El documento describe cómo identificar un dispositivo infectado con SPAM mediante el análisis de su comportamiento de red anormal, como un aumento en el uso de ancho de banda, el envío periódico de correos electrónicos sin el conocimiento del usuario, y la generación de paquetes IMF. Se recomienda utilizar herramientas de seguridad como un analizador de tráfico de red, firewalls e IPS para monitorear el tráfico sospechoso y detectar dispositivos comprometidos.
2. • El término SPAM hace referencia a correos no
solicitados, comúnmente estos son de publicidad
y son enviados en grandes cantidades que
perjudican en distintas maneras al receptor.
• No sólo el correo electrónico se ha visto afectado,
también sitios de internet como grupos de
noticias, usenet, motores de búsqueda, wikis,
foros, blogs. Esto mediante popups, todo tipo de
imágenes y textos en la web.
introducción
3. La infección puede darse de distintas maneras y es común que el atacante logre que
la víctima descargue un archivo mediante engaños, es decir, haciéndolo creer que
está descargando un aplicación o actualización original.
El motivo de infectar un equipo son variados, puede que el atacante lo haga con la
intención de utilizar un equipo ajeno para que este envíe correos maliciosos y así
ocultar su identidad, saturar la red de la víctima o iniciar otro ataque de mayor
severidad.
4. ¿Como identificar el comportamiento del
equipo infectado?
Un equipo infectado con el virus de spam podrá tener los siguientes
comportamientos:
1. Aumento en el uso de ancho de banda (aumento de tráfico en la red)
2. Envío de diferentes tipos de correos electrónicos (usualmente sin
conocimiento de la víctima)
3. Funcionamiento periódico (cada cierto tiempo hace este envío masivo
de correo)
4. Generación de paquetes IMF
• Este comportamiento se puede identificar con el uso de un analizador de
tráfico, en este puede verse el comportamiento general de los
dispositivos de la red e identificar un cambio en su comportamiento
“normal” del día a día. Además, pueden aplicarse filtros para monitorear
el tráfico de correo electrónico y paquetes IMF, entre otros.
5. Herramientas:
• Herramientas de seguridad perimetral como IPS o
Firewalls
• Soluciones de end point (antivirus)
• Concientización del usuario.
• Es importante que el usuario este consiente el
acceder a páginas o descargar archivos de dudosa
procedencia. En cuanto a las herramientas
siempre deben de estar actualizadas para hacerle
frente a las nuevas amenazas.
6. Especialistas en tecnologías de la
información.
Tel: (55) 5219 – 8656
Correo : Info@realnet.com.mx
www.realnet.com.mx
Contáctanos: