Video: Estafas de empleo (Noviembre 2024)
Los proveedores de correo están mejorando en el filtrado de spam incluso antes de que llegue a nuestras bandejas de entrada. Aun así, algunos mensajes siguen llegando. Los spammers continuamente modifican sus campañas para superar los filtros de spam. A veces, recibimos spam porque nuestros amigos cayeron en una estafa. El spam sigue siendo un problema, pero es uno que podemos resolver.
SecurityWatch pidió a los expertos en seguridad de Cloudmark que marcaran y analizaran una campaña de spam en curso. Echamos un vistazo al tipo de mensajes que se envían y la infraestructura detrás de la operación utilizada. Este mes, observamos una operación llamada "Com Spammers".
La operación Com Spammer
La operación Com Spammer se especializa en esquemas de trabajo desde el hogar, píldoras de dieta y, recientemente, una crema milagrosa contra el envejecimiento de la piel. La pandilla monetiza las campañas de spam por correo electrónico y SMS a través de víctimas que se registran para comprar uno de estos productos. En el caso de las píldoras de dieta, que se envían por correo desde un suburbio de Atlanta, Georiga, es probable que las víctimas encuentren cargos recurrentes de dos o tres cifras en sus tarjetas de crédito cada mes.
La Comisión Federal de Comercio pudo cerrar partes de la estafa multimillonaria de trabajar desde casa a mediados de febrero, "pero ahora están de vuelta en sus viejos trucos", dijo Andrew Conway, analista de investigación de Cloudmark. La pandilla había redirigido los antiguos enlaces de trabajo desde el hogar para promover las píldoras de dieta después de la acción de la FTC, pero este lado del negocio parece estar nuevamente en acción.
Cómo funciona la operación
Esta operación utiliza diferentes dominios como páginas de destino, lo que no es tan inusual entre los spammers, pero vale la pena señalar que muchos de los dominios comienzan con com_. Este prefijo dificulta que un usuario promedio sepa a primera vista si el dominio es falso. Por ejemplo, el enlace foxnews.com_ab12.net/new_diet.php parece ser una URL de foxnews.com cuando en realidad es una URL com_ab12.net.
Los spammers están registrando estos sitios a razón de veinte o más por día.
Si bien los mensajes pueden incluir la URL real de la página de destino, muchos de ellos se basan en un enlace intermedio. Eso podría significar un enlace desde un acortador de URL como bit.ly, o un enlace a un sitio web que redirigiría al usuario a la página de destino. El grupo cuenta con más de 4.300 servidores web comprometidos que se utilizan para redirigir a los usuarios a las principales páginas de destino, dijo Cloudmark.
Una estructura de programa de afiliados
Com Spammer está estructurado como un programa de afiliación, con niveles de individuos dedicados a tareas específicas. El primer nivel tiene spammers independientes que envían mensajes de spam, a menudo a través de botnets. El siguiente nivel incluye a los responsables de configurar y mantener las páginas de destino, que pueden parecer sitios de noticias o revistas. El tercer nivel consiste en las personas cuyo trabajo es extraer la mayor cantidad de dinero posible de las víctimas que visitan las páginas de destino.
"Parece que alguien se ha tomado la molestia de monetizar este spam. Esperamos que la gente ahora sea más consciente de esto y no sea víctima de él", dijo Conway.
SecurityWatch trabajará con Cloudmark mensualmente para analizar más campañas de spam y phishing. El próximo mes, nos fijamos en el spam móvil.
