Un enlace vale más que mil palabras...

Simplemente, me hago eco de esta noticia en Internautas, que recibi via twitter de Xyborg:

http://seguridad.internautas.org/html/4347.html

¿Para qué comentar lo incomentable? Si mi banco la errara tan feo, ya estaría cerrando todas las cuentas...

"is"

Spam y Fraude de Clics todo en uno (en teoría, Marge)

Spam y Fraude de Clics todo en uno

Como siempre, revisando el spam que recibo para ver qué hay de nuevo o para intentar encontrar algo que me llame la atención, me encontré con uno que contenía básicamente un enlace como el siguiente:

http://www.google.de/pagead/iclk?sa=l&ai=XXXXXX&num=XXXXXX&adurl=XXXXXX

(Quiero destacar que obviamente, donde dice XXXXXX había otro dato pero lo reemplacé para que el enlace no funcionara)

Esto no es algo completamente nuevo (es más, creo que anda dando vueltas desde el 2006 o antes), pero es interesante el “2 por 1” que buscan los autores con este tema.

Vayamos por partes:

• Ya todos sabemos lo que es spam, así que no lo vuelvo a explicar (por las dudas, es todo ese correo basura que nos llega a nuestra casilla y que nosotros nunca solicitamos)
• El fraude de clics (o click fraud, o clickfraud) es lograr obtener más ganancias (haciendo trampa) de los servicios de publicidad que pagan por clic y que muchos de los webmasters pueden incluir en su sitio gratuitamente (más clics en la publicidad, más dinero reciben, en teoría)

Ya en otro post anterior sobre spam y google había mostrado una forma que existía (ya no, al menos no igual) para poder usar al buscador como redireccionador para llevar a otro sitio. El concepto que se aplica aquí es el mismo, pero sumando la posibilidad de hacer fraude de clics (en teoría).

Si observan la URL que puse más arriba como ejemplo, verán que pertenece a google, y el script iclk recibe los parámetros ai, num, y adurl. Los primeros dos son parte de la identificación del advertiser (para usar términos “modernos” ;-P) y el último es la dirección web de destino.

Ahora bien, esa dirección URL de destino puede ser cambiada arbitrariamente por cualquiera, es decir, que si ahora vamos a google, hacemos una búsqueda y copiamos la URL de cualquiera de los enlaces patrocinados, se podrá cambiar la url de destino en el mismo, y usar al contabilizador de clicks de Adsense/Adwords de Google como redireccionador, haciéndole gastar dinero, en teoría, al anunciante.

De esta manera, también podría usarse para enviar masivos correos de spam, con enlaces de este tipo, para que cuando la gente haga clic en el enlace, no solo vaya al destino del correo basura, sino también el responsable del spam pueda ganar dinero (si Google no penaliza su cuenta).

Es otro tipo de técnica de spam más que cumple con los objetivos que siempre se han planteado los spammers: que el usuario confie/crea/se vea motivado por el mensaje, y que a su vez, haga clic en el enlace (y quien no haría clic en un enlace de Google ;-P).

Como dije, la técnica no tiene demasiado de innovación, pero si es interesante repasarla, porque, si se me lo permite, aquí Google ha cometido un grave error de diseño: permitir que se pueda cambiar fácilmente la dirección de destino de su redireccionador de clics, al ponerla tan claramente, en texto plano, al alcance de quien quiera hacerlo.

Puede ser que Google esté filtrando este tipo de cosas de su lado, y que los clics no sean contabilizados, pero sin embargo, cualquiera puede usar esta técnica (vayan, hagan la prueba de lo fácil que es usar un enlace patrocinado como redireccionador a cualquier sitio web).

Esto podría ser fácilmente evitable con Google si en lugar de mantener la URL de destino del anuncio en texto plano, la misma estuviera almacenada en una base de datos del buscador, y que la URL solamente tuviera un id(entificador) del anuncio, que luego sirviera para obtener en los sistemas de Google la URL de destino.

Espero que mejoren esto, dado que me parece un aspecto clave de la seguridad, ya que dejan la puerta abierta a ataques de ingeniería social, usando su propio dominio como la fuente de confianza.

“is”

PD: Si alguien hace la prueba, deje un comentario, para corroborar esto y que Google no se la agarre conmigo solo ;-P

PD2: Si alguno conoce más sobre la arquitectura del enlace de AdSense/AdWords para aportar más datos a este tema, bienvenido será :-)

Sitios con estadísticas sobre spam

Las estadísticas sobre spam varían de fuente a fuente, y cada una de ellas tiene como base distintos orígenes, tales como productos específicos de filtrado, logs de múltiples servidores, etc.

Aquí les dejo una lista amplia de fuentes, casi todas ellas en inglés, sobre el tema. Siempre tomar con pinzas aquellas que tienen como fuente una compañía, pero comparando todas, se puede ver un interesante estado de situación:

1. MessageLabs
   
   El servicio muestra estadísticas sobre virus, phishing y spam. Las primeras dos no parecen tan reales, sobre todo la de virus que solamente analiza aquellos que van por correo electrónico, pero la de spam es interesante:
   
   http://www.messagelabs.co.uk/intelligence.aspx
   
   Si se ve bien, se verá que en muchos casos, esta fuente muestra que la mayor cantidad de spam se registra los fines de semana. En la semana de este post, casi el 70 % de los mensajes analizados fueron spam entre sábado y domingo, con un promedio en la semana de casi el 50 %.
2. DCC
   
   Una fuente interesante que recolecta información de alrededor de 300 servidores:
   
   http://www.dcc-servers.net/dcc/graphs/
   
   Es original el tema del spam realmente detectado contra el que posiblemente fuera spam.
   

3. Barracuda Central
   
   Otro proveedor de filtros de contenido; no prestar atención a virus (solo email):
   
   http://www.barracudacentral.com/index.cgi?p=spam
   
   Lo que si es interesante es la clasificación del spam por tema, donde se ve en esta semana el tema de las farmacias online, y los productos replica.
   

4. Spam-O-Meter
   
   Ofrecen además de estadísticas por paises y categorias, distintos widgets para verlos en tiempo real en el escritorio:
   
   http://www.junk-o-meter.com/stats/index.php
   
   País fuente de mayor spam esta semana: Estados Unidos, seguido por Corea del Sur y China.
   

5. SenderBase (de Ironport)
   
   Datos de fuentes de spam (por IP y país) en tiempo real:
   
   http://www.senderbase.org/home/detail_spam_source
   

6. Commtouch Spam Lab
   
   Este proveedor de soluciones de correo tiene estadísticas que muestran principalmente la cantidad de spam detectados, así como dominios y países:
   
   http://www.commtouch.com/Site/Resources/statistics.asp
   
   Tienen una calculadora de costo del spam.
   

7. Akismet
   
   Spam en blogs, principalmente aquellos que usan el plug-in de esta empresa para Wordpress:
   
   http://akismet.com/stats/
   

8. Marshall
   
   Otro proveedor de soluciones de filtrado de correo, que muestra porcentajes de detección, tamaño del spam y el spam en imágenes:
   
   http://www.marshal.com/trace/spam_statistics.asp
   
   El otro punto interesante es que muestra cuáles son los bots fuentes de spam principales.
   

9. SpamCop
   
   Basado en reportes recibidos de usuarios y servidores:
   
   http://www.spamcop.net/w3m?action=hoshame
   http://www.spamcop.net/spamgraph.shtml?spammonth
   http://www.spamcop.net/w3m?action=inprogress;type=www
   http://www.spamcop.net/w3m?action=inprogress
   
   Muestra gráfico de cantidad de spam y origen de los mismos.

Este es un panorama general de las principales fuentes de estadísticas de spam que nos ayuda, sumando su totalidad, a entender lo que sucede con este mal de Internet.

Espero les sirvan estos recursos.

“is”

Me sentí completamente identificado...

No me pasó nunca, pero no estoy tan lejos:



Visto en el Blog de Hispasec.

"is"

Chocolate por la noticia... Malware desde fábrica...

Al menos en mi país, cuando algo es muy pero muy obvio, se le suele decir "chocolate por la noticia" al interlocutor... Esa frase es lo primero que me vino a la cabeza cuando leí este titular recién:

> Se descubrió que los virus también pueden venir de fábrica

Respeto mucho a Canal-AR, me gusta su medio, y lo que hicieron fue tomar una noticia publicada por Associated Press, que lamentablemente, no tiene pies ni cabeza.

Si, puede pasar que un equipo electrónico de algún tipo salga infectado por un malware de fábrica, pero de no se descubrió ahora... es más viejo que Windows. Paso con unos iPod de Apple hace unos años, y también con software de HP, como por ejemplo acá:

http://www.hispasec.com/unaaldia/2781

¿Cómo no va a seguir pasando? Es lógico; la seguridad en muchas cosas no es tan prioritaria como debería, y por ende, pueden pasar estas cosas... Lástima que AP no haya chequeado el tema antes de publicar algo como eso.

"is"

El loro hacker

Estos de Google están en todo. Recomiendan no comunicar la contraseña a nadie (algo lógico), ni siquiera a tu loro (???????).

Miren que soy paranoico, pero eso me sobrepasa ampliamente.

Visto en Microsiervos.

Cambios de objetivos de los defacers

Los defacers son aquellos que realizan defacement de páginas web, lo cual es cambiar un sitio de internet a partir de una vulnerabilidad en el mismo de algún tipo (software, humana, etc).

Es una práctica común de los pseudo-hackers para mostrar de lo que son capaces, y es algo que hasta hace poco se hacia cada vez más común.

Sin embargo, Zone-H.org, un sitio cuyo objetivo es monitorear y publicar los defacements que se van dando, informa de una estadística muy interesante: en el 2007, hubo menos de lo normal.

Según informan en su página web, este tipo de ataques solía subir alrededor de un 30% de año a año, pero durante el 2007, se produjo una baja del 37 %, algo que nunca había ocurrido antes:

http://www.zone-h.org/content/view/14940/31/

Las conclusiones de los responsables del sitio son:

• Cada vez hay menos interes de los medios por este tipo de ataques, por lo que no da la fama que daba antes
• Los responsables de este tipo de ataques están cambiando a otros que les puedan dar más beneficios

Específicamente, la gente de Zone-H.org marca el descenso en los defacements realizados por los conocidos grupos brasileños.

Es otro dato más que nos muestra que quienes están detrás de los ataques informáticos están enfocándose cada vez más hacia la obtención de dinero, ya que Brasil es uno de los principales productores de troyanos bancarios y otros códigos maliciosos relacionados.

"is"