[HACK] Vanity search spam attack

merce illadeltresor at gmail.com
Thu Oct 2 12:24:16 CEST 2008


03/09/08 12:22:25


UN NUEVO TIPO DE "SPAM" EN LA WEB SE APROVECHA DE LA VANIDAD DE LA GENTE


Mercè Molist
Los "spammers" han redescubierto un truco para que la gente lea
publicidad basura en la web: aprovecharse de su vanidad. Crean un
sitio con el nombre de una persona y, cuando esta acude a ver qué se
dice de ella, topa con una página llena de anuncios. La empresa de
seguridad Beyond Security ha desvelado esta treta.

"Imagine que yo camino detrás de usted y grito su nombre. Se girará.
No podrá evitarlo", explica Aviram Jenik, director ejecutivo de
Beyond Security, para ilustrar el poder de este engaño, al que llama
"Vanity search attack" (ataque a las búsquedas por vanidad). Jenik
ha detectado unos pocos casos, experimentos según él de un nuevo
sistema que "por su efectividad, podría hacerse muy popular".

El ataque a la vanidad consiste en crear una página web con el
nombre de una persona. Los "spammers" pueden sacarlo fácilmente de
una web, un foro o, en los casos detectados, de una red social.
Después, sólo tienen que sentarse a esperar que la persona descubra
la existencia de esta página y la visite, llevada por la curiosidad.

"Mucha gente utiliza servicios como Google Alert, que las avisan por
correo o RSS cuando alguien las menciona en una web o blog. Otros
realizan regularmente búsquedas en Google con su nombre. Es cuestión
de tiempo que descubran la existencia de la página fraudulenta",
explica el CEO de Beyond Securiy. Cuando la visiten, estará llena de
publicidad basura.

Aunque en sus investigaciones Jenik sólo ha visto páginas con
"spam", no cree extraño que otras tengan virus que se instalarían en
el ordenador de la víctima, para espiar sus movimientos o dar el
control de la máquina al delincuente, algo muy en boga y que sólo
precisa que la persona visite la página con un navegador no actualizado.

El engaño, explica el experto, combina dos conocidos fallos humanos
muy explotados en ingeniería social: que a la gente le cuesta
resistirse a la curiosidad, especialmente si se refiere a su
persona, y que "la mejor forma de ganarse la confianza de alguien es
hacerle creer que ha sido él quien se ha puesto en contacto contigo
y no al revés", asegura Jenik.

Hace ya un tiempo que el "spam" está ampliando su campo de acción
del correo electrónico a la web: "Hasta ahora habíamos visto
comentarios-anuncio en blogs, bombardeos en Google de sitios de
publicidad basura y "splogs", blogs que sólo contienen "spam". Lo
absolutamente nuevo de estos ataques es el concepto: eres tú quien
hace el contacto inicial con el "spammer". Es un giro muy
interesante", afirma el experto.

Las ventajas para el "spammer" son diversas: por una parte, en la
web puede usar palabras como "Viagra", que en los envíos por correo
electrónico son bloqueadas por los filtros "antispam". Además, no es
necesario conseguir la dirección de correo de la persona, lo que
reduce costes porque no hay que comprar listas de direcciones. El
"spammer" también se ahorra pagar el envío de millones de correos.

"Desde el punto de vista del atacante, el coste es muy pequeño,
incluso más que enviar la publicidad por correo", asegura Jenik. El
único problema es dónde alojar las webs fraudulentas para que la
policía no pueda seguir el rastro al delincuente. Y que las páginas
no estén siempre en el mismo alojamiento, para evitar que este
figure en las listas negras.

La solución, explica Jenik, es alojarlas en ordenadores zombi,
ordenadores personales infectados y controlados remotamente sin que
sus propietarios lo sepan, porque es muy difícil rastrear quién está
detrás de un zombi. El problema es que son muy inestables, ya que si
el propietario descubre la infección y la soluciona, el ordenador
deja de estar en manos de los delincuentes.

"Usar zombies tiene el riesgo de que la página puede desaparecer muy
rápido, algo malo para este tipo de ataque, donde a veces hay que
esperar semanas o meses para que la víctima potencial descubra que
hay una web con su nombre y, cuando la visite, puede haber
desaparecido", explica Jenik. Pero se corre un riesgo mayor cuando
se manda "spam" por correo y un filtro lo bloquea.

Además, afirma Jenik, este ataque permite "recoger información
adicional de los visitantes, como la versión de su navegador, su
dirección de Internet o el nombre correcto que están buscando". Si
el visitante es muy vanidoso o curioso, "puede pasar un buen rato en
la web fraudulenta, pinchando enlaces y viendo más y más publicidad,
al intentar dilucidar qué conexión tiene todo esto con él".



Vanity Search Attacks
http://blogs.securiteam.com/index.php/archives/1127



Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.







More information about the hacking mailing list