Descubren una campaña masiva de correos spam personalizados porque el hacker no protegió el servidor con contraseña

Descubren una campaña masiva de correos spam personalizados porque el hacker olv
PIXABAY/CC/OVIDIUTEPES
Publicado 04/04/2019 17:12:34CET

   MADRID, 4 Abr. (Portaltic/EP) -

   Una campaña masiva de 'spam', que consiguió enviar millones de correos electrónicos personalizados afectando a 162.980 usuarios, ha sido descubierta debido a que el ciberdelincuente responsable olvidó proteger su servidor con una contraseña.

   El investigador de seguridad Bob Diachenko encontró los datos de la campaña de 'spam', y con la ayuda de TechCrunch, quien ha publicado la investigación, analizaron el servidor a través del cual se había desarrollado el ataque. Posteriormente, facilitaron el listado de cuentas afectadas a Troy Hunt, para que las incluyera en el portal Have I Been Pwned, donde se puede comprobar si han hackeado nuestros correos electrónicos.

   Mediante este ataque el 'spammer' se hizo con las direcciones de correo electrónico y las contraseñas de algunos usuarios, con lo que pudo iniciar sesión silenciosamente en sus cuentas, entrar en los correos enviados recientemente y enviar correos electrónicos personalizados a los destinatarios estos 'mails' con un enlace a un sitio falso.

   Al hacer clic en el enlace, este dirigía al destinatario a un sitio falso de la CNN para promover un remedio de salud falso, si el destinatario del correo estaba en Estados Unidos. Las víctimas ubicadas en Reino Unido eran conducidas a una página falsa de la BBC que promovía una estafa de bitcoins.

   En esta campaña se enviaron unos 5,1 millones de correos electrónicos entre los días 8 y 18 de marzo, en los que 162.980 personas accedieron al enlace, según informa TechCrunch.

   En el momento en el que Bob Diachenko encontró el servidor, la plataforma del 'spammer' ya había hecho su trabajo y este había desaparecido, según explica el medio citado, probablemente traslandándose a otro servidor, aunque el presente estaba preparado para comenzar a enviar 'spam' de nuevo. Como señalan desde TechCrunch, se pudo acceder al servidor porque el hacker no lo protegió con contraseña.

   Además, cada correo electrónico no deseado incluía un rastreador en el enlace que enviaba información al remitente, lo que le permitía al 'hacker' averiguar en qué dominio de correo electrónico(outlook.com, yahoo.com) había más posibilidades de hacer clic en un correo electrónico no deseado.

   No solo se filtró la base de datos del 'spammer', sino que también se expuso su interfaz de usuario, Kibana, cuya configuración de idioma sugirió que el atacante podría estar en Bélgica, ya que se encontraron varios otros dominios de correo no deseado que utilizaban datos recopilados por RiskIQ, una empresa de inteligencia especializada en ciberataques.

   TechCrunch ha facilitado la base de datos con los correos afectados a Have I Been Pwned, donde ya se puede comprobar cuáles han sido infectados, aunque esta base de datos solo supone el 45 por cierto de todos los correos que han podido ser invadidos.

   En declaraciones facilitadas a Europa Press, el director del Sur de Europa y Norte de África de Bitglass, Karim Bouamrane, ha señalado que "el servidor inactivo brindó a los investigadores de seguridad una oportunidad excepcional para comprender mejor el funcionamiento de las operaciones de 'spam', permitiendo a los equipos de seguridad de TI (Tecnologías de la Información) combatir de manera más efectiva a los 'spammers'"

Para leer más