Usando hotmail para hacer email bombing, y cómo eliminarlo con procmail

Hace par de días recibí en mi cuenta privada un correo de foxnews

¿qué raro?, se coló un correo no deseado, pensé. Luego de poco más de 24 horas ya no era solamente foxnews, sino que recibia desde anuncios de autos en alemán, hasta avisos de comunidades judías, cristianas y musulmanas, además sugerencias de compras de nuevas tecnologías, etc.

¿Se habrá dañado el filtro antispam?, me pregunté. Y me pongo a mirar, enseguida noto que todos los mails vienen desde hotmail. ¿Por qué? resulta que alguien con poca carga de trabajo se enamoró de mi cuenta y me comenzó a bombardear con correos, bueno, tampoco miles, quizá una decena de correos por hora. Me imagino que está en proceso de incrementar el bombardeo.

Lo curioso es: ¿cómo lo hicieron? Para bombardear a alguien, hay que suscribirlo a varias listas de correo. Pero para suscribirme hay que acceder a mi cuenta y aprobar los correos, cosa que no se hizo.

¿Cómo hizo entonces? ¡Algo super fácil y curioso! Se creó una cuenta de hotmail, suscribió esa cuenta a decenas de listas aprobando el correo inicial. Y luego de esto reenvió todos los correos que llegan a esta cuenta hacia la mía. Imagino que ahora cuando quiera suscribirme a varias listas más, elimina el forward hacia mi, se suscribe a más listas y vuelve a poner el forward. ¡Qué manera más inteligente de perder su tiempo!

Bueno… como ya estaba «suscrita» la cuenta de hotmail y esta cuenta era reenviada hacia mi pues entonces comencé a recibir todo tipo de información innecesaria.

¿Cómo evitarlo?

1- Los envíos venían de hotmail. Supongo el «interesado» pensó que no iba yo a bloquear a hotmail. Y acertó! No bloquearé a hotmail.

2- El from es diverso, cada uno de los correos viene con su propio from. Ponerme a agregar 10 from hoy y 20 mañana me volvería en un esclavo del atacante cada vez que me quisiera suscribir. Claro, es una labor manual que tiene que hacer el suscribirme a nuevas listas, pero puede intentarlo. En todo caso no, no haré esto.

3- ¿Reportarlo a hotmail? Claro, hotmail demora como 48 horas en enviarte la primera respuesta enlatada solicitándote lo mismo que les has enviado en el reporte. Sí, lo hice pero no espero solución por esta vía.

4- ¿Entonces? Hay que buscar un patrón en los correos… y sí.. lo hay: hotmail para nuestra suerte incorpora un campo X en el encabezado que te indica de qué cuenta viene el envío. Es para evitar lazos, etc. El campo se llama X-MS-Exchange-Inbox-Rules-Loop

En mi caso venía como X-MS-Exchange-Inbox-Rules-Loop: megustaperdermitiempo@hotmail.com

Lo que hice fue muy simple: creé una regla en procmail que si detecta esta cadena, envíe los mails a /dev/null

Y ya, el atacante ahora se divertirá enormemente suscribiendo a la cuenta megustaperdermitiempo@hotmail.com a miles de listas.. y reenviando el mail a mi cuenta. Tan pronto llega es enviado el mail a /dev/null y yo nunca me enteraré.

Es importante a los atacantes no rebotarles el mensaje, de esta forma ellos siguen pensando que uno recibe.

Lógicamente el atacante quizá un día leerá este post y podrá tomar la decisión de crear una nueva cuenta en hotmail y perder su tiempo suscribiéndola a miles de listas y entonces poniéndome un reenvío hacia mi correo. ¿Qué haría yo? Pues simple: agregar el nuevo email a procmail, con agregar esa cadena le mando a /dev/null sus reenvíos… pronto perderá el interés porque realiza una labor más intensiva que la mía. Esto es un tema de economía: Quién pierde más el tiempo? ¿El atacante suscribiéndome o yo bloqueándole? gana el que menos tiempo pierda.

¿Cómo hice?:

En mi usuario /home/miusuario creé archivo .procmailrc con permisos 640

dentro de .procmailrc puse:

LOGFILE=$HOME/procmail.log

:0
* ^X-MS-Exchange-Inbox-Rules-Loop.*megustaperdermitiempo@hotmail.com
/dev/null


Le grabé y salí. Entonces en el archivo procmail.log se evidencia que ya comenzó a capturar los mails «reenviados»

From foxnews@newsletters.foxnews.com  Tue Sep  6 10:01:10 2016
Subject: {Disarmed} Apple iPhone 7 on deck: What to expect
Folder: /dev/null                              46524

From no-reply@rtm.autoscout24.com  Tue Sep  6 10:06:32 2016
Subject: {Disarmed} =?utf-8?B?4piFIDIwIG5ldWUgVHJlZmZlciBmw7xyIElociBGYWhyemV1
Folder: /dev/null                             253429


 

Un comentario en “Usando hotmail para hacer email bombing, y cómo eliminarlo con procmail

  • el 2016/09/06 a las 5:24 PM
    Permalink

    Alguien que te odia, yo cuando quería atacar a alguien así (si de pronto perder el tiempo) lo agregaba a miles de sitios XXX muy poco agradables… pero gracias ahora se una buena forma de defenderme si me pasa 😉

    Respuesta

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.