+34 697 722 901 [email protected]

Pese a que en CyberBrainers nos enfrentamos a diario a campañas de phishing y SPAM que afectan a nuestros clientes, lo cierto es que no las solemos traer por aquí.

¿La razón? La mayoría son prácticamente iguales. Tanto que ya hemos publicado por estos lares un tutorial sobre cómo identificar campañas de phishing o fraude por email.

Se envían desde proveedores de dudosa confianza, haciéndose pasar por alguna marca o entidad reconocida, y por supuesto no cumplen ninguna regulación en materia de protección de datos.

De hecho, se llega hasta el punto de que si incluyen la opción (obligatoria en territorios como el europeo) de ofrecer en el pie de email un enlace para desuscribirse, de pincharlo, conseguiremos justo lo contrario. Que sepan que ese email es un email activo, y por tanto nos sigan bombardeando con más basura.

Sin embargo, esta vez nos hemos encontrado con una campaña de spam tan bien elaborada que no me ha quedado otra que traerla a la página. Y no por su complejidad, ya que como veremos es justo lo contrario.

El sistema de facturación de PayPal como gancho para campañas de SPAM

Al correo de EliminamosContenido nos llegaba hace ya unos días un email como el que ves por aquí.

ejemplo spam paypal

Claro que lo primero que pensamos cuando lo recibimos es que, en efecto, se trataba de algún tipo de campaña de phishing basada en hacerse pasar por PayPal.

Pero no. Si te fijas, el email realmente se está enviando desde el dominio paypal.com.br, que es un dominio oficial de PayPal.

Además, podríamos pensar que se trata de algún tipo de ataque de usurpación de identidad (email spoofing), pero nada más lejos de la realidad. Es la propia PayPal Brasil quien nos estaba enviando este email.

¿Cómo es posible entonces?

Pues muy sencillo. Estos caraduras (porque no tienen otro nombre) lo que han hecho es crear una factura a coste cero hacia nuestro correo (y seguramente el de cientos o miles de correos expuestos públicamente en Internet, que la factura que nos llegó a nosotros era la 3167…).

Al crear una factura en PayPal, el servicio te ofrece la posibilidad de enviar un correo al destinatario, de forma que así facilita el pago de la misma (el destinatario entra desde ese correo a la factura, la paga, y el emisor recibe confirmación del pago).

Sin embargo, aquí la factura es a coste cero, y lo que han hecho es aprovechar los campos de asunto, la información de facturación y descripción de los productos o servicios a facturar como espacios para meter el spam, que en este caso se trata de un supuesto servicio de publicidad digital.

¿Cómo te quedas?

Gracias a ello, te puedo asegurar que incluso los sistemas antispam que mejor funcionan del mercado, como es el caso de GSuite, que es el que por cierto usamos en CB e implementamos en todos nuestros clientes de transformación digital y ciberseguridad, son incapaces de identificar este correo como potencialmente spam.

Sencilla y llanamente este growdth hacking se salta cualquier control antispam que tenga la «víctima», asegurándose que, sí o sí, el correo va a llegar a su destinatario.

Las dudas que me surgen ante esta situación son dos:

  • ¿Por qué PayPal permite generar facturas a coste cero?
  • ¿Significa esto que PayPal no pone límite a la hora de crear facturas masivas con sus sistemas?

De la primera, sinceramente, no tengo respuesta. Solo con forzar que al menos todas las facturas tengan un coste mínimo, evitamos que se generen sin impacto económico para la cuenta emisora.

Pero en la segunda, me da que en efecto o la política de creación de facturas está totalmente abierta, sin ningún tipo de protección anti fuerza bruta, o las restricciones son tan permisivas que sigue resultando cómodo hacer ese trabajo de creación de factura para spammers como estos.

Que otra cosa es que en efecto haya gente que les contrate. Al menos, a un servidor, unos supuestos «expertos en marketing y ads» que utilizan estas técnicas para captar clientes, me dan confianza -1.

De hecho no he indagado más, pero es muy probable que si tiramos del hilo acabemos encontrándonos con cibercriminales, y que ese supuesto servicio de publicidad sea solo una excusa para robar dinero a las potenciales víctimas.

Pero oye, la campaña de spam ha cumplido su objetivo, y nos ha llegado al correo pese a tener uno de los mejores sistemas antispam del mercado implementado en nuestro cliente…

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂