Como formulários da Web podem roubar largura de banda e prejudicar sua marca
Spamming é uma palavra que todos nós conhecemos e uma atividade que todos nós detestamos – é quando os vigaristas divulgam e-mails indesejados de produtos que não queremos por um preço que não pagamos de fornecedores nos quais nunca confiamos.
E a palavra spam nos deu termos relacionados, tais como SPIM para spam via mensagens instantâneas; SPIT para spam via telefonia via internet – robocalls e falsos golpes de suporte técnico, por exemplo; e SPEWS, que é o nome para spam por meio de envios eletrônicos na web.
Os SPEWS costumam ter duas maneiras principais:
- Os trapaceiros usam ferramentas de postagem HTTP em massa para preencher formulários de comentários on-line em fóruns e blogs. A ideia é passar por filtros de spam ou moderadores apressados para obter anúncios gratuitos, falsificações promocionais e falsos endossos publicados e publicamente visíveis, pelo menos até que sejam denunciados e removidos.
- Os trapaceiros usam relatórios ou formulários de contato para enviar mensagens falsas para sua organização. A ideia é enganar o sistema de processamento de formulários para gerar um e-mail interno do conteúdo que veio de fora, evitando assim alguns ou todos os filtros de spam que os e-mails externos normalmente enfrentariam.
Pesquisadores russos de segurança cibernética, todos da equipe russa Dr.Web, recentemente nos lembraram de uma terceira forma que os vigaristas podem usar o SPEWS para fazer seu trabalho sujo.
Eles notaram e-mails de spamtrap que realmente vieram de remetentes corporativos genuínos, mas com links envenenados na parte de saudação.
Em vez de dizer “Oi, Sr. Ricardo” como você poderia esperar de um e-mail genuíno de uma marca confiável, eles disseram algo mais ao longo das linhas de Oi, DINHEIRO PARA VOCÊ! [weblink aqui], mas com um remetente legítimo.
De fato, investigar os e-mails mostrou não apenas que o remetente era legítimo, mas também que o e-mail era originário de um servidor que você esperava – não havia falsificação de remetente em andamento.
(Spoofing é onde os bandidos deliberadamente colocam um nome falso no campo “De:”, então, à primeira vista, o e-mail parece vir de algum lugar em que você confia.)
Como funciona
O que os trapaceiros estão fazendo é se inscrever nas listas de e-mails corporativas oficiais, mas colocar os endereços de e-mail de outras pessoas para que as vítimas recebam uma mensagem de inscrição, mesmo que não tenham se inscrito.
Ironicamente, os trapaceiros estão abusando de um recurso de segurança da lista de e-mail – que é obrigatório na maior parte do mundo há algum tempo, se não for exigido por lei – que envia um e-mail de confirmação único antes de realmente ativar uma lista de inscrição mailing.
Esse recurso de segurança é geralmente chamado de “opt-in duplo” – você não receberá nenhum e-mail até inserir seu endereço (opt-in # 1) e não receberá nada além de uma mensagem de confirmação até responder ou clicar em um link nessa mensagem (opt-in # 2).
O opt-in duplo destina-se a impedir que outras pessoas o assinem, seja por acidente ou mal-intencionado, mas significa que qualquer pessoa com acesso ao formulário de inscrição pode solicitar que uma empresa legítima envie um e-mail confidencial de um dos seus servidores legítimos.
Para alguém mal-intencionado, isso parece um desafio, não apenas uma observação – um servidor de e-mail genuíno que pode ser automaticamente ou semi-automaticamente acionado para enviar uma mensagem para o endereço de e-mail de outra pessoa.
Em muitos casos, os e-mails de inscrição são monótonos e desinteressantes – eles não precisam ser chamativos ou atraentes, afinal, porque eles devem ser confirmações simples de uma escolha que você já fez.
Mas algumas organizações não conseguem resistir a dar o tratamento de marketing chamativo até às suas confirmações de listas de correio, preenchendo-as com logótipos, links clicáveis, ofertas tentadoras e todas as outras coisas para aproveitar, desde que conclua a inscrição.
Há algo de circular e pouco atraente nessa abordagem – dado que a empresa não deve enviar material de marketing por e-mail até que você se inscreva e o aceite, enviar material de marketing por e-mail como parte do processo de adesão parece estar colocando o carrinho antes do cavalo, ou pelo menos o “in” antes do “opt”.
Mesmo que o marketing para você possa ser irritante, receber um e-mail glamouroso e atraente, mas potencialmente indesejado, que você não esperava também não é nada agradável.
Afinal, ignorar o e-mail automaticamente significa que você não conseguirá mais deles.
O que é um grande problema é que a Dr.Web notou que várias marcas e serviços principais eram indecisos quanto à quantidade de informações do formulário de inscrição em si que eles copiaram com confiança no e-mail de inscrição e “refletiam” de volta ao endereço de e-mail fornecido.
Por exemplo, em vez de me inscrever como Eric e receber um e-mail enviado para mim com uma saudação, “Olá, Eric”…
…Os bandidos podem assinar como Eric! FIQUE RICO RÁPIDO [link] e acione um e-mail para mim que dizia: “Oi, Eric! FIQUE RICO RÁPIDO [link clicável]”.
A parte com spam do e-mail de confirmação terminaria envolvida em uma página HTML visualmente atraente, produzida na empresa e produzida profissionalmente, dando-lhe uma falsa credibilidade.
Pior, o próprio e-mail passaria por todas as verificações de remetente anti-spam, como SPF, DKIM e DMARC, porque, na verdade, realmente veio do servidor certo, dando-lhe uma credibilidade técnica quantificável que não merecia.
O que fazer?
Ao reutilizar dados não confiáveis enviados de fora, tenha cuidado para não “refletir” ou transmitir qualquer um desses dados no corpo de qualquer página da Web que você enviar ou enviar por e-mail.
Caso contrário, você abre o seu site ou servidor de e-mail para ataques de reflexão, onde você envia conteúdo desonesto.
Se eu der meu nome como Paulo (ou algum bandido me der meu nome), então me enviando um e-mail com o texto Olá, Paulo é inofensivo, embora presunçoso, dado que você realmente não tem ideia de quem eu sou.
Mas se um bandido der meu nome, por que não experimentar este fantástico site [insira o hiperlink aqui], enviar-me um e-mail com esse texto é perigoso, pois pode levar a um site de phishing, malwares e conteúdo inadequado, e assim por diante.
Então, siga nosso conselho:
- Valide sua entrada. Se veio de fora, você não pode confiar, então confira. E mesmo que venha de dentro, verifique-o de qualquer maneira para filtrar dados inadequados, irrelevantes ou indesejados o mais rápido possível.
- Mantenha os e-mails de confirmação simples. Eles não são uma oportunidade de marketing – por definição, eles são quase exatamente o oposto! – então não exagere. Quanto menos você enviar e quanto mais simples você mantiver, menor a chance de que alguém possa abusar do sistema para transmitir mensagens parecidas com algo que não são.
- Não reutilize nada do formulário de entrada, exceto o endereço de e-mail de inscrição bruto. Não adianta falar comigo como o querido Paulo em um e-mail que supõe que pode não ser eu. Você não me conhece, então seja honesto e use a palavra “você mesmo”.
- Rejeite e-mails autogerados por meio do seu filtro de spam regular, se puder. Não exonere os envios de formulário da Web da filtragem de spam apenas porque eles foram gerados em um servidor supostamente seguro gerenciado pela TI.
Como tantas vezes na segurança cibernética, menos é mais!
Com informações do blog Naked Security, da Sophos – uma parceira SdRedes.
Aproveitando a deixa, não esqueça de assinar o newsletter da SdRedes para ficar por dentro das notícias mais relevantes sobre segurança de redes. Juramos que não enviamos spam!
