La recolección o raspado de correo electrónico es el proceso de obtener listas de direcciones de correo electrónico utilizando varios métodos. Por lo general, estos se utilizan para correo electrónico masivo o spam .
Métodos
El método más simple consiste en que los spammers compren o intercambien listas de direcciones de correo electrónico de otros spammers .
Otro método común es el uso de especial de software conocido como "recolección de los robots " o "cosechadoras", que araña las páginas web , publicaciones en Usenet , archivos de listas de correo , foros de internet y otras fuentes en línea para obtener direcciones de correo electrónico a partir de datos públicos.
Los spammers también pueden usar una forma de ataque de diccionario para recolectar direcciones de correo electrónico, conocido como ataque de recolección de directorio , donde las direcciones de correo electrónico válidas en un dominio específico se encuentran adivinando la dirección de correo electrónico usando nombres de usuario comunes en las direcciones de correo electrónico de ese dominio. Por ejemplo, probar alan @ example.com , [email protected], [email protected], etc. y cualquiera que sea aceptado para su entrega por el servidor de correo electrónico del destinatario, en lugar de rechazado, se agrega a la lista de correos electrónicos teóricamente válidos. direcciones para ese dominio.
Otro método de recopilación de direcciones de correo electrónico es ofrecer un producto o servicio de forma gratuita siempre que el usuario proporcione una dirección de correo electrónico válida y luego utilizar las direcciones recopiladas de los usuarios como objetivos de spam. Los productos y servicios comunes que se ofrecen son chistes del día, citas bíblicas diarias, alertas de noticias o acciones, mercadería gratuita o incluso alertas de delincuentes sexuales registrados en el área de uno. Otra técnica fue utilizada a finales de 2007 por la empresa iDate, que utilizó la recolección de correo electrónico dirigida a los suscriptores del sitio web de Quechup para enviar spam a los amigos y contactos de la víctima. [1]
Fuentes de recolección
Los spammers pueden recolectar direcciones de correo electrónico de varias fuentes. Un método popular utiliza direcciones de correo electrónico que sus propietarios han publicado para otros fines. Las publicaciones de Usenet , especialmente las que se encuentran en archivos como Grupos de Google , suelen generar direcciones. Simplemente buscar en la Web páginas con direcciones, como directorios de personal corporativo o listas de miembros de sociedades profesionales, el uso de spambots puede generar miles de direcciones, la mayoría de ellas entregables. Los spammers también se han suscrito a listas de correo de discusión con el fin de recopilar las direcciones de los carteles. Los sistemas DNS y WHOIS requieren la publicación de información técnica de contacto para todos los dominios de Internet; los spammers han rastreado ilegalmente estos recursos en busca de direcciones de correo electrónico. Los spammers también han llegado a la conclusión de que, en general, para los nombres de dominio de las empresas, todas las direcciones de correo electrónico seguirán el mismo patrón básico y, por lo tanto, podrán adivinar con precisión las direcciones de correo electrónico de los empleados cuyas direcciones no han recopilado. Muchos spammers utilizan programas llamados arañas web para encontrar direcciones de correo electrónico en páginas web. Los ID de mensajes de los artículos de Usenet a menudo se parecen lo suficiente a direcciones de correo electrónico que también se recopilan. Los spammers también han recolectado direcciones de correo electrónico directamente de los resultados de búsqueda de Google , sin realmente utilizar los sitios web encontrados en la búsqueda.
Los virus de spam pueden incluir una función que escanea las unidades de disco de la computadora víctima (y posiblemente sus interfaces de red) en busca de direcciones de correo electrónico. Estos escáneres descubren direcciones de correo electrónico que nunca se han expuesto en la Web o en Whois. Una computadora comprometida ubicada en un segmento de red compartido puede capturar direcciones de correo electrónico del tráfico dirigido a sus vecinos de la red. Las direcciones recolectadas se devuelven al spammer a través de la red de bots creada por el virus. Además, en ocasiones, las direcciones se pueden agregar con otra información y hacer referencias cruzadas para extraer datos financieros y personales.
Una táctica reciente y controvertida, denominada " pendiente electrónica " , consiste en agregar direcciones de correo electrónico a bases de datos de marketing directo. Los especialistas en marketing directo normalmente obtienen listas de prospectos de fuentes como suscripciones a revistas y listas de clientes. Al buscar en la Web y en otros recursos las direcciones de correo electrónico correspondientes a los nombres y direcciones en sus registros, los especialistas en marketing directo pueden enviar correos electrónicos no deseados dirigidos. Sin embargo, como ocurre con la mayoría de las "segmentaciones" de spammers, esto es impreciso; los usuarios han informado, por ejemplo, haber recibido solicitudes para hipotecar su casa en una dirección postal específica, siendo la dirección claramente una dirección comercial que incluye la parada de correo y el número de la oficina.
Los spammers a veces utilizan varios medios para confirmar las direcciones como entregables. Por ejemplo, incluir un error web oculto en un mensaje de spam escrito en HTML puede hacer que el cliente de correo del destinatario transmita la dirección del destinatario, o cualquier otra clave única, al sitio web del spammer. [2] Los usuarios pueden defenderse de tales abusos desactivando la opción de su programa de correo para mostrar imágenes, o leyendo el correo electrónico como texto sin formato en lugar de formateado.
Asimismo, los spammers a veces operan páginas web que pretenden eliminar las direcciones enviadas de las listas de spam. En varios casos, se ha encontrado que estos suscriben las direcciones ingresadas para recibir más spam. [3]
Cuando las personas completan un formulario, a menudo se vende a un spammer que utiliza un servicio web o una publicación http para transferir los datos. Esto es inmediato y colocará el correo electrónico en varias bases de datos de spam. Los ingresos generados por el spammer se comparten con la fuente. Por ejemplo, si alguien solicita una hipoteca en línea, el propietario de este sitio puede haber hecho un trato con un spammer para vender la dirección. Estos son considerados los mejores correos electrónicos por parte de los spammers, porque son nuevos y el usuario acaba de registrarse en un producto o servicio que a menudo se comercializa mediante spam.
Legalidad
En muchas jurisdicciones existen leyes antispam que restringen la recolección o el uso de direcciones de correo electrónico.
En Australia, la creación o el uso de programas de recolección de direcciones de correo electrónico (software de recolección de direcciones) es ilegal, de acuerdo con la legislación antispam de 2003, solo si se pretende utilizar los programas de recolección de direcciones de correo electrónico para enviar correos electrónicos comerciales no solicitados. [4] [5] La legislación está destinada a prohibir los correos electrónicos con 'una conexión australiana': el correo no deseado que se origina en Australia se envía a otro lugar y el correo no deseado se envía a una dirección australiana.
Nueva Zelandia tiene restricciones similares contenidas en su Ley de mensajes electrónicos no solicitados de 2007. [6] [7]
En los Estados Unidos de América, la Ley CAN-SPAM de 2003 [8] declaró ilegal el envío de correo electrónico comercial a un destinatario cuando la dirección de correo electrónico del destinatario se obtuvo mediante:
- Utilizar un medio automatizado que genere posibles direcciones de correo electrónico mediante la combinación de nombres, letras o números en numerosas permutaciones.
- Usar un medio automatizado para extraer direcciones de correo electrónico de un sitio web de Internet o servicio en línea patentado operado por otra persona, y dicho sitio web o servicio en línea incluía, en el momento en que se obtuvo la dirección, un aviso que indica que el operador de dicho sitio web o servicio en línea no dará, venderá ni transferirá de ninguna otra manera las direcciones mantenidas por dicho sitio web o servicio en línea a ninguna otra parte con el fin de iniciar o permitir que otros inicien mensajes de correo electrónico.
Además, los operadores de sitios web no pueden distribuir sus listas recopiladas legítimamente. La Ley CAN-SPAM de 2003 requiere que los operadores de sitios web y servicios en línea incluyan un aviso de que el sitio o servicio no dará, venderá ni transferirá direcciones mantenidas por dicho sitio web o servicio en línea a ninguna otra parte para el con el propósito de iniciar, o permitir que otros inicien, mensajes de correo electrónico.
Contramedidas
- Dirección munging
- La manipulación de direcciones, por ejemplo , cambiar "[email protected]" por "bob en ejemplo punto com", es una técnica común para dificultar la obtención de direcciones de correo electrónico. Aunque es relativamente fácil de superar (vea, por ejemplo, esta búsqueda en Google) , sigue siendo eficaz. [9] [10] Es algo incómodo para los usuarios, que deben examinar la dirección y corregirla manualmente.
- Imagenes
- El uso de imágenes para mostrar parte o la totalidad de una dirección de correo electrónico es una contramedida de recolección muy eficaz. El procesamiento necesario para extraer automáticamente el texto de las imágenes no es económicamente viable para los spammers. Es muy inconveniente para los usuarios que ingresan la dirección manualmente.
- Formularios de contacto
- Los formularios de contacto por correo electrónico que envían un correo electrónico pero no revelan la dirección del destinatario evitan publicar una dirección de correo electrónico en primer lugar. Sin embargo, este método evita que los usuarios redacten en su cliente de correo electrónico preferido, limita el contenido del mensaje a texto sin formato y no deja automáticamente al usuario un registro de lo que ha dicho en su carpeta de correo "enviado".
- Ofuscación de JavaScript
- La ofuscación de correo electrónico de JavaScript produce un enlace de correo electrónico normal en el que se puede hacer clic para los usuarios, mientras que oculta la dirección de las arañas. En el código fuente visto por los recolectores, la dirección de correo electrónico está codificada, codificada u ofuscada de otro modo. [9] Si bien es muy conveniente para la mayoría de los usuarios, reduce la accesibilidad , por ejemplo, para navegadores basados en texto y lectores de pantalla, o para aquellos que no utilizan un navegador habilitado para JavaScript. [11]
- Ofuscación HTML
- En HTML, las direcciones de correo electrónico se pueden ofuscar de muchas maneras, como insertar elementos ocultos dentro de la dirección o enumerar partes desordenadas y usar CSS para restaurar el orden correcto. Cada uno tiene la ventaja de ser transparente para la mayoría de los usuarios, pero ninguno admite enlaces de correo electrónico en los que se puede hacer clic y ninguno es accesible para navegadores de texto y lectores de pantalla.
- CAPTCHA
- Exigir a los usuarios que completen un CAPTCHA antes de dar una dirección de correo electrónico es una contramedida de recolección eficaz. Una solución popular es el servicio reCAPTCHA Mailhide. (Nota, 12.9.18: Mailhide ya no es compatible). [12]
- Aviso CAN-SPAM
- Para permitir el enjuiciamiento de los spammers en virtud de la Ley CAN-SPAM de 2003, el operador de un sitio web debe publicar un aviso que indique que "el sitio o servicio no dará, venderá ni transferirá de ninguna otra manera las direcciones mantenidas por dicho sitio web o servicio en línea a ninguna otra parte para el con el propósito de iniciar, o permitir que otros inicien, mensajes de correo electrónico ". [13]
- Supervisión del servidor de correo
- Los servidores de correo electrónico utilizan una variedad de métodos para combatir los ataques de recolección de directorios, incluido el negarse a comunicarse con remitentes remotos que han especificado más de una dirección de destinatario no válida en un corto período de tiempo, pero la mayoría de estas medidas conllevan el riesgo de que se interrumpa el correo electrónico legítimo.
- Trampas para arañas
- Una trampa para arañas es parte de un sitio web que es un honeypot diseñado para combatir las arañas recolectoras de correo electrónico. [14] Las arañas que se comportan bien no se ven afectadas, ya que el archivo robots.txt del sitio web advertirá a las arañas que se mantengan alejadas de esa área, una advertencia que las arañas malintencionadas no prestan atención. Algunas trampas bloquean el acceso desde la IP del cliente tan pronto como se accede a la trampa. [15] [16] [17] Otros, como un tarpit de red , están diseñados para desperdiciar el tiempo y los recursos de las arañas maliciosas alimentándolas lenta e interminablemente con información inútil. [18] El contenido de "cebo" puede contener una gran cantidad de direcciones falsas, una técnica conocida como lista de envenenamiento ; aunque algunos consideran esta práctica perjudicial. [19] [20] [21] [22]
Ver también
- Técnicas anti-spam
- Correo no deseado
- Rastreador web
- Raspado web
Referencias
- ↑ Arthur, Charls (13 de septiembre de 2007). "¿Los sitios de redes sociales realmente se preocupan por la privacidad?" . theguardian . Consultado el 30 de octubre de 2007 .
- ^ Heather Harreld (5 de diciembre de 2000). "Los 'errores' de HTML incrustado suponen un riesgo potencial para la seguridad" . InfoWorld. Archivado desde el original el 10 de diciembre de 2006 . Consultado el 6 de enero de 2007 .
- ^ "Servicios de cancelación de suscripción de spam" . The Spamhaus Project Ltd. 29 de septiembre de 2005 . Consultado el 6 de enero de 2007 .
- ^ [1]
- ^ "Copia archivada" . Archivado desde el original el 3 de febrero de 2007 . Consultado el 5 de marzo de 2007 .CS1 maint: copia archivada como título ( enlace )
- ^ http://www.legislation.govt.nz/act/public/2007/0007/latest/link.aspx?id=DLM405209
- ^ http://www.legislation.govt.nz/act/public/2007/0007/latest/DLM405134.html
- ^ [2]
- ^ a b Silvan Mühlemann, 20 de julio de 2008, Nueve formas de ofuscar direcciones de correo electrónico en comparación
- ^ Hohlfeld, Oliver; Graf, Thomas; Ciucu, Florin (2012). Comportamiento a largo plazo de la recolección de spam bots (PDF) . Conferencia de medición de Internet de ACM.
- ^ Roel Van Gils, A List Apart , 6 de noviembre de 2007, Ofuscación elegante del correo electrónico
- ^ Mailhide: Protección gratuita contra spam
- ^ "15 Código de EE. UU. § 7704 - Otras protecciones para usuarios de correo electrónico comercial" , Sección a.4.b.1.Ai
- ^ Glosario de SEO : "Una trampa de araña se refiere a un bucle continuo en el que las arañas solicitan páginas y el servidor solicita datos para representar la página o un esquema intencional diseñado para identificar (y" prohibir ") las arañas que no respetan el archivo robots.txt . "
- ^ [3] Una trampa de araña que prohíbe a los clientes que acceden a ella.
- ^ Thomas Zeithaml, Trampa de araña: cómo funciona
- ↑ Ralf D. Kloth, Atrapa bots malos en una trampa para bots
- ^ Cómo mantener alejados a los malos robots, arañas y rastreadores web
- ^ Ralf D. Kloth, Fight SPAM, catch Bad Bots : "No se recomienda generar páginas web con largas listas de direcciones falsas para estropear la base de datos de direcciones del spam bot, porque se desconoce si a los spammers realmente les importa y, por otro lado, el uso de esas direcciones por parte de los spammers provocará una carga de tráfico adicional en los enlaces de red y en servidores de terceros inocentes involucrados ".
- ^ Harvester Killer : genera correos electrónicos falsos y atrapa arañas en un bucle sin fin.
- ^ "Copia archivada" . Archivado desde el original el 6 de julio de 2011 . Consultado el 12 de febrero de 2011 .CS1 maint: copia archivada como título ( enlace ) Una trampa de araña que genera 5000 direcciones de correo electrónico falsas y bloquea el acceso del cliente.
- ^ robotcop.org : "Los webmasters pueden responder a las arañas que se portan mal atrapándolas, envenenando sus bases de datos de direcciones de correo electrónico recolectadas o simplemente bloqueándolas".