Hoy me encontré con un enlace spam que simulaba ser una foto de Facebook (http://bit.ly/facebook_photo_*****.jpg), lo interesante del caso es la cantidad de personas que le hicieron clic y la técnica de camuflaje utilizada. Se estuvo propagando principalmente por e-mail, mensajería instantánea y Facebook, estos son los números:
El uso de acortadores para ocultar enlaces es una práctica habitual de los spammers, pero en este caso utilizaron dos servicios, como se puede ver en la siguiente captura, el destino real del enlace spam es otro enlace corto:
Este segundo enlace es el que redirecciona hacia la descarga maliciosa, para el usuario es lo mismo ya que ocurre de forma instantánea.
La mayoría de los filtros antispam tienen la capacidad de leer el destino real de los enlaces cortos, al menos de los servicios más conocidos (bit.ly, tinyurl.com, goo.gl, etc) pero cuando se usan dos enlaces cortos como en este caso algunos pierden efectividad.
El siguiente es un ejemplo de lo que sucede con el complemento WOT. En la captura se pueden ver 3 enlaces cortos que apuntan a un sitio con baja reputación:
Los dos primeros enlaces se marcan como peligrosos, esto es correcto pues el destino de ambos es un sitio no confiable. Sin embargo el tercer enlace cuyo destino final es el mismo que los anteriores, se marca como seguro (circulo verde).
– Tinyurl + sitio spam = detectado
– Bit.ly + sitio spam = detectado
– Bit.ly + Tinyurl + sitio spam = no detectado
Esto sucede porque WOT sigue el primer enlace pero no el segundo, lo que está considerando como seguro es el dominio tinyurl.com. Fallas de detección parecidas ocurren con otros filtros y complementos, el problema es aún mayor dada la cantidad de servicios que existen para acortar enlaces y la facilidad con la que se pueden crear.