Recopilación de direcciones de correo electrónico

El proceso de recopilación de direcciones de correo electrónico, generalmente para correo no deseado.

La recolección o raspado de correo electrónico es el proceso de obtener listas de direcciones de correo electrónico mediante diversos métodos. Por lo general, estas se utilizan para correo electrónico masivo o spam .

Métodos

El método más simple implica que los spammers compren o intercambien listas de direcciones de correo electrónico de otros spammers .

Otro método común es el uso de software especial conocido como "harvesting bots " o "harvesters", que utilizan páginas web de araña , publicaciones en Usenet , archivos de listas de correo , foros de Internet y otras fuentes en línea para obtener direcciones de correo electrónico a partir de datos públicos.

Los spammers también pueden utilizar una forma de ataque de diccionario para recolectar direcciones de correo electrónico, conocido como ataque de recolección de directorios , en el que se encuentran direcciones de correo electrónico válidas en un dominio específico adivinando la dirección de correo electrónico utilizando nombres de usuario comunes en direcciones de correo electrónico en ese dominio. Por ejemplo, probar [email protected] , [email protected], [email protected], etc. y cualquier otro que sea aceptado para su entrega por el servidor de correo electrónico del destinatario, en lugar de ser rechazado, se agrega a la lista de direcciones de correo electrónico teóricamente válidas para ese dominio.

Otro método de recolección de direcciones de correo electrónico consiste en ofrecer un producto o servicio de forma gratuita siempre que el usuario proporcione una dirección de correo electrónico válida y, a continuación, utilizar las direcciones obtenidas de los usuarios como destinatarios de correo basura. Los productos y servicios más habituales que se ofrecen son los chistes del día, citas bíblicas diarias, alertas de noticias o de bolsa, productos gratuitos o incluso alertas sobre delincuentes sexuales registrados en la zona. A finales de 2007, la empresa iDate utilizó otra técnica: la recolección de correo electrónico dirigida a los suscriptores del sitio web Quechup para enviar correo basura a los amigos y contactos de la víctima. ^[1]

Fuentes de cosecha

Los spammers pueden recolectar direcciones de correo electrónico de varias fuentes. Un método popular utiliza direcciones de correo electrónico que sus propietarios han publicado para otros fines. Las publicaciones de Usenet , especialmente las que se encuentran en archivos como Google Groups , con frecuencia proporcionan direcciones. Simplemente buscando en la Web páginas con direcciones (como directorios de personal corporativo o listas de miembros de sociedades profesionales) mediante spambots se pueden obtener miles de direcciones, la mayoría de ellas entregables. Los spammers también se han suscrito a listas de correo de discusión con el fin de recopilar las direcciones de los usuarios. Los sistemas DNS y WHOIS requieren la publicación de información de contacto técnica para todos los dominios de Internet; los spammers han rastreado ilegalmente estos recursos en busca de direcciones de correo electrónico. Los spammers también han llegado a la conclusión de que, en general, para los nombres de dominio de las empresas, todas las direcciones de correo electrónico seguirán el mismo patrón básico y, por lo tanto, podrán adivinar con precisión las direcciones de correo electrónico de los empleados cuyas direcciones no han recolectado. Muchos spammers utilizan programas llamados arañas web para encontrar direcciones de correo electrónico en páginas web. Los identificadores de mensajes de los artículos de Usenet a menudo se parecen lo suficiente a las direcciones de correo electrónico como para que también se recopilen. Los spammers también han extraído direcciones de correo electrónico directamente de los resultados de búsqueda de Google , sin realmente rastrear los sitios web encontrados en la búsqueda. ^{[ ¿Investigación original? ]}

Los virus spammers pueden incluir una función que escanea las unidades de disco del equipo atacado (y posiblemente sus interfaces de red) en busca de direcciones de correo electrónico. Estos escáneres descubren direcciones de correo electrónico que nunca han sido expuestas en la Web o en Whois. Un equipo infectado ubicado en un segmento de red compartido puede capturar direcciones de correo electrónico del tráfico dirigido a sus vecinos de red. Las direcciones obtenidas se devuelven luego al spammer a través de la red de bots creada por el virus. Además, en ocasiones las direcciones pueden incluir otra información y ser referenciadas de forma cruzada para extraer datos financieros y personales. ^{[ investigación original? ]}

Una táctica reciente y controvertida, llamada " e-pending " , consiste en añadir direcciones de correo electrónico a bases de datos de marketing directo. Los vendedores directos suelen obtener listas de posibles clientes de fuentes como suscripciones a revistas y listas de clientes. Al buscar en la Web y otros recursos direcciones de correo electrónico que correspondan a los nombres y direcciones postales que figuran en sus registros, los vendedores directos pueden enviar correos electrónicos no deseados dirigidos. Sin embargo, como ocurre con la mayoría de los "estrategias dirigidas" de los spammers, esto es impreciso; los usuarios han informado, por ejemplo, de que han recibido solicitudes para hipotecar su casa en una dirección postal específica, siendo la dirección claramente una dirección comercial que incluye una parada de correo y un número de oficina. ^{[ ¿ Investigación original? ]}

Los spammers a veces utilizan diversos medios para confirmar que las direcciones son entregables. Por ejemplo, incluir un Web Bug oculto en un mensaje spam escrito en HTML puede hacer que el cliente de correo del destinatario transmita la dirección del destinatario, o cualquier otra clave única, al sitio web del spammer. ^[2] Los usuarios pueden defenderse de estos abusos desactivando la opción de su programa de correo para mostrar imágenes, o leyendo el correo electrónico como texto simple en lugar de formateado. ^{[ ¿ Investigación original? ]}

De la misma manera, los spammers a veces operan páginas web que pretenden eliminar las direcciones enviadas de las listas de spam. En varios casos, se ha descubierto que estas páginas suscriben las direcciones ingresadas para recibir más spam. ^[3]

Cuando las personas completan un formulario, este suele venderse a un spammer que utiliza un servicio web o un correo http para transferir los datos. Esto es inmediato y dejará el correo electrónico en varias bases de datos de spammers. Los ingresos obtenidos por el spammer se comparten con la fuente. Por ejemplo, si alguien solicita una hipoteca en línea, el propietario de este sitio puede haber llegado a un acuerdo con un spammer para vender la dirección. Estos son considerados los mejores correos electrónicos por los spammers, porque son nuevos y el usuario acaba de registrarse para un producto o servicio que a menudo se comercializa mediante spam.

Legalidad

En muchas jurisdicciones existen leyes antispam que restringen la recolección o el uso de direcciones de correo electrónico. ^{[ ¿ Investigación original? ]}

En Australia, la creación o el uso de programas de recolección de direcciones de correo electrónico (software de recolección de direcciones) es ilegal, según la legislación antispam de 2003, solo si se pretende utilizar dichos programas para enviar correos electrónicos comerciales no solicitados. ^{[4] [5]} La legislación tiene por objeto prohibir los correos electrónicos con "una conexión australiana": spam originado en Australia que se envía a otro lugar y spam enviado a una dirección australiana.

Nueva Zelanda tiene restricciones similares contenidas en su Ley de Mensajes Electrónicos No Solicitados de 2007. ^[6] En los Estados Unidos de América, la Ley CAN-SPAM de 2003 ^[7] declaró ilegal iniciar un correo electrónico comercial a un destinatario cuya dirección de correo electrónico se obtuvo mediante:

• Utilizando un medio automatizado que genera posibles direcciones de correo electrónico combinando nombres, letras o números en numerosas permutaciones.
• Utilizar un medio automatizado para extraer direcciones de correo electrónico de un sitio web de Internet o un servicio en línea propietario operado por otra persona, y dicho sitio web o servicio en línea incluyó, en el momento en que se obtuvo la dirección, un aviso que indica que el operador de dicho sitio web o servicio en línea no dará, venderá ni transferirá de otro modo las direcciones mantenidas por dicho sitio web o servicio en línea a ninguna otra parte con el fin de iniciar, o permitir que otros inicien, mensajes de correo electrónico.

Además, los operadores de sitios web no pueden distribuir sus listas recopiladas legítimamente. La Ley CAN-SPAM de 2003 exige que los operadores de sitios web y servicios en línea incluyan un aviso en el que se indique que el sitio o servicio no cederá, venderá ni transferirá de otro modo las direcciones que mantenga dicho sitio web o servicio en línea a ninguna otra parte con el fin de iniciar o permitir que otros inicien mensajes de correo electrónico.

Contramedidas

Dirección de Munging

La manipulación de direcciones (por ejemplo, cambiar "[email protected]" por "bob at example dot com") es una técnica común para dificultar la recolección de direcciones de correo electrónico. Aunque es relativamente fácil de superar (consulte, por ejemplo, esta búsqueda de Google), sigue siendo eficaz. ^{[8] [9]} Es algo incómodo para los usuarios, que deben examinar la dirección y corregirla manualmente.

Imágenes

El uso de imágenes para mostrar parte o la totalidad de una dirección de correo electrónico es una medida muy eficaz para contrarrestar la recolección de datos. El procesamiento necesario para extraer automáticamente el texto de las imágenes no es económicamente viable para los spammers. Resulta muy incómodo para los usuarios, que escriben la dirección manualmente.

Formularios de contacto

Los formularios de contacto por correo electrónico que envían un mensaje pero no revelan la dirección del destinatario evitan publicar una dirección de correo electrónico en primer lugar. Sin embargo, este método impide que los usuarios escriban en su cliente de correo electrónico preferido, limita el contenido del mensaje a texto sin formato y no deja automáticamente al usuario un registro de lo que ha dicho en su carpeta de correo "enviado".

Ofuscación de JavaScript

La ofuscación de correo electrónico con JavaScript produce un enlace de correo electrónico normal y en el que se puede hacer clic para los usuarios, al tiempo que oculta la dirección a las arañas. En el código fuente que ven los recolectores, la dirección de correo electrónico está codificada, alterada u ofuscada de alguna otra manera. ^[8] Si bien es muy conveniente para la mayoría de los usuarios, reduce la accesibilidad , por ejemplo, para navegadores basados ​​en texto y lectores de pantalla, o para aquellos que no usan un navegador habilitado para JavaScript. ^[10]

Ofuscación de HTML

En HTML, las direcciones de correo electrónico se pueden ofuscar de muchas maneras, como insertando elementos ocultos dentro de la dirección o enumerando partes desordenadas y usando CSS para restablecer el orden correcto. Cada una tiene la ventaja de ser transparente para la mayoría de los usuarios, pero ninguna admite enlaces de correo electrónico en los que se pueda hacer clic y ninguna es accesible para navegadores basados ​​en texto y lectores de pantalla.

CAPTCHA

Exigir a los usuarios que completen un CAPTCHA antes de proporcionar una dirección de correo electrónico es una contramedida eficaz contra la recolección de datos. Una solución popular es el servicio reCAPTCHA Mailhide. (Nota: 12.9.18: Mailhide ya no es compatible.) ^[11]

Aviso CAN-SPAM

Para permitir el procesamiento de los spammers conforme a la Ley CAN-SPAM de 2003, el operador de un sitio web debe publicar un aviso que indique que "el sitio o servicio no cederá, venderá ni transferirá de otro modo las direcciones mantenidas por dicho sitio web o servicio en línea a ninguna otra parte con el fin de iniciar, o permitir que otros inicien, mensajes de correo electrónico". ^[12]

Monitoreo de servidores de correo

Los servidores de correo electrónico utilizan una variedad de métodos para combatir los ataques de recolección de directorios, incluyendo negarse a comunicarse con remitentes remotos que hayan especificado más de una dirección de destinatario no válida en un corto período de tiempo, pero la mayoría de estas medidas conllevan el riesgo de que se interrumpa el correo electrónico legítimo.

Trampas para arañas

Una trampa para arañas es una parte de un sitio web que es un honeypot diseñado para combatir a las arañas que recolectan correo electrónico. ^[13] Las arañas que se portan bien no se ven afectadas, ya que el archivo robots.txt del sitio web les advertirá que se mantengan alejadas de esa área, una advertencia que las arañas maliciosas no tienen en cuenta. Algunas trampas bloquean el acceso desde la IP del cliente tan pronto como se accede a la trampa. ^{[14] [15] [16]} Otras, como un tarpit de red , están diseñadas para desperdiciar el tiempo y los recursos de las arañas maliciosas al alimentarlas lenta e interminablemente con información inútil. ^[17] El contenido del "cebo" puede contener una gran cantidad de direcciones falsas, una técnica conocida como envenenamiento de listas ; aunque algunos consideran que esta práctica es dañina. ^{[18] [19] [20] [21]}

Véase también

• Técnicas antispam
• Correo no deseado
• Rastreador web
• Raspado web

Referencias

1. Arthur, Charls (13 de septiembre de 2007). "¿Los sitios de redes sociales realmente se preocupan por la privacidad?". theguardian. Archivado desde el original el 22 de diciembre de 2016. Consultado el 30 de octubre de 2007 .
2. Heather Harreld (5 de diciembre de 2000). «Los errores de HTML incrustado plantean un riesgo potencial de seguridad». InfoWorld. Archivado desde el original el 10 de diciembre de 2006. Consultado el 6 de enero de 2007 .
3. "Servicios de cancelación de suscripción a correo no deseado". The Spamhaus Project Ltd. 29 de septiembre de 2005. Archivado desde el original el 9 de marzo de 2009. Consultado el 6 de enero de 2007 .
4. "Análisis de la EFA de las facturas de spam australianas de 2003". efa.org.au . Electronic Frontiers Australia . 2003-11-01. Software y listas de recopilación de direcciones. Archivado desde el original el 2021-05-04.
5. "Australia cierra la puerta al spam". 18 de agosto de 2003. Archivado desde el original el 3 de febrero de 2007. Consultado el 4 de julio de 2021 .
6. "Ley de mensajes electrónicos no solicitados de 2007, n.º 7, Ley pública, subparte 2: software de recopilación de direcciones y listas de direcciones recopiladas". Legislación.govt.nz . Archivado desde el original el 2021-02-17 . Consultado el 2021-07-04 .
7. "Ley Pública 108–187" (PDF) . Archivado (PDF) desde el original el 4 de enero de 2006. Consultado el 28 de mayo de 2007 .
8. Silvan Mühlemann, 20 de julio de 2008, Nueve formas de ofuscar direcciones de correo electrónico en comparación
9. Hohlfeld, Oliver; Graf, Thomas; Ciucu, Florin (2012). Longtime Behavior of Harvesting Spam Bots (PDF) (Comportamiento a largo plazo de los robots que recolectan spam) (PDF) . Conferencia de medición de Internet de la ACM. Archivado (PDF) desde el original el 25 de julio de 2014 . Consultado el 18 de julio de 2014 .
10. Roel Van Gils, A List Apart , 6 de noviembre de 2007, Ofuscación elegante de correo electrónico Archivado el 22 de febrero de 2011 en Wayback Machine.
11. "Mailhide: protección gratuita contra spam" . Consultado el 18 de marzo de 2023 .
12. "15 US Code § 7704 - Otras protecciones para usuarios de correo electrónico comercial" Archivado el 19 de septiembre de 2016 en Wayback Machine , Sección a.4.b.1.Ai
13. Glosario de SEO Archivado el 28 de diciembre de 2010 en Wayback Machine : "Una trampa para arañas se refiere a un bucle continuo en el que las arañas solicitan páginas y el servidor solicita datos para representar la página o a un esquema intencional diseñado para identificar (y "prohibir") a las arañas que no respetan el archivo robots.txt".
14. [1] Archivado el 17 de mayo de 2008 en Wayback Machine. Una trampa para arañas que prohíbe a los clientes que acceden a ella.
15. Thomas Zeithaml, Trampa para arañas: cómo funciona Archivado el 11 de abril de 2018 en Wayback Machine.
16. Ralf D. Kloth, Atrapar a los robots maliciosos en una trampa para robots Archivado el 17 de enero de 2006 en Wayback Machine
17. "Cómo mantener a raya a los robots malos". fleiner.com . Archivado desde el original el 18 de marzo de 2023. Consultado el 18 de marzo de 2023 .
18. Ralf D. Kloth, Fight SPAM, catch Bad Bots Archivado el 1 de junio de 2006 en Wayback Machine : "No se recomienda generar páginas web con largas listas de direcciones falsas para arruinar la base de datos de direcciones de los robots de spam, porque se desconoce si a los spammers realmente les importa y, por otro lado, el uso de esas direcciones por parte de los spammers causará una carga de tráfico adicional en los enlaces de red y en los servidores de terceros inocentes involucrados".
19. Harvester Killer Archivado el 11 de abril de 2008 en Wayback Machine : genera correos electrónicos falsos y atrapa arañas en un bucle sin fin.
20. "Soporte de portabilidad: Bloqueo de arañas => Trampa de arañas: detecta y bloquea bots maliciosos". Archivado desde el original el 6 de julio de 2011. Consultado el 12 de febrero de 2011 .Una trampa de araña que genera 5.000 direcciones de correo electrónico falsas y bloquea el acceso posterior del cliente.
21. robotcop.org Archivado el 20 de octubre de 2019 en Wayback Machine : "Los webmasters pueden responder a las arañas que se portan mal atrapándolas, envenenando sus bases de datos de direcciones de correo electrónico recopiladas o simplemente bloqueándolas".