Este informe es la extracción de URL y retransmisiones de mensajes de spam.
Fuentes y Extracciones
Shadowserver y varios socios tienen spam-pots (direcciones de correo electrónico básicas) en muchos lugares del mundo. Estas cuentas no están suscritas y la mayoría no aparece en ninguna lista, por lo que cualquier correo electrónico dirigido a ellas no se solicitará y puede considerarse spam. Se extrae cierta información de cada uno de estos mensajes, como la IP del último salto (que no se puede falsificar), la dirección de envío (que puede ser cualquier cosa y se falsifica con frecuencia), cualquier URL y el asunto del mensaje.
Shadowserver no guarda los mensajes originales, solo las extracciones, ya que debido a la gran cantidad de mensajes y la cantidad de espacio que ocuparían, no tienen el valor suficiente.
Falsos positivos
Es muy probable que las URL no maliciosas terminen en este informe. De hecho, se espera regularmente. El origen de estas URL sigue siendo malicioso, pero muchas veces los mensajes de spam incluirán URL reales o correctas para ayudar a ocultar las maliciosas que también se incluyen en los mensajes. Cuando los usuarios comienzan a mirar las diferentes URL incluidas en un mensaje, ocultar una o dos maliciosas entre las reales crea un mayor ambiente de confianza con el destinatario del correo electrónico y aumentará las probabilidades de que haga clic en una de las maliciosas.
Shadowserver no filtra ninguna URL que recibe por varias razones. En primer lugar, no sabe realmente cuáles serían importantes para que los usuarios vean y conozcan. Se podría filtrar todo lo que no sea específicamente hostil, pero podría ser importante para fines de registro. O tal vez estén haciendo referencia a sus instrucciones de inicio de sesión reales pero redirigiendo el inicio de sesión real a otro lugar.
Áreas de preocupación
Si la IP «src» es uno de sus sistemas, esto significa que su servidor de correo electrónico fue el que envió, enrutó o reenvió los mensajes de spam. Las URL deben ser de interés incluso si no son maliciosas; pueden ayudarlo a guiarlo hacia el objetivo de phishing real, o al menos avisarle que la URL se está utilizando en algún tipo de ataque de spam/phishing. El tráfico adicional a esas URL puede ser indicativo de cierto nivel de éxito o prueba.
CAMPOS
timestamp | Marca de tiempo del mensaje |
url | URL que se extrajo de un mensaje de spam |
host | Nombre de host de la ubicación de URL |
ip | IP de la URL |
asn | ASN donde reside la IP |
geo | Ubicación del país de la IP |
region | Ubicación regional de la IP |
city | Ubicación de la ciudad de la IP |
subject | Asunto del mensaje de spam |
src | Dirección IP de la retransmisión de spam que entregó el mensaje (último salto) |
src_asn | ASN de la IP de retransmisión |
src_geo | Ubicación del país de la retransmisión de spam |
src_region | Ubicación regional de la retransmisión de spam |
src_city | Ubicación de la ciudad de la retransmisión de spam |
sender | Dirección de correo electrónico del remitente si está disponible |
source | Fuente de información, si es pública |
EJEMPLO
"timestamp","url","host","ip","asn","geo","region","city","subject","src","src_asn","src_geo","src_region","src_city","sender"
"2010-06-05 00:10:51","http://www.schildag.ch/pilsrcmed.html","www.schildag.ch","213.203.223.99",25074,"CH","LUZERN","ROOT",,"64.12.143.152",1668,"US","VIRGINIA","RESTON",
"2010-06-05 00:12:18","http://www.schildag.ch/pilsrcmed.html","www.schildag.ch","213.203.223.99",25074,"CH","LUZERN","ROOT",,"64.12.143.145",1668,"US","VIRGINIA","RESTON",
"2010-06-05 00:14:52","http://www.schildag.ch/pilsrcmed.html","www.schildag.ch","213.203.223.99",25074,"CH","LUZERN","ROOT",,"205.188.249.130",1668,"US","VIRGINIA","RESTON",
"2010-06-05 00:15:03","http://yahoo.it","yahoo.it","87.248.121.75",42173,"CH","-","-",,"189.61.170.193",28573,"BR","MINAS GERAIS","BELO HORIZONTE",
"2010-06-05 00:17:58","http://www.schildag.ch/pilsrcmed.html","www.schildag.ch","213.203.223.99",25074,"CH","LUZERN","ROOT",,"205.188.249.131",1668,"US","VIRGINIA","RESTON",
"2010-06-05 00:21:30","http://www.schildag.ch/pilsrcmed.html","www.schildag.ch","213.203.223.99",25074,"CH","LUZERN","ROOT",,"205.188.105.144",1668,"US","VIRGINIA","RESTON",
"2010-06-05 00:22:52","http://www.schildag.ch/pilsrcmed.html","www.schildag.ch","213.203.223.99",25074,"CH","LUZERN","ROOT",,"205.188.91.97",1668,"US","VIRGINIA","RESTON",
"2010-06-05 00:30:15","http://krz.ch/v0xa","krz.ch","80.74.158.79",21069,"CH","GENEVE","CH",,"198.173.112.24",2914,"US","OREGON","PORTLAND",
"2010-06-05 00:31:23","http://aslama.com/accueil..php","aslama.com","84.16.92.10",29222,"CH","ZURICH","ZURICH",,"65.54.190.38",8075,"US","NEW YORK","NEW YORK",
"2010-06-05 00:38:07","http://www.schildag.ch/pilsrcmed.html","www.schildag.ch","213.203.223.99",25074,"CH","LUZERN","ROOT",,"64.12.206.42",1668,"US","VIRGINIA","RESTON",
"2010-06-05 00:38:53","http://www.helvetic.com/en/dynamic_content/newsfl_100603_en.html","www.helvetic.com","217.150.246.92",29691,"CH","ZURICH","ZURICH",,"82.195.248.182",16215,"CH","GENEVE","CH",
"2010-06-05 00:39:53","http://yahoo.de","yahoo.de","87.248.121.75",42173,"CH","-","-",,"84.36.201.124",36992,"EG","AL QAHIRAH","CAIRO",
"2010-06-05 00:49:21","http://yahoo.it","yahoo.it","87.248.121.75",42173,"CH","-","-",,"61.28.150.139",9658,"PH","MANILA","MANILA",
"2010-06-05 00:54:48","http://krz.ch/v0x3","krz.ch","80.74.158.79",21069,"CH","GENEVE","CH",,"189.112.218.36",16735,"BR","-","-",
"2010-06-05 01:01:26","http://www.bradesconacional.com.br","www.bradesconacional.com.br","85.90.4.233",39440,"CH","FRIBOURG","FRIBOURG",,"71.168.115.71",13672,"US","NEW HAMPSHIRE","NASHUA",
"2010-06-05 01:12:14","http://public.web.cern.ch/public/","public.web.cern.ch","137.138.144.161",513,"CH","GENEVE","GENEVA",,"202.79.19.193",24481,"BD","DHAKA","DHAKA",
"2010-06-05 01:15:02","http://www.voissaboutique.com/","www.voissaboutique.com","82.195.231.114",16215,"CH","GENEVE","CH",,"91.208.181.88",47841,"FR","ILE-DE-FRANCE","PARIS",
"2010-06-05 01:26:56","http://krz.ch/v0xN","krz.ch","80.74.158.79",21069,"CH","GENEVE","CH",,"81.169.146.190",6724,"DE","BERLIN","BERLIN",