPTCHA) o ninguna. El problema es que los bots de spam modernos eluden fácilmente un CAPTCHA débil. Si el formulario no contiene ningún mecanismo para protegerse contra los bots, la probabilidad de spam es alta.
Estos problemas se resuelven agregando un campo especial al formulario con un complejo mecanismo de verificación “No soy un bot”. Un buen ejemplo de tal mecanismo es reCAPTCHA de Google
Spam de registros masivos de usuarios o ataques a sitios web
En este mismo orden de ideas, en los sitios donde es posible el registro de usuarios, se pueden crear muchos correos electrónicos mediante el envío de notificaciones de registro. Así es como funciona.
Un bot especial envía solicitudes especialmente diseñadas al sitio varias veces por segundo. Esto crea nuevos usuarios en la base de datos. Un administrador envía una notificación por correo electrónico para aprobar o rechazar el registro. Alternativamente, se envía un mensaje de notificación simple que dice que ha aparecido un nuevo usuario en el foro o sitio web. Dichos mensajes se pueden enviar a una velocidad de varios cientos por hora.
Aunque puede parecer que no hay spam genuino procedente de dichos sitios, tu proveedor de hosting puede bloquear el correo saliente del sitio. Hacemos esto si se ha excedido el límite permitido en la cantidad de mensajes enviados.
Puedes resolver este problema agregando un mecanismo para protegerte contra los registros automáticos, por ejemplo, Google reCAPTCHA. Una solución provisional es deshabilitar las notificaciones de registro de usuarios.
Cuentas de correo comprometidas
Otra forma de enviar spam, es que el atacante obtenga acceso a tu dirección de correo corporativo.
Los correos electrónicos corporativos registrados en el dominio del sitio (whois) se ven cada vez más comprometidos. Los piratas informáticos obtienen acceso a los servidores de correo a través de la selección, interceptación y robo de contraseñas.
Esto puede suceder cuando un usuario está trabajando en una conexión de red no segura. Puede haber troyanos o ‘key loggers’ (programas que registran y transmiten pulsaciones de teclas) en la computadora o dispositivo móvil. O bien, los piratas informáticos enviarán un correo electrónico a un contador o gerente que trabaje con clientes, con la esperanza de conectarse con cualquier persona que no esté particularmente interesada o no tenga conocimiento de la seguridad de la información, para a través de un ataque de spoofing o phishing obtener las credenciales necesarias.
Como medida preventiva, las contraseñas de los buzones deben cambiarse con la mayor frecuencia posible y configurarse con valores complejos y diferentes cada vez.
Envío de spam con nombre de remitente sustituto
En ocasiones, los propietarios de sitios que tienen correo reciben el llamado NDR (Non-Delivery Report). Esta es una notificación sobre mensajes de correo electrónico no entregados. En tales casos, el correo electrónico puede contener un mensaje de spam, texto publicitario, un enlace de phishing o un archivo adjunto malicioso. Resulta particularmente preocupante cuando el propietario del correo no envío ese email, entonces ¿Cuándo y cómo puede suceder esto?
Hay dos maneras:
1. Hackear la cuenta de correo (mencionado anteriormente).
2. Enviar mensajes con una dirección de correo electrónico falsa.
El segundo enfoque funciona así: los piratas informáticos pueden utilizar una secuencia aleatoria de caracteres, en lugar de un nombre de usuario, como la dirección de correo electrónico del remitente. Por ejemplo: as***********@mi*****.com
Si el mensaje no se entrega al destinatario, el correo electrónico se devuelve a esta dirección. (Puede haber cientos o incluso miles de mensajes de este tipo). Si este buzón no está registrado en el dominio, el mensaje irá a la bandeja de entrada predeterminada para correos no entregados o se eliminará.
Tener el correo devuelto eliminado no es tan malo. Sin embargo, los atacantes suelen utilizar direcciones de correo electrónico válidas para enviar spam y pueden enviar correos electrónicos utilizando una dirección real (por ejemplo ad***@mi*****.com ) en el campo FROM. Si los mecanismos de autenticación SPF y DKIM correspondientes no están configurados en el dominio misitio.com en el que está registrado el correo electrónico, todos los mensajes no entregados se devolverán a ad***@mi*****.com .
La única opción para tratar con ellos es usar tu filtro anti-spam en el servidor de correo, o un filtro que elimine los mensajes NDR automáticamente.
Recomendaciones para configurar el correo
Estas son algunas recomendaciones para configurar de forma segura los servicios de correo de dominio:
- No expongas las direcciones de correo en tus formularios en tu sitio web
- Protege con Google Recaptcha tu sitio web, o con un Honeypot
- Utiliza siempre contraseñas muy seguras en tus correos, no uses la misma clave en todos tus servicios
- Mantén tu sitio siempre actualizado y seguro
- Mantén tu equipo local y red siempre protegidos por un buen antivirus y antimalware
- Configura correctamente DMARC, SPF y DKIM para tu dominio
Para concluir…