Recopilación de direcciones de correo electrónico

La recolección o raspado de correo electrónico es el proceso de obtener listas de direcciones de correo electrónico utilizando varios métodos. Generalmente, estos se utilizan para correo electrónico masivo o spam.

Métodos

El método más simple implica que los spammers compren o intercambien listas de direcciones de correo electrónico de otros spammers .

Otro método común es el uso de software especial conocido como "harvesting bots " ^[1]o "harvesters", que utilizan páginas web de araña, publicaciones en Usenet, archivos de listas de correo, foros de Internet y otras fuentes en línea para obtener direcciones de correo electrónico a partir de datos públicos.

Los spammers también pueden utilizar una forma de ataque de diccionario para recolectar direcciones de correo electrónico, conocido como ataque de recolección de directorio, donde se encuentran direcciones de correo electrónico válidas en un dominio específico adivinando direcciones de correo electrónico utilizando nombres de usuario comunes en direcciones de correo electrónico en ese dominio. Por ejemplo, intentar alan@ example.com, alana @ example.com, alanb @ example.com, etc. y cualquier otro que sea aceptado para su entrega por el servidor de correo electrónico del destinatario, en lugar de ser rechazado, se agrega a la lista de direcciones de correo electrónico teóricamente válidas para ese dominio.

Otro método de recolección de direcciones de correo electrónico es ofrecer un producto o servicio de forma gratuita siempre que el usuario proporcione una dirección de correo electrónico válida y luego utilizar las direcciones recopiladas de los usuarios como objetivos de spam. Los productos y servicios comunes que se ofrecen son chistes del día, citas bíblicas diarias, alertas de noticias o acciones, mercadería gratuita o incluso alertas de delincuentes sexuales registrados en la zona. Otra técnica fue utilizada a finales de 2007 por la empresa iDate, que recolectaba correos electrónicos dirigidos a los suscriptores del sitio web Quechup para enviar spam a los amigos y contactos de la víctima. ^[2]

Fuentes de recolección

Los spammers pueden recopilar direcciones de correo electrónico de diversas fuentes. Un método popular utiliza direcciones de correo electrónico que sus propietarios han publicado para otros fines. Las publicaciones de Usenet, especialmente aquellas en archivos como Google Groups, con frecuencia proporcionan direcciones. La simple búsqueda en la Web de páginas con direcciones — como directorios de personal corporativo o listas de miembros de sociedades profesionales — mediante robots de spam puede arrojar miles de direcciones, la mayoría de ellas entregables. Los spammers también se han suscrito a listas de correo de discusión con el fin de recopilar las direcciones de quienes publican mensajes. Los sistemas DNS y WHOIS requieren la publicación de información técnica de contacto para todos los dominios de Internet; los spammers han rastreado ilegalmente estos recursos en busca de direcciones de correo electrónico. Los spammers también han llegado a la conclusión de que, en general, en el caso de los nombres de dominio de las empresas, todas las direcciones de correo electrónico seguirán el mismo patrón básico y, por lo tanto, podrán adivinar con precisión las direcciones de correo electrónico de los empleados cuyas direcciones no han recopilado. Muchos spammers utilizan programas llamados arañas web para encontrar direcciones de correo electrónico en páginas web. Los identificadores de mensajes de los artículos de Usenet a menudo se parecen lo suficiente a direcciones de correo electrónico como para que también sean recopilados. Los spammers también han extraído direcciones de correo electrónico directamente de los resultados de búsqueda de Google, sin realmente rastrear los sitios web encontrados en la búsqueda.

Los virus spam pueden incluir una función que escanea las unidades de disco de la computadora víctima (y posiblemente sus interfaces de red) en busca de direcciones de correo electrónico. Estos escáneres descubren direcciones de correo electrónico que nunca han estado expuestas en la Web o en Whois. Una computadora comprometida ubicada en un segmento de red compartido puede capturar direcciones de correo electrónico del tráfico dirigido a sus vecinos de la red. Las direcciones recolectadas luego se devuelven al spammer a través de la red de bots creada por el virus. Además, en ocasiones las direcciones pueden ir acompañadas de otra información y referenciarse de forma cruzada para extraer datos financieros y personales.

Una táctica reciente y controvertida, llamada " e-pending ", implica agregar direcciones de correo electrónico a bases de datos de marketing directo. Los especialistas en marketing directo normalmente obtienen listas de clientes potenciales de fuentes como suscripciones a revistas y listas de clientes. Al buscar en la Web y otros recursos direcciones de correo electrónico correspondientes a los nombres y direcciones postales que figuran en sus registros, los vendedores directos pueden enviar correos electrónicos no deseados dirigidos. Sin embargo, como ocurre con la mayoría de los "objetivos" de los spammers, esto es impreciso; los usuarios han informado, por ejemplo, que recibieron solicitudes para hipotecar su casa en una dirección específica — siendo la dirección claramente una dirección comercial que incluye una parada de correo y un número de oficina.

Los spammers a veces utilizan diversos medios para confirmar que las direcciones se pueden entregar. Por ejemplo, incluir un error web oculto en un mensaje de spam escrito en HTML puede provocar que el cliente de correo del destinatario transmita la dirección del destinatario, o cualquier otra clave única, al sitio web del spammer. ^[3] Los usuarios pueden defenderse de estos abusos desactivando la opción de su programa de correo que permite mostrar imágenes o leyendo el correo electrónico como texto simple en lugar de formato.

Del mismo modo, los spammers a veces operan páginas web que pretenden eliminar direcciones enviadas de las listas de spam. En varios casos se ha descubierto que estos suscriben las direcciones ingresadas para recibir más spam. ^[4]

Cuando las personas completan un formulario, a menudo éste se vende a un spammer que utiliza un servicio web o un correo http para transferir los datos. Esto es inmediato y dejará el correo electrónico en varias bases de datos de spam. Los ingresos obtenidos por el spammer se comparten con la fuente. Por ejemplo, si alguien solicita una hipoteca en línea, el propietario de este sitio puede haber llegado a un acuerdo con un spammer para vender la dirección. Estos son considerados los mejores correos electrónicos por los spammers, porque son frescos y el usuario acaba de registrarse para un producto o servicio que a menudo se comercializa mediante spam.

Contramedidas

Dirección de Munging: La manipulación de direcciones — por ejemplo, cambiar "bob @ example.com" por "bob at example dot com" — es una técnica común para dificultar la recolección de direcciones de correo electrónico. Aunque es relativamente fácil de superar — véase, por ejemplo, esta búsqueda en Google — sigue siendo eficaz. ^[5] ^[6] Es un poco incómodo para los usuarios, que deben examinar la dirección y corregirla manualmente.

Imágenes: El uso de imágenes para mostrar parte o la totalidad de una dirección de correo electrónico es una contramedida de recolección de datos muy eficaz. El procesamiento necesario para extraer automáticamente texto de las imágenes no es económicamente viable para los spammers. Es muy incómodo para los usuarios que escriben la dirección manualmente.

Formularios de contacto: Los formularios de contacto por correo electrónico que envían un correo electrónico pero no revelan la dirección del destinatario evitan publicar una dirección de correo electrónico en primer lugar. Sin embargo, este método impide a los usuarios redactar mensajes en su cliente de correo electrónico preferido, limita el contenido de los mensajes a texto simple y no deja automáticamente al usuario un registro de lo que ha dicho en su carpeta de correo "enviado".

Ofuscación de JavaScript: La ofuscación de correo electrónico con JavaScript produce un enlace de correo electrónico normal y en el que se puede hacer clic para los usuarios, al tiempo que oculta la dirección a las arañas. En el código fuente visto por los recolectores, la dirección de correo electrónico está codificada, alterada o de alguna otra manera ofuscada. ^[7] Si bien es muy conveniente para la mayoría de los usuarios, reduce la accesibilidad, por ejemplo, para navegadores basados en texto y lectores de pantalla, o para aquellos que no usan un navegador compatible con JavaScript. ^[8]

Véase también

Referencias

↑ «Find email addresses in seconds».
↑ Arthur, Charls (13 de septiembre de 2007). «Do social network sites genuinely care about privacy?». theguardian. Archivado desde el original el 22 de diciembre de 2016. Consultado el 30 de octubre de 2007. Parámetro desconocido |url-status= ignorado (ayuda)
↑ Heather Harreld (5 December 2000). «Embedded HTML 'bugs' pose potential security risk». InfoWorld. Archivado desde el original el 10 de diciembre de 2006. Consultado el 6 de enero de 2007.
↑ «Spam Unsubscribe Services». The Spamhaus Project Ltd. 29 September 2005. Archivado desde el original el 9 de marzo de 2009. Consultado el 6 de enero de 2007. Parámetro desconocido |url-status= ignorado (ayuda)
↑ Silvan Mühlemann, 20 July 2008, Nine ways to obfuscate e-mail addresses compared
↑ . ACM Internet Measurement Conference. 2012.
↑ Silvan Mühlemann, 20 July 2008, Nine ways to obfuscate e-mail addresses compared
↑ Roel Van Gils, A List Apart, 6 November 2007, Graceful Email Obfuscation (enlace roto disponible en este archivo).

Datos: Q1273189

[1] «Find email addresses in seconds».

[2] Arthur, Charls (13 de septiembre de 2007). «Do social network sites genuinely care about privacy?». theguardian. Archivado desde el original el 22 de diciembre de 2016. Consultado el 30 de octubre de 2007. Parámetro desconocido |url-status= ignorado (ayuda)

[infoworld1-3] Heather Harreld (5 December 2000). «Embedded HTML 'bugs' pose potential security risk». InfoWorld. Archivado desde el original el 10 de diciembre de 2006. Consultado el 6 de enero de 2007.

[spaumhaus2-4] «Spam Unsubscribe Services». The Spamhaus Project Ltd. 29 September 2005. Archivado desde el original el 9 de marzo de 2009. Consultado el 6 de enero de 2007. Parámetro desconocido |url-status= ignorado (ayuda)

[obfuscationTest-5] Silvan Mühlemann, 20 July 2008, Nine ways to obfuscate e-mail addresses compared

[6] . ACM Internet Measurement Conference. 2012.

[obfuscationTest2-7] Silvan Mühlemann, 20 July 2008, Nine ways to obfuscate e-mail addresses compared

[8] Roel Van Gils, A List Apart, 6 November 2007, Graceful Email Obfuscation (enlace roto disponible en este archivo).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]