“Phishing” farmacéutico

Los anuncios sobre medicamentos para mejorar la sexualidad masculina son clásicos en los correos spam. Como otros mensajes no solicitados, los correos de este tipo han evolucionado con el tiempo y las versiones de hoy en día ya no se limitan a dar promesas de vigor ni ofrecer enlaces hacia sitios que venden medicamentos. En agosto y septiembre, descubrimos una serie de correos que utilizaban los nombres de compañías conocidas y parecían mensajes phishing comunes y corrientes. Pero, en vez de dirigir a un sitio para estafar a los usuarios, los enlaces mostraban a un anuncio sobre "medicamentos masculinos".

Todos los mensajes en los correos parecían provenir de FedEx, Google, Twitter, Yahoo y otras compañías y servicios populares. Por lo general se usaba uno de esos nombres en el campo "De:" de los mensajes. El texto imita las cartas oficiales de las compañías; incluye logos y firmas de empleados ficticios. Todo está pensado para convencer a los destinatarios de que los correos son genuinos. Pero un usuario atento no tardaría en darse cuenta de que la dirección del remitente no tiene nada de genuino, y lo más probable es que se haya creado de forma automática. Había varias variantes del mensaje en una misma oleada de correos.

Los spammers pusieron varios pretextos para convencer a los usuarios para que pulsaran en los enlaces. Por ejemplo, algunos correos se hacían pasar por mensajes legítimos sobre correos devueltos, registros de perfiles, eliminación de correos sin leer, etc. Los mensajes eran muy cortos a propósito, para urgir al destinatario a que pulse en el enlace para saber más al respecto. Pero el vínculo en realidad redirigía a un sitio de publicidades de spam farmacéutico.

Otras variantes incluían recordatorios sobre nuevos mensajes o notificaciones. La fecha de recepción se muestra en el cuerpo del mensaje, mientras que el campo “ver mensajes” tenía un enlace escondido que dirigía a una publicidad para pastillas masculinas.

En algunos mensajes, los spammers también cambiaron el color de los diseños: colores brillantes para los enlaces y nombres de las compañías. Los temas de los correos eran frases estándar sobre la recepción de un mensaje, necesidad de activar una cuenta, etc.

A principios de agosto, detectamos otro correo masivo similar a los descritos arriba, pero con una complejidad mayor. El mensaje se escribió en nombre de Google o, para ser más precisos, parecía una notificación automática de un servicio llamado Google Message Center. Se supone que la dirección del remitente se encuentra en el dominio google.com, y la mayoría de los usuarios podrían pensar que era una dirección genuina relacionada con Google. El mensaje del remitente desconocido notifica al destinatario sobre un nuevo correo que supuestamente ha recibido en su dirección, y le muestra un enlace para abrirlo. Para tratar de evadir los filtros de spam, los spammers cambiaron la codificación de algunas letras del enlace a ASCII. Por ejemplo, la letra "s” se convirtió en el número 73. Los spammers también utilizaron el servicio Google Translate para esconder el enlace real: es un truco popular que, combinado con el asunto del mensaje y otro "ruido" puede ser eficaz. Pero el destinatario sólo tiene que pasar el cursor sobre el vínculo para descubrir sus verdaderas intenciones.

La URL que se envió en este correo también dirige a un sitio que ofrece medicamentos. El ruido permite que el mismo enlace sea único para cada mensaje, porque cada vez se codifican diferentes letras con ASCII.

Parece que la mayoría de los usuarios ni se molesta en abrir los mensajes sobre medicamentos, por lo que los spammers ha recurrido a este tipo de trucos más parecidos al de los estafadores de Internet. El que los spammers utilicen enlaces ofuscados parece menos dañino que el uso que le dan los estafadores, que dirigen al usuario a sitios fraudulentos o maliciosos, pero aun así, recomendamos tener mucho cuidado al abrir estos correos que parecen oficiales y no pulsar en ninguno de sus enlaces.