4 abr 2013

Spam de farmacias online utiliza Google Translate para camuflar enlaces sospechosos

Una de las variantes de spam que ha persistido a través de los años, e incluso ha ido evolucionando para evitar ser detectado por los filtros antispam, es el de las farmacias online. No pasa una semana sin que recibamos una nueva variante ya sea aprovechando una festividad como el día de los enamorados o la Pascua que nos encontramos celebrando en estos momentos.

La mayoría de usuarios ya deberían estar precavidos acerca de este tipo de correos electrónicos, pero el continuo flujo de estos nos hace pensar que siguen siendo rentables para los ciberdelincuentes que se esconden detrás de estas falsas farmacias online. Veamos uno de los casos más recientes en llegar a nuestro laboratorio que nos llamó la atención por la redirección usada en el enlace que se nos proporciona en el cuerpo del mensaje.

Si nos fijamos, el mensaje utiliza un asunto que no se corresponde con el contenido. En el asunto se menciona la suspensión de una cuenta de Facebook mientras que en el cuerpo del mensaje se invita al usuario a comprar medicinas online. Muy probablemente se haya aprovechado el asunto de una campaña de spam anterior o no se ha querido mencionar el asunto de la farmacia para así hacer que el usuario baje la guardia y sea más propenso a pulsar el enlace.

Lo interesante en este caso es observar que el enlace apunta, no a un dominio extraño (al menos aparentemente) ni a un dominio vulnerado, si no a google.com. El motivo de apuntar a Google, y más concretamente al servicio Google Translate, es el de evitar los filtros antispam que puedan tener instalados los usuarios domésticos o las empresas ya que se trata de un dominio que no suele estar bloqueado en prácticamente ninguna red.

No obstante, este enlace encierra una trampa y es que, realmente, lo que inicialmente parece un enlace a Google Translate, es en realidad una redirección a un enlace corto del tipo bit.ly. Para entenderos, cualquier usuario puede pegar un enlace en Google Translate y decir que lo traduzca a un idioma (incluyendo el idioma original) y hacer que este servicio de Google actue como proxy. Esta técnica se ha estado usando durante años para saltarse restricciones en redes con filtrados de contenidos, controles parentales o incluso el gran cortafuegos de China, y aún hoy sigue obteniendo resultados aceptables.

Usando esta técnica los ciberdelincuentes pueden incluir cualquier tipo de enlace tras la petición a Google Translate, puesto que este servicio se encargará de redireccionar al usuario a la web que quiera el atacante. En este caso se trata de una farmacia online, convenientemente decorada con motivos de pascua, pero podría ser cualquier cosa, incluyendo un enlace desde el que se descargase malware.
Una técnica tan sencilla como esta hace que muchos sistemas antispam fallen y que el usuario confíe en el enlace proporcionado por correo al ver el dominio google.com en él. Es por ello que, si no lo hemos hecho todavía, debemos aprender a reconocer un mensaje malicioso antes de pulsar sobre cualquier enlace proporcionado, puesto que si hacemos clic sobre el mismo puede que ya sea demasiado tarde.

Nota de la redacción de Segu-Info:
Ver también:
Sobre API de Google Translate discontinuada en 2011:
Autor: Josep Albors
Fuente: Laboratorio Ontinet.com

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!