█████▒▄▄▄       ▄▄▄▄    ██▓ ▒█████        ▄████▄  ▒█████   ███▄ ▄███▓      ▄▄▄       ██▀███  
▓██   ▒▒████▄    ▓█████▄ ▓██▒▒██▒  ██▒     ▒██▀ ▀█ ▒██▒  ██▒▓██▒▀█▀ ██▒     ▒████▄    ▓██ ▒ ██▒
▒████ ░▒██  ▀█▄  ▒██▒ ▄██▒██▒▒██░  ██▒     ▒▓█    ▄▒██░  ██▒▓██    ▓██░     ▒██  ▀█▄  ▓██ ░▄█ ▒
░▓█▒  ░░██▄▄▄▄██ ▒██░█▀  ░██░▒██   ██░     ▒▓▓▄ ▄██▒██   ██░▒██    ▒██      ░██▄▄▄▄██ ▒██▀▀█▄  
░▒█░    ▓█   ▓██▒░▓█  ▀█▓░██░░ ████▓▒░ ██▓ ▒ ▓███▀ ░ ████▓▒░▒██▒   ░██▒ ██▓  ▓█   ▓██▒░██▓ ▒██▒
 ▒ ░    ▒▒   ▓▒█░░▒▓███▀▒░▓  ░ ▒░▒░▒░  ▒▓▒ ░ ░▒ ▒  ░ ▒░▒░▒░ ░ ▒░   ░  ░ ▒▓▒  ▒▒   ▓▒█░░ ▒▓ ░▒▓░
 ░       ▒   ▒▒ ░▒░▒   ░  ▒ ░  ░ ▒ ▒░  ░▒    ░  ▒    ░ ▒ ▒░ ░  ░      ░ ░▒    ▒   ▒▒ ░  ░▒ ░ ▒░
 ░ ░     ░   ▒    ░    ░  ▒ ░░ ░ ░ ▒   ░   ░       ░ ░ ░ ▒  ░      ░    ░     ░   ▒     ░░   ░ 
             ░  ░ ░       ░      ░ ░    ░  ░ ░         ░ ░         ░     ░        ░  ░   ░     
                       ░                ░  ░                             ░                     

Siempre les cuento los pormenores del trabajo de código que hago acá en el blog para controlar spambots, spiders y cosas así, hoy tengo una que no es del todo misteriosa, pero creo que les puede interesar.

Hace ya un tiempo puse un control que registra todos los intentos de ingreso al sitio que son fallidos, no me preocupa alguien con usuario y contraseña correcta, sino los que están tratando de "reventar" el sitio.

Esto me llevó a descubrir una serie de intentos de login algo extraños y un sitio de control de spam me dio una pista.

El otro día, ni recuerdo cómo llegué ahí, encontré "Stop Forum Spam" un sitio que recoge un montón de datos de cuentas spammers que se infiltran en foros con el obvio fin de, bueno, dejar spam.

Creo que la búsqueda que hice fue el nombre de usuario de uno de esos intentos que veo en el blog, pero porque  seguían un patrón:

Michailihf
Michaillnr
Michaillvh
Michailpzw

Todos desde distintos IP así que no era algo casual de un tipo atacando desde su casa o alguien que se olvidó una contraseña o cómo era su nombre de usuario, era algo más elaborado.

Empecé buscando "Michailpzw" en SFS y me dio este resultado:

Y noten los dos emails asociados (sumo otro más de Michaillvh):

[email protected]
[email protected]
[email protected]

Lindo, hermoso, spamoso, cómo describirlo 😁este "Michail" ya había pasado por algunos foros a spamear.

El truco de usar los puntos es que la mayoría de los registros de sitios web los ven como distintos, en cambio Gmail los ve como si no tuvieran los puntos.

Podés escribir [email protected] y Gmail identificará [email protected], alguien en Google creyó que era una buena idea, nadie en el resto del mundo preparó sus sitemas de registro para esta eventualidad.

Ahora bien... WTF?

No son los únicos, es algo común, aquí otros ejemplos:

Antoniocyy
Antoniokfp

Samantaxpk
Samantanst
Samantaauq

agrohimkjp
agrohimwcm
agrohimoda

Y esto es sólo de lo que detecté a simple vista, el más molesto, durante meses, fue "maximllOi", este usuario fue el primero que detecté a principios de año que hacía esto, por lo visto viene operando hace más de un año:

Explicaciones plausibles

Tengo varias ideas, a ver si se les ocurre otra vía de "investigación".

1. Un bot crea cuentas en todo sitio, foro, wordpress, lo que sea que exista con sistema de registro. Luego otro bot vuelve a entrar a todos esos sitios para "validar" que lograron entrar. Si hay login, éxito.

Esto tiene lógica porque el spam es un trabajo que requiere masividad, no se puede hacer spam y esperar que rinda si se hace a mano (desde Oriente Medio y Extremo Oriente siguen haciendo ese laburo manual, son fáciles de controlar). 

Como se nota por la técnica de enmascaramiento del email es altamente probable que sea algo así y van "validando" las cuentas spammer cada cierto tiempo. 

Misterio: por qué aquí, esto no lo entiendo, es fácil comparar con la tabla de usuarios registrados y todos estos no existen.

2. Alguien se enteró y creó un script para tratar de "mejicanearle" las cuentas al spammer original y se la pasa recorriendo sitios tratando de dar con uno que funcione 😁

Este último lo imagino porque a diario llegan al blog intentos de login de cuentas que no existen en el blog, son bots que tratan de ingresar aquí con los datos que obtuvieron de algún leak de passwords (hay mucho y tienen material para años).

Como la mayoría usa los mismos passwords en todos los sitios "poco importantes" (y algunos en los importantes también) eso podría ser una puerta de entrada.

Al momento de escribir esto tengo siete sólo hoy:

Y unos cuantos son usuarios que ya había baneado (veo uno que no lo tenía :P, Michaillnr!), por lo que es sistemático.

Tema IPs: son siempre distintos, están usando máquinas bobas (controladas por los spammers) o a veces VPS, pero en la mayoría de los casos están viniendo de países del primer mundo. Francia, Gran Bretaña, Alemania, Finlandia, etc. No es que baneo todo el rango y me los evito como hago con China y Rusia, aquí están apoderándose de IPs "legales" o los que uno no querría dejar afuera.

¿Qué más se les ocurre?