Los spammers utilizan programas y tecnologías dedicadas a generar y transmitir los miles de millones de mensajes de spam que se envían todos los días (del 60% al 90% de todo el tráfico de correo). Esto requiere una importante inversión de tiempo y dinero.
La actividad de los spammers puede dividirse en los siguientes pasos:
- Recopilación y verificación de direcciones de los destinatarios; clasificación de las direcciones en los grupos objetivo.
- Creación de plataformas para el envío masivo de correo (servidores y / o equipos individuales).
- Creación de programas de correo masivo.
- Servicios de marketing spam.
- Desarrollo de textos para campañas específicas.
- Envío del spam.
Cada paso del proceso es llevado a cabo de manera independiente del resto.
Recopilación y verificación de direcciones; Creando listas de direcciones
El primer paso en la gestión de un negocio de spamming es crear una base de datos de correos electrónicos. Las entradas no sólo consisten en direcciones de email; cada entrada puede contener información adicional, como la ubicación geográfica, la esfera de la actividad (para las entradas de empresas) o los intereses (para entradas personales). Una base de datos puede contener direcciones de proveedores de correos específicos, tales como Yandex, Hotmail, AOL, etc., o de servicios en línea como PayPal o eBay.
Hay una serie de métodos que los spammers utilizan típicamente para la recogida de direcciones:
- Adivinar las direcciones que utilizan combinaciones comunes de palabras y números: juan@, destructor@, alex-2@
- Adivinar direcciones por analogía – si se comprueba que existe un [email protected], entonces es razonable pensar que también habrá un [email protected], @aol.com, PayPal, etc.
- Explorar los recursos públicos, tales como sitios web, foros, salas de chat, bases de datos, noticias de Usenet y así sucesivamente para las combinaciones de palabras.
Robar bases de datos de servicios web, ISPs, etc. - Robar datos personales de los usuarios utilizando virus informáticos y otros programas maliciosos.
Las bases de datos temáticas se crean generalmente con un tercer método, dado que los recursos públicos a menudo contienen información sobre las preferencias de los usuarios, junto con su información personal, como sexo, edad, etc. Las bases de datos robadas de servicios web y proveedores de Internet también pueden incluir esa información, permitiendo a los spammers personalizar aún más el destino de sus envíos.
El robo de datos personales, tales como la agenda de direcciones de email de un cliente es una innovación reciente, pero está demostrando que es muy eficaz, ya que la mayoría de las direcciones están activas. Por desgracia, las epidemias de virus recientes han demostrado que todavía hay un gran número de sistemas sin una protección antivirus adecuada; este método seguirá siendo utilizado con éxito hasta que la gran mayoría de los sistemas sean asegurados eficazmente.
Una vez que se han creado las bases de datos de correo electrónico, las direcciones tienen que ser verificadas antes de que puedan ser vendidas o utilizados para envíos de correo masivo.
- Prueba inicial de envío. Un mensaje de prueba con un texto aleatorio que está diseñado para evadir los filtros de spam se envía a la lista completa de direcciones. Luego, se analizan los registros del servidor de correos para determinar las direcciones activas y las obsoletas, y limpiar la base de datos en consecuencia.
- Una vez que las direcciones se han verificado, un segundo mensaje se envía a menudo para comprobar si los destinatarios están leyendo mensajes. Por ejemplo, el mensaje puede contener un enlace a una foto en un servidor web designado. Una vez abierto el mensaje, la imagen se descarga automáticamente y el sitio web registra la dirección como “activa”.
- Un método más exitoso de verificar si una dirección está activa es una técnica de ingeniería social. La mayoría de los usuarios finales saben que tienen el derecho a darse de baja de los correos no solicitados y/o no deseados. Los spammers se aprovechan de esto mediante el envío de mensajes con un botón de “darse de baja”. Los usuarios hacen click en el enlace para darse de baja y se envía supuestamente un mensaje para dar de baja al usuario. Esto le sirve al spammer no sólo para recibir la confirmación de que la dirección en cuestión es válida, sino también para saber que el usuario está activo.
Sin embargo, ninguno de estos métodos son a prueba de fallos y cualquier base de datos de spam siempre contendrá un gran número de direcciones inactivas.
Creando plataformas para el envío masivo de correos
Los spammers de hoy en día utilizan uno de estos tres métodos de envío masivo de correos
- Envío directo de mails desde servidores alquilados
- Uso de relays y proxys abiertos – servidores que han sido mal configurados y por lo tanto son de libre acceso.
- Redes bot – redes de máquinas zombie infectadas con malware, por lo general un troyano, que permiten a los spammers utilizar estas computadoras infectadas como plataformas para envíos masivos sin el conocimiento o el consentimiento del propietario.
El alquiler de los servidores es problemático, ya que las organizaciones antispam monitorean los correos masivos y se apresuran a agregar los servidores a las listas negras. La mayoría de los proveedores de Internet y las soluciones antispam utilizan listas negras como un método para identificar el spam: esto significa que una vez que un servidor ha sido bloqueado, ya no puede ser utilizado por los spammers.
El uso de relays y proxys abiertos es también lento y costoso. Los primeros spammers tenían que escribir y mantener robots que buscaban en Internet todos los servidores vulnerables. Una vez hallados, los servidores necesitan ser penetrados. Sin embargo, muy a menudo, después de algunos envíos exitosos, estos servidores también son detectados y agregados a listas negras.
Como resultado, hoy en día la mayoría de los spammers prefieren crear o adquirir redes de bots. Los creadores de virus profesionales utilizan una variedad de métodos para crear y mantener estas redes:
- El software pirata es también un vehículo predilecto para la propagación de código malicioso. Dado que estos programas a menudo se propagan a través de redes de intercambio de archivos.
- Explotar vulnerabilidades en los navegadores de Internet, principalmente en Internet Explorer. Hay una serie de vulnerabilidades en los navegadores que le permiten a un cibercriminal penetrar en un equipo desde un sitio web que el usuario está visitando. Los creadores de virus explotan tales agujeros y escriben troyanos y otros programas maliciosos para penetrar en los equipos de las víctimas, para que los propietarios del malware obtengan pleno acceso y control sobre estas máquinas infectadas. Por ejemplo, los sitios pornográficos y otros sitios semi-legales visitados con frecuencia suelen ser infestados con este tipo de programas maliciosos. En 2004 se penetró un gran número de sitios que se ejecutaban bajo MS IIS y muchos de éstos fueron infectados con troyanos. Estos troyanos luego atacaron las máquinas de los usuarios que creían que estos sitios eran seguros.
- Utilizar gusanos de correo electrónico y aprovechar vulnerabilidades en los servicios de MS Windows para distribuir e instalar troyanos: los sistemas que ejecutan MS Windows son inherentemente vulnerables, y los hackers y creadores de virus están siempre dispuestos a explotar esto. Pruebas independientes han demostrado que un sistema Windows XP que no dispone de un firewall y/o un software antivirus será atacado dentro de los primeros 20 minutos de estar conectado a Internet.
El malware moderno es tecnológicamente sofisticado. Los autores de estos programas no escatiman tiempo ni esfuerzo para hacer que la detección de sus creaciones sea lo más difícil posible. Los componentes de los Troyanos pueden comportarse como navegadores de Internet pidiendo sitios web para obtener instrucciones, ya sea para lanzar un ataque DoS o para iniciar el envío de correo spam, etc. (las instrucciones pueden incluso contener información sobre el tiempo y el “lugar” de la siguiente instrucción). El IRC también se utiliza para obtener instrucciones.
Software para enviar spam
El envío masivo promedio contiene alrededor de un millón de mensajes. El objetivo es enviar el número máximo de mensajes en el mínimo tiempo posible. Hay una ventana de oportunidades muy limitada antes de que los vendedores de programas antispam actualicen las bases de datos de firmas para censurar los últimos tipos de spam.
Enviar un gran número de mensajes dentro de un marco de tiempo limitado requiere de una tecnología apropiada. Hay una serie de recursos disponibles que se desarrollan y son utilizados por los spammers profesionales. Estos programas deben ser capaces de:
- Enviar correos a través de una variedad de canales, incluyendo relays abiertos y máquinas infectadas individuales.
- Crear textos dinámicos
- Falsificar encabezados de mensajes legítimos
- Rastrear la validez de una base de datos de correos electrónicos.
- Detectar si los mensajes individuales se entregan o no y reenviarlos desde plataformas alternativas si la plataforma original ha sido bloqueada.
Estas aplicaciones spamming están disponibles como servicios de suscripción o como una aplicación independiente a cambio del pago de un honorario único.
Servicios de Marketing spam
Por extraño que parezca, los spammers anuncian sus servicios utilizando el spam. De hecho, la publicidad que los spammers utilizan para promocionar sus servicios de spam constituye una categoría separada de spam. El spam relacionado con los spammers también incluye anuncios de aplicaciones de spam, redes de bots y bases de datos de direcciones de correo electrónico.
Creando el cuerpo del mensaje
Hoy en día, los filtros antispam son lo suficientemente sofisticados para detectar y bloquear un gran número de mensajes idénticos al instante. Los spammers, por tanto, ahora se aseguran de que los envíos masivos contengan mensajes de correo electrónico con contenido casi idéntico, pero los textos son ligeramente alterados. Ellos han desarrollado una serie de métodos para enmascarar la similitud entre los mensajes en cada correo:
- Inclusión de cadenas de texto al azar, palabras o textos invisible. Esto puede ser tan simple como incluir una cadena aleatoria de palabras y / o caracteres o un texto real a partir de una fuente legítima al principio o al final del cuerpo del mensaje. Un mensaje HTML puede contener texto invisible (pequeñas fuentes o texto del mismo color que el fondo). Todos estos trucos interfieren con la coincidencia aproximada y métodos de filtrado bayesiano utilizado por las soluciones antispam. Sin embargo, los desarrolladores de software antispam han respondido desarrollando escáneres de citas, el análisis detallado de la codificación HTML y otras técnicas. En muchos casos, los filtros de spam simplemente detectan que estos trucos se han utilizado en un mensaje y automáticamente lo marcan como spam.
- Spam gráfico. Envío de texto en formato de gráficos obstaculizado el análisis de texto automático durante un período de tiempo, sin embargo hoy en día una buena solución antispam es capaz de detectar y analizar gráficos entrantes
- Gráficos dinámicos. Los spammers están utilizando gráficos complicados con información adicional para evadir los filtros antispam.
- Imágenes “fragmentadas”. En realidad, la imagen se compone de varias imágenes más pequeñas, pero un usuario lo ve como un texto completo. La animación es simplemente otro tipo de fragmentación mediante el cual la imagen se divide en tramas que se superponen uno sobre el otro, y el resultado final es el texto completo.
- Textos parafraseados. Un solo anuncio puede ser reformulado sin cesar, haciendo que cada mensaje individual parezca ser un correo electrónico legítimo. Como resultado, los filtros antispam tienen que ser configurados utilizando un gran número de muestras antes de que estos mensajes puedan ser detectados como spam.
Una buena aplicación para enviar spam utilizará todos los métodos anteriores, ya que diferentes víctimas utilizan diferentes filtros antispam. Usar una variedad de técnicas asegura que un número comercialmente viable de los mensajes escapará a la filtración y llegará a los destinatarios.
Spam y psicología
Enviar mensajes de forma rápida y conseguir que pasen todos los filtros es una parte importante del proceso de envío de correo basura, pero hay más que eso. Los spammers también necesitan asegurarse de que un usuario leerá el mensaje y hará lo que quiere el spammer (es decir, llamar a un número designado, hacer clic en un enlace, etc.).
En 2006, los spammers continuaron perfeccionando los métodos psicológicos utilizados para manipular a los destinatarios del spam. En particular, con el fin de llevar a un usuario a que lea el contenido de un correo electrónico, los spammers trataron de persuadir a los destinatarios de que los mensajes eran en realidad correspondencia personal. A principios de año, los spammers usaron principalmente planteamientos primitivos, como la adición de RE o FW al comienzo de una línea de asunto para indicar que un mensaje era una respuesta a un correo electrónico anterior o que había sido enviado desde una dirección conocida. A mediados del año, los spammers comenzaron a utilizar tácticas más sutiles.
Los spammers comenzaron a trabajar en sus textos de aviso. Hoy en día, algunos textos de mensajes de spam están estilística y léxicamente diseñados para parecerse a la correspondencia personal. Hay algunos ejemplos convincentes que incluso podría engañar a un experto a primera vista, por no hablar de los usuarios menos experimentados. Este tipo de spam es a menudo muy impersonal (no se ocupa de nadie en particular o utiliza palabras como “novia” o “amor”, etc.) con el fin de crear la ilusión de que el correo electrónico fue diseñado únicamente para el destinatario. A veces se utilizan nombres en la correspondencia personal falsificada. En cualquier caso, la curiosidad del usuario se despierta y él puede leerlo para saber de quién viene el correo, o si debe reenviarlo.
Otro truco que utiliza la técnica de ingeniería social es el spam que incluye temas de noticias calientes (a veces ideadas por los propios spammers) en los mensajes.
La estructura de un negocio de spam
Los pasos indicados anteriormente requieren un equipo de diferentes especialistas o la externalización de determinadas tareas. Los spammers, es decir, la gente que dirige el negocio y que recoge el dinero de los clientes, por lo general compran o alquilan las aplicaciones y servicios que necesitan para realizar los envíos masivos.
Los spammers se dividen en programadores profesionales y creadores de virus que desarrollan e implementan el software necesario para enviar el correo no deseado, y aficionados que pueden no ser programadores o gentes de TI, sino que simplemente quieren hacer algo de dinero fácil.
Tendencias futuras
El mercado actual de spam está valuado en varios cientos de millones de dólares anuales. ¿Cómo se llega a esta cifra? Divida el número de mensajes detectados cada día por el número de mensajes de correo estándar. Multiplique el resultado por el coste medio de un correo estándar: 30 mil millones de mensajes dividido por un millón, y multiplicados U$S 100 por 365 (días) nos da una facturación anual estimada de $1095 millones.
Un Mercado tan lucrativo anima a las empresas de escala completa, que llevan el ciclo de negocio internamente de una manera profesional y rentable. También hay cuestiones jurídicas: la recogida de los datos personales y el envío de correspondencia no solicitada es ilegal en la mayoría de países del mundo. Sin embargo, el dinero es lo suficientemente bueno para atraer el interés de las personas que están dispuestas a correr riesgos y potencialmente sacar una jugosa ganancia.
Por tanto, es probable que la industria del spam siga los pasos de otras actividades ilegales: pasar a la clandestinidad y participar en una batalla cíclica con las fuerzas del orden.