Spam de farmacias online utiliza Google Translate para camuflar enlaces sospechosos
Una de las variantes de spam que ha
persistido a través de los años, e incluso ha ido evolucionando para
evitar ser detectado por los filtros antispam, es el de las farmacias
online. No pasa una semana sin que recibamos una nueva variante ya sea
aprovechando una festividad como el día de los enamorados o la Pascua
que nos encontramos celebrando en estos momentos.
La mayoría de usuarios ya deberían estar
precavidos acerca de este tipo de correos electrónicos, pero el
continuo flujo de estos nos hace pensar que siguen siendo rentables para
los ciberdelincuentes que se esconden detrás de estas falsas farmacias
online. Veamos uno de los casos más recientes en llegar a nuestro
laboratorio que nos llamó la atención por la redirección usada en el enlace que se nos proporciona en el cuerpo del mensaje.
Si nos fijamos, el mensaje utiliza un asunto que no se corresponde con el contenido.
En el asunto se menciona la suspensión de una cuenta de Facebook
mientras que en el cuerpo del mensaje se invita al usuario a comprar
medicinas online. Muy probablemente se haya aprovechado el asunto de una
campaña de spam anterior o no se ha querido mencionar el asunto de la
farmacia para así hacer que el usuario baje la guardia y sea más
propenso a pulsar el enlace.
Lo interesante en este caso es observar
que el enlace apunta, no a un dominio extraño (al menos aparentemente)
ni a un dominio vulnerado, si no a google.com. El motivo de apuntar a
Google, y más concretamente al servicio Google Translate, es el de evitar los filtros antispam
que puedan tener instalados los usuarios domésticos o las empresas ya
que se trata de un dominio que no suele estar bloqueado en prácticamente
ninguna red.
No obstante, este enlace encierra una
trampa y es que, realmente, lo que inicialmente parece un enlace a
Google Translate, es en realidad una redirección a un enlace corto del
tipo bit.ly. Para entenderos, cualquier usuario puede pegar un enlace en
Google Translate y decir que lo traduzca a un idioma (incluyendo el
idioma original) y hacer que este servicio de Google actue como proxy.
Esta técnica se ha estado usando durante años para saltarse
restricciones en redes con filtrados de contenidos, controles parentales
o incluso el gran cortafuegos de China, y aún hoy sigue obteniendo
resultados aceptables.
Usando esta técnica los
ciberdelincuentes pueden incluir cualquier tipo de enlace tras la
petición a Google Translate, puesto que este servicio se encargará de redireccionar al usuario a la web que quiera el atacante.
En este caso se trata de una farmacia online, convenientemente decorada
con motivos de pascua, pero podría ser cualquier cosa, incluyendo un
enlace desde el que se descargase malware.
Una técnica tan sencilla como esta hace
que muchos sistemas antispam fallen y que el usuario confíe en el enlace
proporcionado por correo al ver el dominio google.com en él. Es por
ello que, si no lo hemos hecho todavía, debemos aprender a reconocer un mensaje malicioso antes de pulsar sobre cualquier enlace proporcionado, puesto que si hacemos clic sobre el mismo puede que ya sea demasiado tarde.
Nota de la redacción de Segu-Info:
Ver también:
Sobre API de Google Translate discontinuada en 2011:
- Spammers Ruin Yet Another Cool Thing
- Analysis of the Shutdown Announcements of the Google Translate API
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!