Estafando a las PTR

miércoles, 12 de mayo de 2010

Seguro que alguna vez has oído hablar de las PTR (paid to read). Son empresas que promocionan a terceros y te pagan si permites que te envíen e-mails publicitarios, o mejor dicho, te pagan por leerlos.




En otoño del año pasado un amigo me comentó que otro amigo suyo estaba registrado en una de estas empresas y había recibido sus primeros 30 euros en su buzón.

Fue entonces cuando se nos ocurrió no ya registrarnos en estas empresas, porque como dicen los padres "nadie da duros a pesetas", sino más bien estudiar si había alguna manera de engañar a estas empresas para conseguir dinero fácil.

Finalmente conseguimos montar un sistema por el cuál sin hacer nada más que tener el PC encendido podíamos ganar entre 30 y 40 euros mensuales, aunque he de decir que una vez montado el sistema y después de dejarlo funcionar un par de semanas lo cortamos todo, porque el propósito no era llegar a final de mes y cobrar el dinerillo (aunque no nos hubiese venido mal).

Lo primero que hicimos fue dirigirnos a la web de una de estas empresas, a la más conocida aquí en España, y registrarnos. Para registrarse te muestran un formulario típico donde te piden algunos datos personales.
Por el hecho de estar registrado obtienes un código promocional para referidos. Un referido es alguien alguien que llega recomendado por ti, es decir, que al registrarse mete en el formulario tu código promocional.
Esta empresa te paga por cada mail leído, y también por los mails leídos por tus referidos, y por los mails leídos por los referidos de tus referidos.

Lo siguiente fue dibujarnos un arbolito ficticio de jerarquías entre supuestos referidos para deducir un árbol donde nuestros referidos ganasen algunos como mucho un par de euros al mes pero nosotros tres ganásemos unos treinta euros al mes cada uno.
Nuestros referidos no iban a ser personas físicas, íbamos a construir un bot para leer mails publicitarios.

Creamos nuestros referidos simplemente dando de alta nuevas cuentas de correo en hotmail para darlas de alta después en la página web de la PTR. Todas las cuentas de hotmail creadas se configuraban para redirigir su bandeja de entrada a tres cuentas de correo determinadas de hotmail para que todos los correos de la PTR acabaran en una de estas tres cuentas. A su vez, utilizando una aplicación (hotmail no permite configurar la cuenta para redigirla a una cuenta que no sea de hotmail) sacábamos los correos de estas tres cuentas de hotmail para llevarlas a tres cuentas de gawab, ahora explicaré para qué.

Al final todos los correos de la PTR dirigidos a nosotros o a nuestros referidos acababan en alguna de las tres cuentas de gawab.
Al contrario que Hotmail Gawab no utiliza POP sobre SSL, por comodidad podíamos sacar los correos y almacenarlos en un fichero utilizando simplemente un script en telnet en vez de utilizar OpenSSL.

Los correos promocionales que envía la PTR contienen un enlace a una web que el usuario ha de visitar. Nuestra PTR escribía un enlace que podía ser reconocido facilmente por un programa porque iba precedido siempre de las mismas palabras (imaginad un "visita este enlace: http://...."). El enlace contenía un token único para que al visitarlo el servidor supiese a quien tenía que sumar el crédito. Simplemente hay que visitar la URL desde cualquier máquina.

Programamos en pascal (sí, estudiamos en la Universidad Politécnica) un parser para obtener y guardar el enlace a visitar. Lo restante consistía en construir los ejecutables batch que dirigiesen todas las partes.

Resumiendo, finalmente teníamos un sistema automatizado que :
1- Lanza la herramienta que lee los mails de las cuentas de hotmail y los envía a las cuentas de correo de gawab.
2- Saca el primer correo de la bandeja de entrada de una cuenta de gawab, guarda el mail en un archivo y borra el correo leído de la bandeja de entrada.
3- Lanza el parser encargado de analizar el archivo obtenido en el paso anterior y extraer el enlace a visitar, dicho enlace se guarda en un nuevo archivo.
4- Lanza un firefox portable con la url de dicho enlace (y cierra firefox a los 30 segundos que eran los contabilizados por la PTR para sumar el crédito por visitar la publicidad).
5- Cambia la Ip pública.

Finalmente este archivo batch se lanzaba con el programador de táreas cada dos o tres minutos. Cada uno de los tres amigos teníamos asignado una de las tres cuenta de Gawab, de tal manera que encendíamos el ordenador por la mañana, lo dejábamos encendido y por la tarde llegábamos y se habían contabilizado todos los mails.

Visitábamos también de forma automática de vez en cuando la web de la PTR logueándonos con las distintas cuentas del "árbol" ya que si por un periodo de varios meses no te pasas por la web te dan de baja la cuenta.

Una forma de destapar nuestro truco es fijándose en que nadie en "nuestro árbol" utilizaba cookies (lanzábamos el firefox con un perfil que tenía deshabilitadas las cookies), o fijarse en las cabeceras http y descubrir que en nuestro árbol todos responden a tres perfiles de máquinas distintas.
Pero una vez superado el sistema que intenta obligar al usuario a leer los mails, no creo que haya ninguna medida contra este tipo de cosas.
Las medidas de seguridad me imagino que están para atraer la atención de aquellas empresas que buscan promocionarse a través de alguna PTR.

Esta PTR tiene miles de usuarios, pero también estudiamos otras PTR, algunas eran vulnerables a nuestro sistema y otras no lo eran, debido a la existencia de captchas.

Este verano voy a andar muy ocupado, me he tomado un pequeño respiro para escribir los últimos artículos, pero estaré ausente unos cuantos meses.

Un saludo a todos y disfrutad del verano.

System Infected

martes, 11 de mayo de 2010

LLevaba un tiempo con el DNI caducado. Digo llevaba porque hace unos días acudí a mi cita con la comisaria para hacerme el nuevo.


Había en la sala de espera empotrado contra una pared un PC conectado a una impresora y que tenía enchufado un lector de DNI electrónico.

Un cartel vertical sobre la misma mesa junto a la impresora rezaba algo así:
"Pruebe aquí su DNI electrónico".
En letra más pequeña se podía leer lo siguiente: "Con el dni electrónico podrás realizar trámites y gestiones desde casa o la oficina ... vida laboral, declaración de la renta, transacciones bancarias, concursos y oposiciones...".
La idea al parecer es tener un punto en la misma comisaria donde probar todo lo que puedes hacer con tu nuevo DNI.

Bueno, pues el monitor de dicho PC mostraba el escritorio de un Windows XP cuyo fondo de pantalla era el siguiente:


Es el típico fondo de pantalla alterado por malware bastante conocido que primero te dice que tu sistema está infectado y que debes descargar software antivirus mientras que por otro lado afecta al comportamiento normal del navegador para que el usuario descargue más malware todavía pensando que lo que descarga es un antivirus.
No he podido sacar fotos porque una comisaria no es un lugar público ya que hay un control de acceso y no está permitido sacar fotos en el interior.

O sea que el ordenador que te invita a realizar gestiones y trámites con el DNI electrónico estaba infectado. Y hablamos de los trámites que permite realizar el nuevo DNI, en los cuales generalmente se manejan datos personales bastante sensibles que introducimos por teclado normalmente.
Y menos mal que el malware había colocado dicho fondo de pantalla, si no nadie allí se habría dado cuenta de nada, porque fue una chica la que avisó al personal y fue entonces cuando llamaron por teléfono, a los técnicos supongo.

Si fue infectado con dicho malware, no faltan razones para pensar que estuviese o pudiese haber estado infectado también por todo tipo de malware, como más spyware, troyanos, keyloggers, y un largo etc. Como para ponerse a realizar allí mismo transacciones importantes.

Me quede con la duda de si la cuenta en windows utilizada de cara al público era restringida o de administrador, en fin...