Spam y troyanos

Por otro lado desde Hispasec venimos observando, cada vez con más frecuencia, el uso del spam para la distribución de troyanos y dialers.

El spam, el correo basura o envío masivo e indiscriminado de mensajes no deseados, es sin duda la plaga del momento en Internet. Si los virus y gusanos informáticos nos suelen llegar de vez en cuando a nuestro buzón, el chorreo de mensajes no deseados es constante, llegando en algunas ocasiones a superar en número a los e-mails legítimos que recibimos.

¿Soluciones? No existen. Sí, ya sé que hay multitud de servicios y programas antispam, tanto a nivel de servidores de correo como clientes, y que día a día se optimizan las técnicas basadas en filtros bayesianos, listas negras, filtros basados en aprendizajes de patrones, etc, etc.

De manera independiente al conjunto de técnicas empleadas, al final todo se reduce a analizar cada uno de los mensajes que nos llega para decidir si es spam o no. Vamos a ser optimistas, supongamos que nuestro sistema tiene una fiabilidad del 99,xx%. El hecho de que se nos cuele algún mensaje no deseado será anecdótico, recibir uno de cada 100 mensajes basura ya es todo un alivio.

El problema es que estás técnicas que consiguen porcentajes tan elevados de acierto tienen fallos, tanto de falsos negativos como positivos. Es decir, al igual que de vez en cuando puede colarse algún mensaje basura, también puede marcar como spam un mensaje legítimo. Llegados a este punto la pregunta es ¿quién se puede permitir el lujo de perder e-mails legítimos? tal vez el mensaje de un cliente que solicita nuestros servicios, o una declaración de amor. Sería desastroso para nuestros intereses perder cualquiera de ellos.

Como son muchos los que no están dispuestos a la posibilidad de perder mensajes más o menos importantes, legítimos en cualquier caso, utilizan los programas antispam conjuntamente con reglas de correo, de forma que los mensajes marcados como spam son también recibidos y automáticamente almacenados en una carpeta independiente. La supuesta ventaja es que no te llega a la carpeta principal la mayoría del correo no deseado, el inconveniente es que, aunque en parte lo facilita, de forma regular tienes que revisar la carpeta de spam para verificar que no se ha colado ningún mensaje legítimo y eliminar el resto. En definitiva, poco se ha avanzado, si al final seguimos recibiendo el spam y revisándolo.

Troyanos spammers

Cuando se detecta un spam masivo es muy común que se denuncie el caso al responsable del servidor de correo o ISP desde el que se ha detectado el envío. El administrador del servidor o servicio puede entonces tomar medidas al respecto, bien llamando la atención al infractor, bien denegándole el servicio directamente para que no pueda volver a utilizar su infraestructura para realizar el spam.

Para evitar ser detectados, los spammers suelen recurrir a servidores de correo que permiten relay, es decir, que se encuentran mal configurados y permiten que cualquier usuario, aun sin tener cuenta en el sistema, pueda enviar correo a través de ellos.

Una de las técnicas anti-spam existentes consiste en mantener listas negras de dominios que, bien permiten relay, bien se ha detectado que suelen ser utilizados para enviar spam, de forma que los servidores de correo no admiten ningún mensaje que provenga de algunos de los servidores de la lista negra.

Como comentaba al inicio, se ha detectado el uso de troyanos que tienen como fin el envío de spam desde los sistemas infectados. Al realizarse el envío de forma distribuida entre múltiples sistemas es mucho más complicado identificar todos los puntos de envío para introducirlos en las listas negras. Aun cuando se hiciera, el principal perjudicado, al aparecer en las listas negras, sería el usuario infectado por el troyano.

Spam de troyanos y dialers

Otra modalidad en boga es el uso del spam para distribuir troyanos y dialers, estos últimos tienen como fin realizar llamadas a números de tarificación especial (906 o similares). Los mensajes suelen tener reclamos erótico/pornográficos, solicitando la ejecución del archivo adjunto para poder acceder a dichos contenidos.

En la mayoría de los casos que hemos detectado desde Hispasec, los archivos adjuntos suelen estar comprimidos (.zip), por lo que pasan a través de los servidores de correo que mantienen filtros de contenidos basados en extensiones de archivos potencialmente peligrosas (.exe, .com, .pif, .scr, etc.).

Como siempre recordamos la regla de oro: no abrir o ejecutar archivos adjuntos no solicitados, aunque provengan de remites confiables. Ante la duda, más vale prevenir y pedir confirmación al remitente antes de abrir el adjunto. Con respecto al spam, paciencia. Hay muchas iniciativas en marcha, y no menos servicios y productos, pero es un terreno que se encuentra aun en pañales.