Os spammers estão sempre procurando novas maneiras de enviar mensagens de spam, burlando os filtros. No mundo ideal, querem que a mensagem pareça vir de alguém com boa reputação nos sistemas de filtragem. Por exemplo, eles buscam enviar spam de um endereço da sua empresa, por meio do seu próprio website. Esse método, que explicaremos a seguir, está ganhando popularidade.
Atualmente, quase todas as empresas estão interessadas em conhecer a opinião de seus consumidores para melhorar seus serviços e fidelizar seus clientes etc. Para receber esse feedback, as empresas costumam usar um formulário (ou vários) de comentários, em suas páginas web. Os usuários podem usá-los para fazer perguntas, deixar sugestões, se inscrever em eventos da empresa ou em boletins informativos, bem como receber outras novidades. Os invasores, enquanto isso, tentam aproveitar esses mecanismos para enviar spam para pessoas ou empresas sem nenhuma relação.
Como os golpistas podem usar seu site para enviar mensagens
O mecanismo é, na verdade, bastante simples. Em geral, antes que um usuário possa usar um serviço online, entrar em uma lista de e-mails ou fazer uma pergunta em um site da empresa, deve primeiro se registrar. E isso significa que, no mínimo, deverá fornecer nome e endereço de e-mail. Depois que o usuário submete a solicitação de registro, a empresa envia uma mensagem de confirmação por e-mail. E os spammers encontraram uma maneira de adicionar suas próprias informações a essas mensagens de confirmação de inscrição.
Os fraudadores indicam o endereço de e-mail da vítima nesses registros, e inserem as mensagens com anúncios no campo de nome. Por exemplo, “vendemos chapas de ferro com desconto. Visite http://sheetiron.su.” O mecanismo de registro envia uma mensagem de confirmação para a vítima. A mensagem começa educadamente: “Olá, nós vendemos chapas de ferro com desconto. Visite http://sheetiron.su! Por favor, confirme sua solicitação de registro…” Se alguém tentar usar este truque com o formulário de inscrição de uma empresa de construção, então o resultado pode parecer bastante convincente.
A forma como os fraudadores usam formulários evoluiu
É interessante que essa nova ferramenta usada pelos spammers seja o resultado de esforços para combatê-la. Nos primórdios da Internet, a ferramenta utilizada para comentários nos sites parecia um livro de visitas, onde qualquer um poderia deixar uma mensagem. Os metidos a engraçadinhos e os spammers começaram a tirar proveito disso, o que tornou os livros de visita um desastre absoluto. Então, os especialistas em segurança da web decidiram tornar obrigatório uma espécie de inscrição dos usuários antes de enviar mensagens. Os invasores contra-atacaram com programas que registravam automaticamente os usuários em endereços de e-mail fictícios, o que lhes permitiam continuar enviando spam para as empresas proprietárias do site.
Foi quando os desenvolvedores dos sites começaram a pedir aos usuários que confirmassem seus endereços de e-mail. Este é o mecanismo que os spammers agora são capazes de explorar para enviar mensagens. Quando isso acontece, nada é enviado para a conta de e-mail da empresa. As informações coletadas durante o processo de registro são simplesmente armazenadas em um banco de dados e as vítimas recebem uma mensagem semelhante a esta:
As vantagens do spam enviado pelo site de empresas conhecidas
Praticamente todas as empresas que estão interessadas em atrair novos clientes pela internet, assim como, fidelizar os usuários existentes, dedicam muita atenção às suas presenças digitais. Design, conteúdo e usabilidade são muito importantes. Geralmente, as empresas monitoram de perto a relevância e grau de confiabilidade de seus sites. No entanto, ter uma reputação impecável é o que atrai os cibercriminosos.
Mensagens de uma fonte confiável geralmente passam os filtros de spam com facilidade; basicamente, contam com o status de informações oficiais enviadas por uma empresa conhecida. E todos os cabeçalhos técnicos da mensagem são totalmente legítimos. Por sua vez, a quantidade real de conteúdo de spam na mensagem (o que os filtros podem reagir) é relativamente pequena. A taxa de spam é baseada em vários fatores, portanto, a autenticidade total da mensagem prevalece e a mensagem passa pelo filtro.
Este método de envio de spam se tornou muito popular entre os golpistas. Eles até começaram a oferecer isso como um serviço: enviando publicidade por meio dos formulários de comentários.
Spam enviando pelo seu site coloca o negócio em risco
A reputação do seu negócio e o bem-estar de seus clientes estão em perigo. Primeiro, se as notificações de registro com publicidade invasiva forem enviadas em seu nome, os destinatários (que não preencheram nenhum formulário de registro em seu site) podem pensar que sua empresa é responsável pelo envio do spam.
Em segundo lugar, os spammers às vezes inserem um link de phishing no campo de nome, o que compromete ainda mais a sua empresa ao direcionar o destinatário a um conteúdo fraudulento ou até mesmo a um código malicioso, o que pode piorar as consequências para a vítima.
Em outras vezes, os golpistas podem propositalmente se aproveitar do nome da empresa e, portanto, manchar sua reputação. Por exemplo, esse método pode ser usado para enviar mensagens sobre promoções e premiações falsas que seu negócio “estaria promovendo”. Como essas mensagens falsas vêm de uma fonte legítima, muitas pessoas confiarão no conteúdo delas.
Como você pode impedir que seu site se torne uma ferramenta para enviar spam?
Para começar, saiba como os formulários de comentários do seu site funcionam em um pequeno teste. Vá para o formulário em questão no seu site e registre-se com seu e-mail pessoal, mas insira a seguinte mensagem no campo de nome: “Eu estou vendendo minha garagem …” Inclua um endereço da Web e um número de telefone. Em seguida, verifique exatamente o que recebeu em sua caixa de entrada de e-mail para ver se existem mecanismos para verificar esse tipo de informação.
Se você receber uma mensagem que comece com “Olá, eu vendo minha garagem …”, entre em contato com os responsáveis pela manutenção de suas páginas e lembre-os de que os nomes de pessoas reais não podem carregar números, pontos e vírgulas, “http : // ” ou quaisquer outros símbolos ou sequências semelhantes. Portanto, eles devem criar verificações de entrada simples que gerem um erro se um usuário tentar registrar um nome com esses caracteres ou segmentos inválidos. Os desenvolvedores podem implementar facilmente essas verificações no seu site ou no mecanismo de entrega de e-mail.
E, caso os desenvolvedores esqueçam algo, considere enviar seu site para uma auditoria para identificar vulnerabilidades.