Aunque no es una novedad, hemos vuelto a ver hace algunas semanas una variante del correo spam que hace un tiempo que no observabamos. Se trata del spam «rebotado» o spam NDR del que nos hemos ocupado hace un año. Es una variante que se utiliza para intentar evitar el filtrado, sobre todo el filtrado por reputación de dirección IP.
Hemos visto que este tipo de spam sorprende a los destinatarios y genera en las organizaciones, un mayor número de consultas al sector de soporte, resultando en una mayor pérdida de tiempo y consiguiendo algo de éxito en que las víctimas visiten, en este caso, sitios promocionados mediante spam como el lamentable Canadian Pharmacy.
El receptor de este tipo de spam en una empresa suele llamar a la mesa de ayuda alarmado diciendo que nunca mandó un mensaje allí (es cierto), o también preocupado de que su PC esté infectada (no lo está). Un ejemplo del correo:
Como funciona
El spammer envía su spam a una dirección de correo «auxiliar», previamente estudiada, a una casilla llena o que no existe; otras veces a cualquier direccion de un dominio dado. En cualquier caso el objeto es que sea rechazado y se genere un correo de respuesta NDR.
NDR (Non Delivery Report) es un correo electrónico automático enviado por los sistemas de correo con la finalidad de informar al emisor sobre problemas en la entrega de sus mensajes.
El «truco» consiste en que el spammer pone como remitente del mensaje (spam) la dirección del verdadero destinatario del spam.
El sistema de correo «auxiliar», al rechazar (rebotar) el mensaje, envía un NDR al supuesto remitente y de tal manera el mensaje (spam) llega al destinatario desde un servidor de correo válido y legítimo, con lo cual tiene más posibilidades de pasar los filtros de spam.
La carga del correo, spam en este caso (*) está un poco más abajo en el supuesto mensaje que envio la víctima del spam. Allí suele haber un vínculo a un sitio web, que por curiosidad el destinatario probablemente cometerá el error de visitar.
Así, por curiosidad, muchos usuarios desprevenidos harán clic (¡error!) en el vínculo que luego los puede llevar a un sitio como el descripto para este caso (Canadian Pharmacy).
En el caso del ejemplo:
El vínculo incluído en el spam NDR:
http://dellor[ELIMINADO]rt.com/kn/ow/ <- abusado?
Redirige a:
http://bestad[ELIMINADO]ite.ru/now/ <- propiedad del spammer?
Y luego a:
Finalmente a:
El destino (air[ELIMINADO]ne.com) es un sitio Canadian Pharmacy
No solo publicidad
También se usa el spam NDR para redirigir al incauto usuario a sitios web que mediante distintas técnicas intentan infectar al visitante con algún malware de moda; generalmente para reclutar PC zombies que engrosaran las filas de una red zombie o botnet.
En el caso de organizaciones con sistema de correo propio, el administrador necesita, en el aspecto técnico, utilizar filtrado o herramientas auxiliares para combatir el problema; en el aspecto de concientización del usuario, divulgar estos temas de forma comprensible a los usuarios
