Evolución del correo spam: Enero-junio 2007

• Tácticas técnicas
• Correo spam por categorías
• ¿Están los phishers tanteando el espacio Internet en Rusia?

Tácticas técnicas

Una vez más los elaboradores de correo spam (spammers) hicieron varios intentos para modernizar la tecnología utilizada en crear mensajes spam con adjuntos gráficos (“image spam”) durante el primer semestre de 2007. Por ejemplo, en febrero de 2007, se hicieron renovados intentos para utilizar los gráficos animados, que los spammers casi habían abandonado a fines de noviembre de 2006. Este nuevo tipo de animación difiere de versiones anteriores en que la imagen viene fragmentada, y cada fragmento está distorsionado en diferentes ángulos. Como resultado de ello, el usuario ve algo así:

A continuación aparecen dos marcos animados separados del mismo correo spam:

Los spammers también probaron suerte con otras técnicas, tales como el uso de una variedad de extrañas fuentes:

Sin embargo, estos intentos no llegaron a tener éxito y la ola de mensajes spam con gráficos adjuntos (.gif, .jpeg, etc.) empezó a decrecer. En enero, la circulación de mensajes spam gráficos llegó a un 33% de todos los mensajes spam, pero en marzo decreció al 25,7%. Esta declinación continuó hasta llegar apenas al 18,8% de todo el correo spam en el mes de junio:

La principal razón de la caída del correo spam reside en el hecho de que éste se ha hecho cada vez menos efectivo. Varios fabricantes ofrecen ahora filtros antispam que realizan un aceptable trabajo en la detección de archivos gráficos adjuntos y en el bloqueo de correo spam gráfico. A pesar de ello, los spammers no van a renunciar del todo al correo spam gráfico. Por esta razón se encuentran investigando nuevas formas de distribuir archivos gráficos a los usuarios finales, además de los formatos .gif y .jpeg. Durante el primer semestre de 2007 se evidenciaron varias técnicas nuevas para la distribución y visualización de los mensajes spam gráficos a los usuarios finales:

1. Colocar archivos gráficos en sitios gratuitos de alojamiento de páginas web, tales como imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com, etc.). El texto en estos mensajes spam incluye un vínculo a una dirección que aloja la imagen. Cuando un usuario abra el mensaje, los clientes más populares de correo electrónico descargarán automáticamente la imagen desde el URL.
2. Usar gráficos como imagen de fondo. Los archivos gráficos no se incluyen en el mensaje, sino que, una vez más, se publican en un sitio web separado. El texto del mensaje sólo contiene un URL dentro de una etiqueta “body” con el atributo “background”. En consecuencia, algunos clientes de correo electrónico pueden descargar automáticamente la imagen, y también puede suceder a través de la interfaz Internet de algunos servicios de correo electrónico.
3. Correo spam en adjuntos PDF. Este tipo de adjunto no se abrirá ni se descargará automáticamente. Para poder ver el contenido del mensaje spam, el usuario tiene que activar manualmente el adjunto.
4. Correo spam en adjuntos FDF. De alguna manera, es lo mismo que los adjuntos PDF, especialmente debido a que los usuarios sólo pueden abrir y visualizar el adjunto mediante Adobe Acrobat Reader.

En los dos primeros casos, los spammers se aseguran de que la imagen spam no sea visible en el cuerpo del mensaje. El uso de estas técnicas asegura de que no haya nada que los filtros antispam puedan analizar.

En el tercer caso, la imagen viene adjunta, pero el formato del adjunto hace que muchos sistemas de filtrado lo ignoren. Debido a ello, no se realiza un completo análisis del correo spam.

Estos nuevos desarrollos tienden a ser bastante efectivos al momento de su aparición. Sin embargo, después de varios meses, o a veces sólo semanas, los filtros antispam se reconfiguran para contrarrestar las nuevas tácticas de los spammers. Pero ni siquiera sus nuevos trucos constituyen una amenaza seria para los modernos filtros antispam. Por ejemplo, Kaspersky Anti-Spam es capaz de combatir correo spam con adjutnos PDF y FDF y de neutralizar nuevas formas de correo spam sin necesidad de realizar cambios en el software.

A continuación aparece un ejemplo de un correo spam PDF:

Este es el correo spam (el mensaje está vacío y no existe texto)…

… y he aquí lo que contiene el adjunto:

Correo spam por categorías

Durante el primer semestre de 2007 los niveles de correo spam se mantuvieron en el rango habitual del 70% – 80% de todo el tráfico de correo. La razón para este alto nivel de estabilidad radica en la naturaleza cambiante del correo spam. Cada vez más correos spam son considerados delictivos y esto hace que la forma tradicional de publicidad vaya desapareciendo. El correo spam delictivo no está regido por las leyes que controlan el mercado de la publicidad y no es muy susceptible a las fluctuaciones relacionadas con las temporadas de oferta y demanda.

El mínimo del semestre alcanzó el 62,9% y fue registrado por Kaspersky Lab el 27 de abril. El máximo semestral alcanzó el 86% y se registró el 11 de febrero y 28 de mayo.

La distribución de las principales categorías de correo spam en el primer semestre del año es como sigue:

1. Medicinas: bienes y servicios relacionados con la salud (17,3% de todo el spam).
2. Educación (13,8%)
3. Ordenadores e Internet (9,2%)
4. Fraude cibernético (8,9%)
5. Servicios de publicidad electrónica (8,3%)

<

Las medicaciones: la categoría de bienes y servicios relacionados con la salud se mantiene a la cabeza. La mayor parte de esta categoría de correo spam consiste en publicidad en inglés sobre medicaciones baratas (Viagra, Cialis, etc.). Además de las ofertas regulares en inglés de Viagra y antidepresivos, el correo spam en esta categoría también incluye ahora algunas ofertas en ruso sobre servicios y bienes relacionados con la salud, tales como vasos masajeadores, libros de autoayuda sobre cómo dejar de fumar, e inscripciones a gimnasios.

Esta categoría de correo spam se ha mantenido en constante alza desde inicios de este año y casi se duplicó durante le primer semestre de 2007, elevándose de un 11,5% en enero a un 21,4% en junio:

La categoría de educación ocupó el segundo lugar. Esta categoría consiste fundamentalmente de ofertas en ruso sobre cursos y seminarios de capacitación, así como mensajes en inglés de diversas ofertas académicas. Esta categoría representa el 13,8% del correo spam total.

La categoría de ordenadores e Internet consiguió el tercer puesto. Esta categoría está mayoritariamente compuesta de ofertas en inglés sobre software sin licencia.

Otras dos categorías se encuentra casi empatadas: fraude cibernético (8,6%) y servicios de publicidad electrónica (8,3%). Como de costumbre, los servicios de publicidad electrónica dominan una gran parte de todo el espectro de correo spam, lo que indica que los spammers siguen en busca de nuevos clientes.

La categoría de finanzas personales decayó de manera sostenida durante el primer semestre de 2007. En enero se ubicaba en el primer lugar y representaba el 13,3% de todo el correo spam, pero en febrero de este año, el correo spam de finanzas fue desplazado del primer lugar por la categoría de medicaciones.

En junio, el porcentaje de finanzas personales cayó al 3,7%. El punto más bajo para esta categoría se registró 1,1% de todo el correo spam durante los primeros diez días del mes de junio.

Este descenso tuvo lugar por varias razones:

• La demanda se saturó, y hasta los usuarios más ingenuos de Internet perdieron interés en este tipo de correo spam y dejaron de responder
• Se reconfiguraron los filtros antispam para reconocer correos spam de finanzas
• En el primer trimestre de 2007, las autoridades de los Estados Unidos y de Canadá expresaron su preocupación sobre el correo spam de finanzas y prometieron proteger a los inversionistas contra esta amenaza; lo que sin duda puso a los spammers bajo cierta presión.

¿Están los phishers tanteando el espacio Internet en Rusia?

En el primer semestre de 2007, se registraron varios intentos phishing contra servicios básicamente dirigidos a usuarios de Internet en Rusia.

Uno de esos intentos dirigido contra un banco ruso fue registrado en el primer trimestre de este año. Esto es algo poco frecuente, ya que los elaboradores de phishing (phishers) generalmente apuntan a bancos occidentales que cuenten con avanzados sistemas de banca en línea y con un gran número de clientes que usen estos sistemas. El blanco de este ataque, que ocurrió alrededor del 20 de febrero de 2007, fue el banco Alfa Bank. Los phishers recurrieron a una clásica táctica: El correo spam enviado, supuestamente en nombre de Alfa Bank, fue camuflado como un correo proveniente de la administración del banco y contenía un vínculo a un sitio phishing que falsamente aparecía como el sitio web oficial de Alfa Bank. Este sitio falsificado usaba el mismo estilo, los mismos detalles sobre el banco, el mismo texto y otras características del sitio auténtico de Alfa Bank. El sitio fraudulento solicitaba a los usuarios ingresar el nombre de su cuenta y su contraseña en un formulario virtual que luego era reenviado a los ciberdelincuentes.

En el mes de mayo, se detectó una serie de ataques al sistema de pago electrónico de Yandex Dengi. Estos ataques eran típicos: Los spammers trata de persuadir a los usuarios para que ingresaran sus datos personales en un sitio phishing a fin de poder acceder a la cuentas del sistema de pagos.

En ambos incidentes los usuarios que no llegaron a sospechar nada de lo que sucedía, arriesgaron su dinero, y quizás algunos lo perdieron.

Los ataques a compañías rusas son aún bastante inusuales. En este caso, quizás se trató de algún tipo de acción de reconocimiento, es decir, que los phishers estaban tratando de averiguar si los usuarios rusos de Internet serían potenciales víctimas y cuán populares eran los servicios de pagos en línea. Los ataques no continuaron, tal vez porque los phishers no quedaron satisfechos con lo que pescaron. Sin embargo, no hay razón para creer que los ataques phishing contra los servicios rusos en línea hayan terminado. Tras algún tiempo, los phishers pueden volver a lanzar sus redes.

Se espera que los spammers sigan experimentando con nuevas tecnologías gráficas durante el segundo semestre de 2007. Los spammers también investigan y prueban otras tecnologías. Es posible que seamos testigos del retorno de “los viejos tiempos” con intentos por resucitar viejas tácticas y tecnologías.

No hay razón para esperar graves amenazas por parte del correo spam con adjuntos PDF o FDF, puesto que este tipo de correo spam está en franco descenso, el cual continuará con el tiempo.

Los spammers ya han encontrado maneras de aplicar blancos mínimos para sus envíos masivos. Esto es particularmente cierto para todo tipo de ataques phishing (tales como el ataque a Alfa Bamk enviado a los usuarios rusos de Internet, que fue un intento que reveló una especie de geo-blancos), y fraude cibernético. Algunos mensajes spam pueden convertirse en ataques dirigidos (por ejemplo, envíos dirigidos a grupos demográficos concretos: sociales, geográficos, de edad o idioma). Sin embargo, esta es una etapa en la evolución del correo spam que requiere mucho tiempo.

La porción del correo spam en el correo total no va a cambiar de manera radical en los siguientes seis meses. Las principales categorías de correo spam arriba mencionadas posiblemente se mantengan en las primeras cinco posiciones.

Información general

1. Nuevas tácticas en correo spam: el correo spam enviado como imagen de fondo dentro de un mensaje, y mensajes spam con adjuntos PDF y FDF.
2. El mínimo semestral alcanzó el 62,9% y fue registrado el 27 de abril. El máximo semestral alcanzó el 86% y fue registrado el 11 de febrero y el 28 de mayo.
3. La mayor parte del correo spam consiste en publicidad para Viagra y otras medicaciones (17,3% de todo el correo spam).
4. Los elaboradores de phishing se interesan por Internet en Rusia: se han producido ataques contra Alfa Bank y contra Yandex Dengi.