¿Cuál es el propósito de estos correos electrónicos extraños que no son spam?

68

Un correo lo hizo a través del filtro de spam y me pregunto cuál es el propósito. No es spam. ¿Rastreo? ¿Pero cómo? ¿Quien? ¿y por qué? En el código fuente hay pasajes extraños como ...

= EA = 85 = 9F = EA = 8F = 92

¿a quién beneficia cómo? No hay enlaces a nada más en este correo electrónico.

Delivered-To:my@email.comReceived:by10.28.158.140withSMTPidh134csp1731559wme;Mon,3Aug201504:22:13-0700(PDT)X-Received:by10.55.41.195withSMTPidp64mr24023265qkp.5.1438600933481;Mon,03Aug201504:22:13-0700(PDT)Return-Path:<donallsutherland@yahoo.com>Received:fromnm38-vm9.bullet.mail.bf1.yahoo.com(nm38-vm9.bullet.mail.bf1.yahoo.com.[72.30.239.25])bymx.google.comwithESMTPSidj34si16595518qkh.82.2015.08.03.04.22.12for<my@email.com>(version=TLSv1cipher=ECDHE-RSA-RC4-SHAbits=128/128);Mon,03Aug201504:22:13-0700(PDT)Received-SPF:pass(google.com:domainofdonallsutherland@yahoo.comdesignates72.30.239.25aspermittedsender)client-ip=72.30.239.25;Authentication-Results:mx.google.com;spf=pass(google.com:domainofdonallsutherland@yahoo.comdesignates72.30.239.25aspermittedsender)smtp.mail=donallsutherland@yahoo.com;dkim=passheader.i=@yahoo.com;dmarc=pass(p=REJECTdis=NONE)header.from=yahoo.comDKIM-Signature:v=1;a=rsa-sha256;c=relaxed/relaxed;d=yahoo.com;s=s2048;t=1438600932;bh=2Le9dnlRHEHV2DHi6g9XBTAZHFuEvLsr8SjC/C2a2+Y=;h=Date:From:Reply-To:To:Subject:From:Subject;b=ab5c6U0O35AE1JHNL7n1OB10kVvCjIPh5ilkWw5ct2nWs6w4b9CSkyaBQKibdqI3gbQB+NQo8/FINRQMjloHxunlRa91MRWQEZ48S3EUOH65D4b7tVMyfs4pB+VSJb/8ohLwDFs0nFS5V9S55M1DD3o+WqLOkwb49ijxE8J9enDY8jtLWaJ7RZ794nZcvRH3a3Y4r31Y3zahRUVmKQKc2vvPDOrEbncmu2PEJOhcJEELTQcc1MXtaVWHzspmyPZBuBVzvd4cvvYStguk7p5UL9kvyLWG3ZyhaPyDGfbt0egQcFropcb6Xw3ttdikVlC7YYVipZUgzp/IzajFZks6jw==Received:from[66.196.81.170]bynm38.bullet.mail.bf1.yahoo.comwithNNFMP;03Aug201511:22:12-0000Received:from[98.139.212.241]bytm16.bullet.mail.bf1.yahoo.comwithNNFMP;03Aug201511:22:12-0000Received:from[127.0.0.1]byomp1050.mail.bf1.yahoo.comwithNNFMP;03Aug201511:22:12-0000X-Yahoo-Newman-Property:ymail-3X-Yahoo-Newman-Id:627932.61631.bm@omp1050.mail.bf1.yahoo.comX-YMail-OSG:V0Jf1mgVM1nboRi87_16P3wYo7hVU_Wr4wYa8QonNjb6jD1sZDPz1QMe5617lEj.KTslKteP6Aay2J5FC1JdWzUFlVlqBbvFsFsuumiJcZNTt05csrlKh1v3H5Gzb0ArIimMooZB3WFV4xucEAi6v6l.Dx4G6r66fHLgmvW_3nukrV5HBBj49nHgUkd6ZWNWvVJ..pnsjI3WTLyo_B3PKTCtvyVuliPBVKPv4oDLkFbiAcS6czdirjBw04SDlyXyz6zVVvgyrFQx8Jxu7Z0yEfA18KRNWlrn4kdOzgpri8uHm.hdcj.DYlF5lVANlBACmDfsboQOL9Ma69nsNeWvRGVoDrxYGsXCfOT13yAfXLLdf_cKwEOEIXQcfnWY5tWHHqhLPaEJM36vGb7PrSVPjbGFvuGxO.a66wkphgI_Gn3rcXkXGBluiVveg5O_KFt15xpsEM1nd7kvyyBo2M2GJn_A_GuD_0KNoPKrk8Gtorh9Z7TdSW.0WtU80P8m6vsRydyp2u97H14-Received:by76.13.27.197;Mon,03Aug201511:22:12+0000Date:Mon,3Aug201511:22:11+0000(UTC)From:Shawn<donallsutherland@yahoo.com>Reply-To:Shawn<lvizzhgyrbpjoyce@yahoo.com>To:<removedtoprotectprivacy>Message-ID:<16559779.120231.1438600931851.JavaMail.yahoo@mail.yahoo.com>Subject:fdihkesdhlffljrksdjssldhfvkljdelsfkahMIME-Version:1.0Content-Type:multipart/alternative;boundary="----=_Part_120230_1658237110.1438600931848"
Content-Length: 1531

------=_Part_120230_1658237110.1438600931848
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

dolomite fiddle armpits moribunditygNIt's=EA=85=9FShawn=EA=80=BCby=EA=8F=92=
the=EA=87=91way.famished nonsalaried artichokes deadlockingAaI'm=EA=87=8Bex=
cited=EA=8D=BEabout=EA=91=8Fyour=EA=89=AFanswer))symbiotes perspire
------=_Part_120230_1658237110.1438600931848
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<html><body><div style=3D"background-color:#ccdd15;display:block;color:#ccd=
d15;"><div style=3D"font-family: Unfeignedly, Gascony, Pancakes;font-size:5=
px;">dolomite fiddle armpits moribundity<div>gN<div style=3D"font-size:20px=
;color:#455e81;display:inline-block">It's</div>=EA=85=9F<strong style=3D"fo=
nt:20px normal;color:#455e81">Shawn</strong>=EA=80=BC<div style=3D"color:#4=
55e81;font-size:20px;display:inline-block">by</div>=EA=8F=92<em style=3D"fo=
nt:20px normal;color:#455e81">the</em>=EA=87=91<em style=3D"font:20px norma=
l;color:#455e81">way.</em></div>famished nonsalaried artichokes deadlocking=
<div>Aa<i style=3D"color:#455e81;font:20px normal">I'm</i>=EA=87=8B<span st=
yle=3D"color:#455e81;font-size:20px">excited</span>=EA=8D=BE<big style=3D"f=
ont-size:20px;color:#455e81">about</big>=EA=91=8F<strong style=3D"font:20px=
 normal;color:#455e81">your</strong>=EA=89=AF<i style=3D"color:#455e81;font=
:20px normal">answer))</i></div>symbiotes perspire</div></div></body></html=
>
------=_Part_120230_1658237110.1438600931848--
    
pregunta puhubear 03.08.2015 - 19:18
fuente

2 respuestas

123

Este es spam, pero posiblemente el spammer no fue muy bueno en el spamming.

Los bits '= EA' son Quoted-Printable , una codificación de bytes en caracteres ASCII. '= EA = 85 = 9F' significa, por lo tanto, bytes de valores 0xEA, 0x85 y 0x9F, en ese orden; esta es la codificación UTF-8 para 'ꅟ' (es U + A15F YI SYLLABLE NDEX, uno de los símbolos de secuencia de comandos Yi ). Quienquiera que haya enviado ese correo electrónico espera que su software de lectura de correo no incluya una fuente Yi y, por lo tanto, muestre el carácter como un espacio.

El objetivo de usar tales símbolos es tratar de confundir los filtros antispam: el filtro puede intentar reaccionar con la frase "Es xxx por cierto" (para nombres aleatorios en lugar de "xxx"); los caracteres adicionales pueden hacer que este filtro falle. Lo más probable es que el spam, que se envía por un millón, use caracteres aleatorios de conjuntos inusuales (como los glifos de Yi). Las palabras aleatorias ("violín", "axilas" ...) tienen el mismo propósito: evadir la detección, especialmente por filtros de spam bayesianos . Tenga en cuenta que las palabras adicionales están "ocultas" en la vista HTML, al mostrarse con una fuente muy pequeña y con el mismo color que el fondo.

Todo esto es muy spam, y dado que su filtro de spam permite que fluya el correo, entonces el spammer realmente ganó esta ronda: sus maniobras evasivas funcionaron y su filtro de spam fue derrotado.

Ahora, ¿cuál puede ser el punto de todo esto? El punto del spam es provocar alguna reacción del spammee. Esto puede ser "hacer clic en un enlace", pero también podría ser "enviar un correo electrónico en respuesta". Puedo hacer varias conjeturas:

  • Se ha señalado (por ejemplo, en este estudio ) que el modelo de negocios de la mayoría de los spammers requiere Localización de personas estúpidas. Para el spammer, el envío de millones de spam cuesta casi nada; sin embargo, cuando un spammee responde, un agente humano del spammer debe leer y responder, y las cosas se vuelven muy caras para el spammer. Por lo tanto, lo que realmente quiere el spammer es que las pocas personas que realmente se enganchen al spam inicial estarán listas para creer las historias más fantasmagóricas.

    A lo largo de esa hipótesis, el correo no deseado que recibiste podría ser una forma de encontrar a las personas que son lo suficientemente tontas como para creer que el remitente realmente se llama Shawn, y están listos para hablar con Shawn.

  • Los spammers son (técnicamente) seres humanos, con todos los defectos que esto conlleva. El spammer usa una herramienta de spam, pero puede ser malo al usarla. A menudo recibo mensajes de spam que me saludan como "Hello% RANDUSER", un evento que solo puede ser explicado por un spammer que debería leer la documentación de su herramienta de spam.

respondido por el Tom Leek 03.08.2015 - 20:00
fuente
22

Este correo electrónico es definitivamente correo no deseado (a menos que conozca al remitente y / o solicite este correo). Esas cadenas extrañas son técnicas de ofuscación, que son un signo revelador de spam. Vea la respuesta de Tom Leek para más información sobre eso.

Hay tres explicaciones posibles para este correo electrónico:

  1. Es un intento de hacer que respondas; los hilos construyen confianza psicológica y pueden crear estafas mejor
  2. Es un intento de desordenar sus filtros (por ejemplo, envenenamiento bayesiano ... que no funciona)
  3. El spammer desordenado y olvidó la carga útil

Me estoy apoyando en que sea el # 1 y el # 2.

(¡Buenas fuentes allí! font-family: Unfeignedly, Gascony, Pancakes , excelente forraje para un buen tokenizer Bayesiano para recoger).

    
respondido por el Adam Katz 03.08.2015 - 22:17
fuente

Lea otras preguntas en las etiquetas