¿Cómo obtuvieron esta dirección los spammers?

Navega tus respuestas
11

Hace unos meses configuré un servidor de correo de prueba en Amazon AWS, todos legítimos. Usé una nueva dirección en mi dominio catchall (algo similar a, pero no exactamente, [email protected]) .

Ahora he empezado a recibir correo no deseado en esa misma dirección. Es altamente improbable que un spammer haya "adivinado" esa dirección. ¿Cómo podría el spammer haber obtenido esa dirección?

Tenga en cuenta que utilicé la máquina virtual estándar de Ubuntu Server 12.04 LTS provista por Amazon. El servidor estaba en un grupo de seguridad de prueba especial (como un firewall de hardware en Amazon Web Services) que permite el acceso mundial a los puertos 25 (SMTP heredados), 80, 443, 465 (SSL SMTP) y 587 (SMTP), pero no a otros. Específicamente, los puertos 22 (SSH), 993 (SSL IMAP) y todo lo demás son accesibles solo desde la dirección IP de nuestra oficina .

Además, la computadora que se usa para enviar y recibir desde el servidor de prueba es una máquina Kubunu Linux, por lo que dudo que la máquina en sí esté infectada con malware. Todo el correo fue enviado y recibido en Thunderbird, por lo que un complemento de navegador comprometido también parece poco probable.

Supongo que el correo podría haber sido interceptado en tránsito. Aunque la mayoría de las pruebas se realizaron a través de SSL, hubo al menos dos correos electrónicos descargados a través de IMAP en el puerto 143 sin SSL. ¿Es esta la superficie de ataque más probable? ¿Estoy ignorando otras posibles superficies de ataque?

EDITAR: Agregar información para responder a los comentarios.

  1. El servidor (en realidad, la máquina virtual que se ejecuta en la nube AWS de Amazon) se creó, se probó y se retiró del servicio todo en un solo día laboral, a partir de imágenes (dispositivos virtuales) de Amazon. Me parece altamente improbable que la imagen del servidor se haya comprometido ya que uso la misma imagen en otros servidores, y es una de las imágenes de servidor Amazon más comunes (Ubuntu Server 12.04 de 64 bits).

  2. La dirección de correo electrónico nunca se expuso a través de Apache. De hecho, no recuerdo haber instalado Apache en la caja, aunque es posible que lo haya hecho. En cualquier caso, ciertamente no hice no ninguna configuración de Apache, como configurar la dirección de correo electrónico para "contact admin".

  3. El único correo electrónico enviado a través de la máquina fueron unos pocos correos electrónicos de prueba a la cuenta en cuestión desde mi cuenta de correo electrónico habitual en Thunderbird, y algunas respuestas a esos correos electrónicos (también en Thunderbird). Los correos se enviaron y recibieron a través de conexiones con seguridad SSL y no seguras (SMTP e IMAP).

pregunta dotancohen 27.01.2014 - 10:14
fuente

3 respuestas

9

Si se trata de una dirección general, no necesitan la dirección real. El punto completo de una dirección de correo electrónico de todo es que captura todo el correo que de otra manera no se podría entregar. Si tiene este conjunto de mensajes de correo electrónico de correo electró[email protected] configurado como el todo, entonces si envié un correo electrónico a [email protected], obtendría el mensaje en el buzón de correo súper secreto a menos que haya un Bob cuenta de correo electrónico.

Las direcciones de captura general generalmente no deben usarse como su dirección de correo principal. El punto de las direcciones generales es ver si las personas están tratando de comunicarse con usted por alguna otra dirección (bueno para encontrar personas que intentan conectarse a cuentas muertas, por ejemplo), sin embargo, también son inundados por los spammers que rutinariamente lo harán. direcciones de correo electrónico comunes en cualquier nombre de dominio registrado.

Si están enviando específicamente a esa dirección, es posible que su servidor de correo esté revelando la dirección de captura en la forma en que responde a los servidores que intentan enviar correo.

    
respondido por el AJ Henderson 27.01.2014 - 16:11
fuente
0

Revisaría tu estación de trabajo en busca de malware. En cualquier lugar donde esa dirección fuera un remitente o un destinatario es un candidato.

Es común que el malware en su estación de trabajo recoja las direcciones de correo electrónico en busca de correo no deseado, lo que incluye escanear documentos, libretas de direcciones, mensajes de correo guardados y monitorear el tráfico de correo.

    
respondido por el tylerl 28.01.2014 - 05:52
fuente
-2

Estas son algunas de las formas en que un spammer utiliza para extraer la dirección de correo electrónico de un usuario real:

  • Rastrear la web para el signo @ con la ayuda de la recolección programas / aplicaciones.
  • Comprar ilegalmente la dirección de correo electrónico de los proveedores de ISP a través de un correo no deseado empleados.
  • Utiliza programas de diccionario o de fuerza bruta como el que usa hackers.
  • Recopila la identificación del correo electrónico de las plataformas de registro / suscripción gratuitas.
  • Al usar virus / gusanos de puerta trasera.
  • A través de los canales sociales.

En resumen, cada una de las plataformas donde puede registrar su identificación de correo es utilizada por los spammers para recopilar la dirección de correo de empresas, usuarios, etc. Por lo tanto, se recomienda utilizar Palabras (Nombre punto Gmail Dot Com) o Imágenes para mostrar la dirección de correo electrónico. . La mayoría de los recolectores / virus o los programas creados para recopilar direcciones de correo electrónico no pueden leer estos formatos mientras buscan el signo "@". Los spammers golpean a la mayoría de los usuarios de computadoras a través de correos electrónicos no deseados y puede terminar teniendo una infección grave. Por lo tanto, es importante que los webmasters, las empresas y las pequeñas y grandes empresas electrónicas utilicen software / servicios de prevención de spam como Scrapesentry ( enlace ) , Akismet ( enlace ), Proofpoint, etc. en sus plataformas sociales / profesionales.

    
respondido por el Sharon Williams 30.01.2014 - 11:01
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la diferencia entre HSM y el servidor de claves? Cuando se usa https pero no DNSSEC, ¿en qué situación un cliente es vulnerable?