RBL SpamCannibal - Secuestro DNS



¿Qué es una lista negra?

Una lista negra es un mecanismo utilizado por los administradores de sistemas que permite restringir la llegada de spam a sus servidores.

Las listas DNSBL o RBL funcionan registrando las direcciones IP o redes de los spammers en directorios de acceso público que los servidores de correo pueden consultar desde internet a través de una sencilla consulta DNS.

Los administradores pueden configurar su MTA agente o servicio encargado de recibir y distribuir los mensajes de correo electrónico a los destinatarios para que utilice una o varias de estas listas. De este modo, cuando el servidor recibe un correo electrónico realiza un proceso de validación que le permite marcar como spam o rechazar los correos cuya dirección IP de origen esta listada o filtrada como generadora de correo no deseado. Al rechazar el envío, el remitente puede recibir un error de envío o un mensaje indicando el motivo de rechazo. Los mensajes contienen términos como listed, blackhole, denied, …
Si tu dirección Ip se encuentra filtrada en alguna lista antispam pública puedes tener problemas a la hora de realizar envíos a algunos proveedores.

MXtoolbox esta dentro de los sitios más conocidos para consultar por la reputación de una dirección ip.
Existen otros también como: dnsbl.info, dnsblchile.org, multirbl.valli.org, etc.


El servicio de la lista negra de SpamCannibal fue secuestrado.

La  RBL SpamCannibal operaba como un servicio de listas negras con una base de datos actualizada tanto para direcciones ip involucradas en ataques DoS como también de servidores que generaban spam, pero en agosto del 2017  desapareció abruptamente y posiblemente para no regresar jamás. El tema es que esta semana, el 30 de mayo de 2018,  de un momento a otro SpamCannibal nuevamente comenzó a responder pero con la particularidad de que cualquier direccion ip que era consultada tenia como respuesta un resultado "positivo", es decir la ip estaba catalogada como "spammers". ¿Que sucedió aquí?... Bueno, según fuentes oficiales de otros sitios, un grupo de ciberdelincuentes cambiaron la configuración DNS del dominio en cuestión el cual estuvo 9 meses en desuso,  por lo tanto cuando los usuarios visitaban el sitio para consultar por una dirección ip en particular eran redireccionados hacia otra web plagada de malware's (actualizaciones adobe flash maliciosos entre otros) y donde alteraban los resultados de las consultas al servicio de lista negra. Todos los usuarios que consultaron en este sitio por una dirección ip recibieron siempre un resultado "positivo" con graves consecuencias.


Twitter de un usuario reportando el incidente:





El 21/08/2017 MXTOOLBOX  removio el sitio SpamCannibal de sus lista de servidores blacklist



 

 El 30/05/2018 DNSBL.info declara offline al sitio  bl.spamcannibal.org:

On 5/30/2018 the domain for SPAMCANNIBAL.ORG lapsed or was compromised and is now blacklisting the entire internet.






Más información:

https://www.theregister.co.uk/2018/05/30/spamcannibal_hijack/
https://nakedsecurity.sophos.com/2018/06/01/spamcannibal-comes-back-to-life-blocks-everyone/
https://securityaffairs.co/wordpress/73069/hacking/spamcannibal-hijacked.html
https://www.dnsbl.info/bl-spamcannibal-org.php
https://superadmin.es/blog/hosting/listas-negras/