Envío de spam a través del sitio web de tu empresa

8 Ago 2019

Las personas que envían spam constantemente están buscando nuevos modos de enviar mensajes de spam eludiendo los filtros. Idealmente, esas personas quieren que el mensaje parezca provenir de alguien que goza de buena reputación con los filtros de spam. Por ejemplo, intentan enviar spam desde una dirección en tu empresa, a través de tu sitio web. Este método, que explicaremos a continuación, se está volviendo muy recurrente.

Actualmente, a casi todas las empresas les interesa obtener comentarios por parte de sus clientes con el fin de mejorar sus servicios y consolidar su clientela, entre otras cosas. Para obtener esos comentarios, las empresas por lo general usan un formulario de comentarios, o varios, en sus sitios web. Los usuarios pueden utilizar estos formularios para hacer preguntas, dejar sugerencias, registrarse en eventos de la empresa o al newsletter, así como recibir otras actualizaciones. Los atacantes, por su parte, intentan aprovechar esos mecanismos para enviar spam a personas o empresas que no guardan ninguna relación.

Cómo usan los atacantes tu sitio web para enviar mensajes

El mecanismo es, de hecho, bastante simple. En general, antes de que un usuario pueda utilizar un servicio en línea, suscribirse a una lista de correos, o hacer una pregunta en un sitio web de la empresa, primero deben registrarse. Y eso significa que, como mínimo, deberán proporcionar su nombre y una dirección de correo electrónico. Después de que el usuario envía su solicitud de registro, la empresa envía un mensaje de confirmación por correo. Las personas que envían spam han encontrado el modo de añadir su propia información a estos mensajes de confirmación de registro.

Estas personas señalan la dirección de correo electrónico como la dirección de registro e insertan su mensaje con anuncios en el campo del nombre; por ejemplo, “vendemos láminas de hierro con descuento”. Visita http://sheetiron.su.” El mecanismo de registro envía un mensaje de confirmación a la víctima. El mensaje inicia de modo cortés: “Hola, vendemos láminas de hierro con descuento. Visita http://sheetiron.su!” Por favor, confirme su solicitud de registro….” Si alguien intenta usar este truco con el formulario de registro del sitio web de una empresa constructora, entonces el resultado puede parecer bastante convincente.

El modo en que los atacantes usan los formularios de comentarios ha evolucionado

Resulta interesante que esta nueva herramienta aprovechada por las personas que envían spam sea el resultado de los esfuerzos destinados a combatirlo. Érase una vez, durante el inicio del internet, la herramienta preferida para los comentarios en un sitio web tenía el aspecto de un libro de visitas donde cualquiera podría dejar un mensaje. Los bromistas y las personas que envían spam empezaron a aprovecharse de esto, lo cual hizo que los libros de visita se convirtieran en un absoluto desastre. Entonces los expertos en seguridad de sitios web optaron por poner requisitos: los invitados debían registrarse primero. Los atacantes respondieron con programas que automáticamente registraban a los usuarios bajo direcciones ficticias de correo electrónico, lo que les permitió seguir con el envío de spam a las empresas propietarias del sitio web.

Fue entonces que los desarrolladores de sitios web empezaron a solicitar que los usuarios confirmaran sus direcciones de correo electrónico. Este es el mecanismo que las personas que envían spam aprovechan ahora para enviar mensajes. Cuando esto sucede, nada llega a la cuenta de correo electrónico de la empresa. Los datos del usuario que se recopilan durante el proceso de registro simplemente se almacenan en una base de datos, y las víctimas reciben un mensaje parecido a este:

Las ventajas del envío de spam a través de los sitios web de empresas de renombre

Prácticamente todas las empresas que están interesadas en fomentar el ingreso de nuevos clientes a través de internet, así como fidelizar a sus usuarios existentes, dedican mucha atención a sus propios sitios web. El diseño del sitio, el contenido y la usabilidad son muy importantes. Generalmente, las empresas monitorean de cerca la reputación de sus sitios web. Sin embargo, tener una reputación impecable es lo que atrae a los atacantes.

Los mensajes provenientes de una fuente confiable generalmente pasan los filtros antispam fácilmente; básicamente, poseen el estatus de mensajes oficiales de una empresa de renombre. Y todos los encabezados técnicos en el mensaje son totalmente legítimos. Al mismo tiempo, la cantidad real de contenido spam en el mensaje (que es a lo que podrían reaccionar los filtros) es relativamente pequeña. La tasa de spam se basa en una variedad de factores, así que la autenticidad total del mensaje prevalece, y el mensaje pasa a través del filtro.

Este método de envío de spam recientemente se ha vuelto muy popular entre los defraudadores. Incluso han comenzado a ofrecerlo como servicio: envío de publicidad a través de los formularios de comentarios.

El spam enviado a través de tu sitio es una amenaza para tu negocio

La reputación de tu empresa y el bienestar de tus clientes se encuentran bajo riesgo. Primero, si se envían a tu nombre las notificaciones registro con publicidad invasiva, entonces los destinatarios de estos mensajes (que saben que no completaron un formulario de registro en tu sitio web) podrían pensar que tu empresa es la que envía el spam.

En segundo lugar, las personas que envían spam insertan a veces un enlace de phishing en el campo del nombre, lo que compromete aún más a su empresa al guiar al destinatario hacia contenido fraudulento, o incluso código malicioso, lo cual puede empeorar las consecuencias para la víctima.

En ocasiones, los defraudadores pueden aprovechar deliberadamente el nombre de la empresa y, por lo tanto, dañar su reputación. Por ejemplo, este método puede utilizarse para enviarle a los clientes de la empresa mensajes sobre promociones y premios falsos que supuestamente tu empresa está ofreciendo. Dado que estos mensajes falsos provienen de una fuente legítima, mucha gente creerá en ellos.

¿Cómo puedes evitar que tu sitio se convierta en una herramienta para el envío de spam?

Para comenzar, conoce cómo funcionan los formularios de comentarios de tu sitio web mediante una pequeña prueba. Ve al formulario en cuestión en tu sitio web y regístrate con tu correo electrónico personal, pero ingresa el siguiente mensaje en el campo del nombre: “Estoy vendiendo mi garage….” Incluye una dirección web y un número de teléfono. Después, revisa qué es lo que recibiste exactamente en la bandeja de entrada de tu correo electrónico para saber si existen mecanismos de verificación para este tipo de información.

Si usted recibe un mensaje que comienzo con “Hola, yo estoy vendiendo mi garage…” entonces debes ponerte en contacto con la gente responsable del mantenimiento de tus sitios web y recordarle que los nombres de la gente real no pueden llevar números, puntos y comas, “http://”, ni otros símbolos o secuencias parecidas. Por lo tanto, esa gente necesita crear verificaciones de entrada simples que marquen error si un usuario intenta registrar un nombre con dichos caracteres o segmentos inválidos. Los desarrolladores pueden implementar fácilmente estas verificaciones en tu sitio o en el mecanismo de envío de correos.

Y en caso de que los desarrolladores se olviden de algo, contempla la opción de someter tu sitio web a una auditoría para identificar vulnerabilidades.