Envío de spam a través de la web de tu empresa

8 Ago 2019

Los spammers están siempre buscando nuevos modos de enviar mensajes de spam evitando los filtros. Idealmente, quieren que el mensaje parezca que viene de alguien que, para los filtros de spam, tiene buena reputación. Por ejemplo, intentan enviar spam desde una dirección en tu empresa o mediante tu página web. Este método, que explicaremos a continuación, está cobrando popularidad.

En la actualidad, a casi todas las empresas les interesa conocer la opinión de sus clientes para mejorar sus servicios y consolidar su clientela, etc. Para obtener esos comentarios, las empresas suelen usar un formulario de comentarios, o varios, en sus páginas web. Los usuarios pueden utilizar estos formularios para hacer preguntas, dejar sugerencias, registrarse en eventos de la empresa o a la newsletter, así como recibir otras novedades. Los atacantes, por su parte, intentan aprovechar esos mecanismos para enviar spam a personas o empresas que no tienen ninguna relación.

Cómo usan los atacantes tu sitio web para enviar mensajes

El mecanismo es, de hecho, bastante simple. En general, antes de que un usuario pueda utilizar un servicio online, suscribirse a una lista de correos o hacer una pregunta en una página web de la empresa, primero debe registrarse. Y eso significa que, como mínimo, deberá proporcionar su nombre y una dirección de correo electrónico. Después de que el usuario envíe su solicitud de registro, la empresa envía un mensaje de confirmación por correo. Y los spammers han encontrado el modo de añadir su propia información a estos mensajes de confirmación de registro.

Estas personas señalan la dirección de correo electrónico como la dirección de registro e insertan su mensaje con anuncios en el campo del nombre; por ejemplo, “vendemos láminas de hierro con descuento”. Visita http://sheetiron.su.” El mecanismo de registro envía un mensaje de confirmación a la víctima. El mensaje empieza de modo cortés: “Hola, vendemos láminas de hierro con descuento. ¡Visita http://sheetiron.su!” Por favor, confirme su solicitud de registro…” Si alguien intenta usar este truco con el formulario de registro de la web de una empresa constructora, entonces el resultado puede parecer bastante convincente.

El modo en que los atacantes usan los formularios de comentarios ha evolucionado

Resulta interesante que esta nueva herramienta que aprovechan los spammers sea el resultado de los esfuerzos destinados a combatirlo. Érase una vez, cuando Internet empezaba a ver la luz, la herramienta preferida para los comentarios en un sitio web tenía el aspecto de un libro de visitas donde cualquiera podía dejar un mensaje. Los bromistas y las personas que envían spam empezaron a aprovecharse de esto, lo cual hizo que los libros de visita se convirtieran en un absoluto desastre. Entonces los expertos en seguridad de páginas web decidieron poner requisitos: los invitados debían registrarse primero. Los atacantes respondieron con programas que automáticamente registraban a los usuarios bajo direcciones ficticias de correo electrónico, lo que les permitió seguir con el envío de spam a las empresas propietarias de la página web.

Fue entonces cuando los desarrolladores de páginas web empezaron a solicitar que los usuarios confirmaran sus direcciones de correo electrónico. Este es el mecanismo que los spammers aprovechan ahora para enviar mensajes. Cuando esto sucede, nada llega a la cuenta de correo electrónico de la empresa. Los datos del usuario que se recopilan durante el proceso de registro simplemente se almacenan en una base de datos y las víctimas reciben un mensaje parecido a este:

Las ventajas del envío de spam mediante la web de empresas conocidas

Prácticamente todas las empresas que están interesadas en fomentar la captación de nuevos clientes a través de Internet, así como fidelizar a sus usuarios existentes, dedican mucha atención a sus páginas web. El diseño, el contenido y la usabilidad son muy importantes. Generalmente, las empresas monitorizan de cerca la reputación de sus sitios web. Sin embargo, tener una reputación impecable es lo que atrae a los atacantes.

Los mensajes provenientes de una fuente confiable suelen pasar los filtros antispam con facilidad; básicamente, cuentan con el estatus de mensajes oficiales de una empresa conocida. Y todos los encabezados técnicos en el mensaje son totalmente legítimos. A su vez, la cantidad real de contenido spam en el mensaje (que es a lo que podrían reaccionar los filtros) es relativamente pequeña. La tasa de spam se basa en una variedad de factores, así que la autenticidad total del mensaje prevalece y el mensaje pasa el filtro.

Este método de envío de spam se ha vuelto muy popular entre los estafadores. Incluso han comenzado a ofrecerlo como servicio: envío de publicidad a través de los formularios de comentarios.

El spam enviado a través de tu web es una amenaza para tu negocio

La reputación de tu empresa y el bienestar de tus clientes están en peligro. Primero, si se envían en tu nombre las notificaciones de registro con publicidad invasiva, entonces los destinatarios de estos mensajes (que saben que no han enviado ningún formulario de registro desde tu web) podrían pensar que tu empresa es la que envía el spam.

En segundo lugar, las personas que envían spam insertan a veces un enlace de phishing en el campo del nombre, lo que compromete aún más a tu empresa al guiar al destinatario hacia contenido fraudulento, o incluso código malicioso, lo cual puede empeorar las consecuencias para la víctima.

A veces, los estafadores pueden aprovecharse del nombre de la empresa y, por tanto, dañar su reputación. Por ejemplo, este método puede utilizarse para enviarle a los clientes de la empresa mensajes sobre promociones y premios falsos que supuestamente ofrece tu empresa. Dado que estos mensajes falsos provienen de una fuente legítima, mucha gente creerá en ellos.

¿Cómo puedes evitar que tu sitio se convierta en una herramienta para el envío de spam?

Para comenzar, conoce cómo funcionan los formularios de comentarios de tu sitio web mediante una pequeña prueba. Ve al formulario en cuestión en tu sitio web y regístrate con tu correo electrónico personal, pero ingresa el siguiente mensaje en el campo del nombre: “Vendo mi garaje…” Incluye una dirección web y un número de teléfono. Después, revisa qué es lo que recibiste exactamente en la bandeja de entrada de tu correo electrónico para saber si existen mecanismos para verificar este tipo de información.

Si usted recibe un mensaje que comienzo con “Hola, vendo mi garaje…” entonces debes ponerte en contacto con los responsables del mantenimiento de tus páginas web y recordarle que los nombres de la gente real no pueden llevar números, puntos y comas, “http://”, ni otros símbolos o secuencias parecidas. Por lo tanto, deben crear verificaciones de entrada simples que marquen error si un usuario intenta registrar un nombre con dichos caracteres o segmentos inválidos. Los desarrolladores pueden implementar fácilmente estas verificaciones en tu sitio o en el mecanismo de envío de correos.

Y en el caso de que los desarrolladores se olviden de algo, considera la opción de someter tu sitio web a una auditoría para identificar vulnerabilidades.