Cómo los formularios web pueden robar su información y destruir su identidad empresarial
Todos conocemos la palabra «spam» y sin discriminación alguna, todos lo odiamos mucho. Sucede cuando los remitentes envían correos electrónicos no deseados para vender productos y servicios que no queremos a un precio que no pagaremos a proveedores en los que nunca confiaremos en ellos.
Y la palabra spam nos ha proporcionado algunos términos relevantes como SPIM para spam mediante mensajería rápida; SPIT para spam a través de telefonía por Internet – llamadas automáticas y falso ayuda técnica estafas, por ejemplo; y SPEWS, que es nuestro irónico llamado al spam a través de presentaciones web electrónicas. SPEWS suele conocer dos métodos principales:
Los delincuentes utilizan funciones de publicación HTTP masiva para completar formularios de comentarios en línea en foros y blogs.
El concepto es burlar las pantallas de spam o los árbitros acosados para obtener publicidad gratuita, material promocional y respaldos falsos publicados y publicados públicamente visible al menos hasta que sean informados y eliminados.
Los delincuentes utilizan formularios de informes o interacción para enviar mensajes de phishing a su empresa.
El concepto es falsificar el sistema de manejo de formularios para que produzca un correo electrónico interno a partir de contenido proveniente del exterior, evitando así parte o la totalidad del filtrado de spam que normalmente experimentarían otros correos electrónicos externos.
El equipo ruso Dr.Web, profesionales de la seguridad cibernética en Rusia, recientemente nos recordaron a todos una tercera forma en que los delincuentes pueden usar SPEWS para hacer su trabajo sucio. Observaron correos electrónicos spam que básicamente provenían de remitentes sinceros de la empresa, pero con enlaces web envenenados en la fiesta de bienvenida.
En lugar de decir «Hola, Sr. Ducklin», como se puede imaginar en un correo electrónico sincero de una reputación responsable, dijeron algo más como »Hola, ¡DINERO PARA USTED!» pero con un corresponsal que parece legítimo.
De hecho, al profundizar en los correos electrónicos se presentó no sólo que el remitente era genuino sino también que el correo electrónico se originó en un servidor que se podría imaginar: no hubo ninguna suplantación de identidad del corresponsal. (La suplantación de identidad es cuando los delincuentes colocan intencionalmente el nombre de un virus en el campo De, por lo que, a primera vista, el correo electrónico parece provenir de un lugar en el que usted confía).
Cómo te crea problemas
Lo que sea que estén haciendo los delincuentes es suscribirse a listas de correo comerciales oficiales pero ingresando las direcciones de correo electrónico de otras personas para que las víctimas reciban un mensaje de registro, a pesar de que no se registraron ellos mismos.
Desafortunadamente, los delincuentes están dañando las funciones de seguridad incorporadas en las listas de correo (una que ha sido de rigor en la mayor parte del mundo durante algún tiempo, si no esencialmente necesaria por ley) que envía un correo electrónico de autorización único antes de activar una lista de correo suscripción.
Esta función de seguridad a menudo se conoce como doble suscripción: por lo general, no recibirá ningún correo electrónico hasta que ingrese su dirección (opción n.° 1) y luego generalmente no recibirá nada más que un mensaje de autorización hasta que responda o haga clic en un enlace en ese mensaje (optar por participar #2).
Se hace referencia a la doble suscripción para evitar que otras personas lo registren, ya sea por accidente o malevolencia, pero sí dice que alguien con acceso al formulario de registro puede utilizar una organización legítima para enviarle un correo electrónico único desde una de sus servidores genuinos.
Para un delincuente, esto parece un desafío, no sólo una idea: un servidor de correo electrónico real que puede activarse mecánica o semiautomáticamente para enviar un mensaje a la dirección de correo electrónico de cualquier otra persona. En varios escenarios, los correos electrónicos de registro no son emocionantes ni aburridos; después de todo, no quieren ser atractivos o atractivos, porque están destinados a ser simples autorizaciones de una selección que ya has hecho.
Pero algunas organizaciones no pueden resistirse a ofrecer esta deslumbrante acción de marketing incluso a las autorizaciones de sus listas de correo, llenándolas de logotipos, enlaces en los que se puede hacer clic, ofertas atractivas y todo lo demás. COSAS GENIALES QUE DISFRUTARÁS siempre y cuando realmente completes tu registro. Por lo tanto, en cada etapa hay que tener cuidado todo el tiempo.