Spam w III kw. 2013 r.

Przeczytaj także: Spam w VIII 2013 r.

Powrót do podstaw

W III kwartale 2013 r. spamerzy promujący środki na zwiększenie potencji okazali się szczególnie kreatywni, łącząc socjotechnikę ze sztuczkami pozwalającymi obejść filtry spamowe.

W jednej masowej wysyłce zastosowali następującą metodę: w temacie e-maila zawarli ciąg symboli mających przypominać słowo „Viagra”, natomiast treść wiadomości ograniczała się do jednego odsyłacza do strony farmaceutycznej.

Takie minimalistyczne podejście pomaga obejść filtrowanie zawartości. Nie można znaleźć żadnych słów kluczowych, ponieważ wyraz „Viagra”, mimo że jest czytelny dla człowieka, nie może zostać odczytany przez filtr. Ponieważ każdy e-mail zawierał różny „kod” dla Viagry, nie wystarczyło dodać nowe słowo kluczowe do bazy danych. UTF-8 zawiera symbole z wszystkich języków – łącznie z tymi bardzo rzadkimi, a większość języków posiada własne unikatowe litery, modyfikatory i symbole, nawet jeśli opiera się na znajomym alfabecie łacińskim. W efekcie, istnieje ponad 100 symboli, które można odczytać jako literę „a”. Nic dziwnego zatem, że istnieją setki milionów różnych potencjalnych kombinacji zapisu słowa „Viagra”.

Kolejna masowa wysyłka pochodząca rzekomo z popularnego serwisu e-mail lub portali społecznościowych zachęcała odbiorców do zarejestrowania się, przeczytania nowej wiadomości lub odpowiedzi na komunikat informujący o tym, że nie udało się dostarczyć wysyłki. W rzeczywistości, po kliknięciu odsyłacza użytkownicy trafiali na zainfekowaną stronę internetową, z której byli przekierowywani do sklepu internetowego sprzedającego środki na zwiększenie potencji.

Autorzy tej masowej wysyłki imitowali powiadomienia od różnych firm, w tym Apple, Yahoo, Google, Amazon, eBay, Twitter, Instagram, Skype itd. Spamerzy nie włożyli wiele wysiłku w spreparowanie tych wiadomości: fałszywe e-maile wysłane w imieniu różnych firm zostały zaprojektowane przy użyciu tego samego szablonu; zmieniona została jedynie nazwa firmy.

Co ciekawe, podejście to (fałszywe powiadomienie, odsyłacz do zainfekowanej strony oraz przekierowanie na stronę docelową) jest często stosowane przez spamerów rozprzestrzeniających szkodliwy kod. Tego rodzaju spam jest rozprzestrzeniany za pośrednictwem programów partnerskich, w których spamer zarabia na każdym użytkowniku, który kliknie odsyłacz, a tym samym zainfekuje swój komputer. Warunki reklamowania wysyłek są takie same, z tą jedynie różnicą, że spamerzy zarabiają prowizję na pigułkach sprzedawanych za pośrednictwem rozprzestrzenianych odsyłaczy. To oznacza, że osoby atakujące stosują te same taktyki dla różnych programów partnerskich. W III kwartale odnotowaliśmy przypadki wykorzystania tej samej masowej wysyłki dla dwóch różnych programów partnerskich: odsyłacze w e-mailach prowadziły do różnych zasobów w zależności od regionu lub pory dnia. Na przykład, użytkownicy z państw, w których medykamenty są dostępne tylko na receptę, byli przekierowywani na stronę Viagry, podczas gdy wszyscy inni odbiorcy – na oszukańczy lub szkodliwy zasób.

W innej masowej wysyłce spamowej wykorzystano metody socjotechniki (fałszywe powiadomienia z popularnego zasobu) oraz zaciemnianie odsyłaczy.

Wiadomości e-mail podszywały się pod powiadomienia z serwisu Google Message Center. Ich treść zawierała odsyłacz do domeny Google. W rzeczywistości, spamerzy wykorzystali jedynie usługę Tłumacz Google w celu zamaskowania własnych stron internetowych: wysłali żądanie przetłumaczenia adresów strony internetowej. Tak naprawdę oszuści nie potrzebowali tłumaczenia, ponieważ strony były pierwotnie w języku angielskim i zostały przetłumaczone na język angielski.

Spamerzy zastosowali jeszcze inną sztuczkę: niektóre znaki w odsyłaczu (różne w każdym e-mailu) zostały zastąpione odpowiednikiem w systemie szestnastkowym w ASCII. Przeglądarka bez trudu rozpoznała zaciemniony odsyłacz i otworzyła odpowiednią stronę, jednak dla filtrów spamowych każdy odsyłacz wyglądał unikatowo.