martes, 14 de junio de 2016

Vestidos y con la casa arreglada. SPAM en comentarios (2)

Sigamos la historia por donde la dejamos la última vez. Teníamos los datos de los logs de SPAM en una hoja de cálculo.

Había un primer trabajo a realizar: obtener las IP de los dominios promocionados. Y también las de los equipos desde los que se había intentado publicar los comentarios, puesto que algunos venían dados como nombres de host. Así que dejé un par de minutos corriendo un script que eliminara duplicados y, a base de nslookup, me hiciera el trabajo.

Alguna cosa curiosa hubo. Como nombres de equipo que, pese a lo reciente de los logs, no eran resueltos por los DNS.

A veces, este tipo de resultados no son concluyentes. Por ejemplo, hay veces que los DNS de un país no responden a ciertas peticiones, como ya vimos cuando hablábamos de la información personal que puede haber suelta en Internet sin que sus titulares hayan hecho nada. Quizá resultado de sentencias judiciales o resoluciones administrativas. Quizá "trucos" para pasar desapercibidos. Quizá... 

O, sencillamente, porque los DNS no resuelven ese nombre y ya está.

Lo bueno es que mis DNS puede que no sepan la IP que tenía ese equipo, Pero Google sí:

Y, curiosidades de la vida, ahora que sabemos la IP podemos hacer una petición de resolución inversa y...

¡Ahora sí! Pero no fue éste el único resultado llamativo. Otro me hablaba de cómo se había conectado el spammer:

Como era de esperar, había utilizado un proxy para evitar revelar su verdadera IP. Y buena parte de las direcciones eran eso: proxies o nodos de salida de la red Tor.


Una dirección tuvo, sin embargo, una historia diferente. Whatismyipaddress.com no decía que fuera ningún mecanismo de anonimato. Y cuando pregunté a Google qué sabía de ella, uno de los resultados me dio un nombre de equipo distinto al que había encontrado en los logs...

En realidad, más de uno:

Una IP con varios nombres es más típico de un servidor que de un cliente. Así que probé a poner estos nombres de equipo en la barra de direcciones de mi navegador. 

El comportamiento del que fui testigo da que pensar. Uno ve como su navegador es redirigido varias veces y termina en páginas que en muchas ocasiones parecen encuestas o sorteos, como ésta en que se utiliza la imagen y el nombre de Facebook, a pesar del nombre real del dominio, y también la marca Apple:

Y debo ser un tipo afortunado. Eran cuatro preguntas facilonas y cuando terminé de responder la encuesta me dijo que podía ser premiado con un IPhone y cuando pulsé el botón de ir a por mi premio fui redirigido a una página de sorteos:



Una historia similar, con el mismo protagonista final puede leerse en un artículo de la Oficina de Seguridad del Internauta del INCIBE (antiguo INTECO)

En principio, éste último al que llegué parece simplemente una web donde participas en el sorteo a cambio de darles tus datos y permitir que ellos se los pasen a otras empresas. Más de 60, según el listado al que se accede haciendo clic en el enlace "Patrocinadores". Y además das tu permiso para que te manden publicidad.

Por otro lado, está claro que se promocionan mediante gente que tiene unas prácticas al menos cuestionables. Y algo tendrán en mente cuando en sus "términos y condiciones" dicen algo al respecto:


Antes de dejar este dominio atrás y pasar a otra cosa, usé Whoisology, una herramienta de consulta de Whois que te permite navegar por los datos. La información que proporciona no siempre es tan completa como uno deseara, pero a veces te permite enterarte de cosas interesantes. Como que hay más dominios registrados con la misma dirección de correo electrónico.


Antes se vio como esta IP usada para enviar SPAM tenía asociadoes varios nombres de dominio. Yo sólo había probado uno de ellos. Cuando lo intenté con el resto tuve un resultado similar. Lo único que cambiaba era el sitio al que terminaba siendo redirigido.

Además, si uno tomaba uno de estos dominios y lo visitaba en repetidas ocasiones, cada vez iba siendo redirigido a un sitio distinto. En algún caso a dominios que huelen mal. Como uno cuyo nombre parece querer engañar a la gente y hacerse pasar por una página de Apple:

He puesto sólo unos cuantos. Hay más. Pero a base de probar los vas viendo todos. Y cuando ya no les queda sitio nuevo dónde mandarte... ¡te intentan vender el dominio! Desde luego, parecen tener claro que no quieren enviar dos veces la misma persona a sus clientes.



(continuará)




No hay comentarios:

Publicar un comentario