Phishing farmaceútico

0

Los anuncios de medicamentos para mejorar la vida sexual de los hombres están muy presentes en las campañas de Spam. Al igual que otros correos no solicitados, los de esta naturaleza han evolucionado con el tiempo y, hoy día, ya no contienen promesas milagrosas de mejora en la potencia sexual acompañados de un enlace en el que nos venden píldoras. En Agosto y Septiembre hemos podido comprobar una serie de nuevas campañas que emplean los nombres de compañías muy reconocibles (similares a los típicos intentos de phishing) Sin embargo, en lugar de un sitio web dedicado al phishing los enlaces llevan a un anuncio sobre “medicación para hombres”.

Todos estos mensajes contenidos en el mailing fueron diseñados para que parezca que provienen de FedEx, Google, Twitter, Yahoo y otras populares compañías o servicios. Uno de estos nombres era usado, normalmente, en el campo “De” de los mensajes. El cuerpo del mensaje se asemejaba al de las comunicaciones oficiales de estas empresas, incluyendo logotipos y firmas de empleados ficticios. Todo esto diseñado para convencer al usuario de que el email es genuino. Sin embargo, un usuario atento comprobará rápidamente que es cualquier cosa menos original y que ha sido generado automáticamente. Existen varias características en el mensaje que lo asemejan a un envío masivo de emails.

Los spammers acostumbran a emplear diversos pretextos para conseguir que hagamos click sobre un enlace. Por ejemplo, algunos emails imitan mensajes legítimos que informan sobre “error en envío de mensaje” (el típico undelivered) imitan emails de confirmación de registro, borrado de emails no leídos, etc. Los mensajes son muy cortos de forma intencionada, atrayendo al usuario al “enlace” para conseguir toda la información. Sin embargo el enlace nos lleva directos a un sitio web de spam farmaceutico.

Principales marcas comerciales implicadas en el spam

Otras variantes incluyeron recordatorios sobre nuevos mensajes o notificaciones. La fecha de recepción era mostrada en el cuerpo del mensaje, mientras que el campo “Ver mensajes” contenía un enlace oculto que nos llevaba directos a la “venta de pastillas”.

Notificaciones o recordatorios de firmas comerciales

En algunos “mailings” los spammers usaron también diferentes diseños de colores -colores brillantes para los enlaces y nombres de empresa-. El asunto de los mensajes era bastante común y nos informaba sobre mensajes recibidos, la necesidad de activar una cuenta y similar.

Mensajes pendientes de leer con enlace camuflado

A principios de Agosto detectamos un envío masivo de emails similar a los anteriormente descritos, pero más sofisticados. El mensaje estaba redactado, supuestamente, por la misma Google y se pretendía que se asemejase a una notificación automática de un servicio llamado “Google Message Center”. El campo del emisor estaba localizado (supuestamente) en el dominio google.com, un truco muy de moda ahora para engañar a los usuarios. El mensaje del emisor malicioso les notificaba de un nuevo correo electrónico supuestamente enviado a su dirección. Se proporcionaba, evidentemente, un enlace. En una maniobra para burlar los filtros anti-spam, los creadores cambiaron la codificación de un par de letras en los enlaces al tipo ASCII. Por ejemplo, la letra “s” se convirtió en el número 73. Los spammers también emplearon el servicio de Google Translate para disfrazar el enlace real -un truco popular que, junto al campo del mensaje y otra clase de “ruido”, puede ser efectivo-. Sin embargo, el receptor necesita solamente situar el cursor sobre el enlace para que su verdadera naturaleza se revele:

Supuesto Centro de Mensajes de Google

La URL de salida de este correo también lleva a un sitio web de anuncios de bienes farmaceuticos. Empleando estas técnicas, los spammers consiguen que el mismo enlace sea “único” para cada mensaje, porque cada vez se codifican diferentes letras al formato ASCII.

Parece ser que la mayoría de usuarios no se lo piensan a la hora de abrir mensajes sobre tradicionales temas “farmaceuticos”. Es por eso que los spammers han adoptado ciertos trucos  asociados a los “phishers”. Mientras los enlaces ofuscados empleados por spammers pueden parecer menos dañinos que las acciones de sus homólogos phishers (que llevan al usuario a webs fraudulentas o les infectan con archivos nocivos) seguimos recomendando ser muy precavidos a la hora de abrir cualquier mensaje que parezca “oficial” y no hacer click en los enlaces contenidos si no estamos 100% seguros.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR