Los Spammers intentan enviar sus mensajes valiéndose de ciertos trucos. Vamos a ver cómo funcionan esos trucos y cómo actualizar los filtros para que los reconozcan y sean más eficientes.
Los spammers usan principalmente un tipo de trucos. Tratan de ocultar palabras claves (tales como Viagra) de tal forma que el filtro no las vea; incluyen palabras buenas o inocentes de tal manera que los filtros las vean mientras que el lector no. De este modo los filtros creen que el mensaje es legítimo y, puesto que las URLs de sus páginas son muy a menudo indicadoras, tratan de ocultar cualquier URL usada.
Ocultaremos palabras claves
Lo primero que los spammers tratan de hacer es ocultar las palabras que califican el mensaje como spam. Usan una colección de técnicas que están diseñadas para que las palabras como Viagra sean ilegibles para el filtro de spam, aunque sean perfectamente legibles para el destinatario.
Perdido en el espacio
Los spammers usan principalmente un tipo de trucos. Tratan de ocultar palabras claves (tales como Viagra) de tal forma que el filtro no las vea; incluyen palabras buenas o inocentes de tal manera que los filtros las vean mientras que el lector no. De este modo los filtros creen que el mensaje es legítimo y, puesto que las URLs de sus páginas son muy a menudo indicadoras, tratan de ocultar cualquier URL usada.
Ocultaremos palabras claves
Lo primero que los spammers tratan de hacer es ocultar las palabras que califican el mensaje como spam. Usan una colección de técnicas que están diseñadas para que las palabras como Viagra sean ilegibles para el filtro de spam, aunque sean perfectamente legibles para el destinatario.
Perdido en el espacio
El truco más simple de todos es tomar una palabra sospechosa como Viagra y dividirla con espacios. V I A G R A
Esto engaña a filtros muy simples que buscan la palabra Viagra; naturalmente, en los más sofisticados, se puede buscar el modelo
V'I'A'G'R'A
V.I.A.G.R.A
V*I*A*G*R*A
V-I-A-G-R-A
el listado puede seguir y seguir. Desgraciadamente, para los spammers es muy fácil buscar diferentes modelos en los filtros de spam y hacer llegar su mensaje hablando de Viagra. Sin embargo, esta simple técnica no dificulta el pro blema para cualquiera que considere comprar un filtro antispam: no compres nada que tengas que actualizar con los últimos cambios; cómprate algo que tenga servicio de actualización automática. Incluso cuando estás al corriente, esta simple forma de ocultar la palabra requerirá un gran esfuerzo por tu parte.
Los spammers, por supuesto, analizan su correo tanto contra aplicaciones libres como contra aplicaciones comerciales antispam y si se dan cuenta de que este truco no funciona bien, suelen cambiar las letras de Viagra. Un correo conocido ha seguido la dirección opuesta y ha eliminado todos los espacios del mensaje, sustituyendo los espacios con letras aleatorias:
DidAyouFknowNyouMcanBget
VprescriptionVmedications
prescribedTonlineTwith
NORPRIORRPRESCRIPTIONRREQUIRED!
Esto no parece una técnica muy eficaz, puesto que el mensaje es casi ilegible.
Acento extranjero
Una rápida ojeada a la tabla ASCII revelará la presencia de un montón de vocales acentuadas, que pueden ser usadas por los spammers para tomar palabras sospechosas, y camuflarlas, sustituyendo las vocales con sus equivalentes acentuadas:
• a: à á â ã ä å,
• e: è é ê ë,
• i: ì í î ï,
• o: ò ó ô õ ö,
• u: ù ú û ü.
Tan sólo al mezclar y poner diferentes acentos a las vocales a e i los spammers disponen de 144 diferentes formas de escribir Viagra, tales como Víagra, Viågra, Vîãgrä. El lector simplemente ignorará los acentos y leerá la palabra, sin embargo, es suficiente para entorpecer el filtro antispam.
Está claro que un filtro antispam que está programado para reconocer los trucos de spam puede capturar cualquier vocal acentuada, convertirla en la vocal original y reconstruir la palabra original. Hoy día los dos trucos – éste y el anterior – son presas fáciles para los filtros antispam actuales, ya que los spammers se han especializado en HTML y en las formas inventivas para terminar en nuestras carpetas.
Juego de números
Otra forma de ocultar la palabra Viagra es usar una propiedad especial de HTML, diseñada especialmente para introducir caracteres especiales o caracteres no ingleses.
Estas entidades HTML están escritas empezando por &# y terminando con ;. Por ejemplo, para escribir el carácter acentuado francés é en HTML, tienes que introducir é, para escribir la letra griega Σ, tienes que introducir Ε.
Por supuesto, todos los caracteres, incluyendo el alfabeto inglés estándar, tienen entidades equivalentes. La letra A, por ejemplo, puede escribirse A y, por lo tanto, un spammer astuto puede reescribir la palabra entera Viagra en entidades: Viagra.
Otra vez un filtro antispam actualizado entenderá estas entidades HTML y las convertirá en la palabra original. Hay formas mucho más sofisticadas de ocultar la palabra Viagra si analizamos muy detalladamente las propiedades del formateo del HTML.
Trucos de Javascript
Como si todos estos trucos no fueran suficientes, los spammers emplean a veces Javascript para hacer sus mensajes más difíciles para descodificar.
Escritor de scripts
Cuando empleamos este método, el mensaje entero que se muestra es realmente codificado dentro de una simple variable, la cual no se descodificará hasta que el mensaje permanezca abierto. El spammer espera que el filtro no se dé cuenta de que el mensaje incluye spam y seguirá por el Javascript.
WYSI_not_WYG
Otro truco de Javascript está relacionado con ocultar las direcciones URL. Aquí la dirección real se la esconde para cambiar el texto que aparecerá en la barra de estado, cuando el ratón se mueva por el texto Click- Here. Los remitentes quedan atónitos al pensar que van a una página cuando, de hecho, están dirigidos a un lugar totalmente diferente.
Ironía final
La ironía consiste en que cuanto más trata de ocultar el spammer su mensaje,
Más fácil se lo identifica como spam y elimina. Además, ¿quién envía mensajes reales con trucos de tipo Agujero Negro, Tinta invisible o Microdot?
Publicado por: Ing. Roiman Valbuena con permiso de su autor original
John Graham-Cumming, y sacado de la revista hakin9.
John Graham-Cumming, y sacado de la revista hakin9.
No hay comentarios:
Publicar un comentario
Escriba aquí su comentario.. Gracias...