Ewolucja spamu 2008

Przeczytaj także: Ewolucja spamu 2007

Rosyjscy użytkownicy przywykli do płacenia za drobne usługi przy użyciu wiadomości tekstowych i często nie podejrzewają oszustwa. Krótkie numery są legalnie wykorzystywane do głosowania, w konkursach oraz quizach. Wysyłając wiadomość tekstową, użytkownicy mogą płacić za zawartość swoich telefonów komórkowych (dzwonki, tapety, gry oparte na Javie itd.), umieszczać wiadomości na stronach internetowych, forach i blogach oraz uzyskiwać dostęp do stron WAP. Wiadomości tekstowe są również wykorzystywane przez wiele różnych serwisów (serwisy randkowe, informacyjne itd.).

Wszystkie te czynniki wykorzystują oszuści. Wydzierżawiają krótkie numery z prefiksami, a następnie rozsyłają wiadomości spamowe, które mają wyglądać jak oficjalne e-maile od administratorów różnych zasobów i usług. Maile te zawierają specjalne oferty zachęcające odbiorców do wysłania wiadomości tekstowych na krótki numer, nie podają jednak kosztu wysłania takiej wiadomości (150-300 rubli lub około 4-9 dolarów).

Dostawcy rozwiązań opartych na wykorzystywaniu krótkich numerów próbują kontrolować działalność swoich partnerów poprzez blokowanie numerów wykorzystywanych do oszustw. Wydaje się jednak, że tego typu oszustwa będą stosowane tak długo, jak długo oszuści będą mogli zarabiać na nich pieniądze. Aby uniknąć nieoczekiwanych wydatków, Kaspersky Lab radzi nie wierzyć w treści wiadomości spamowych. A przynajmniej, zawsze sprawdzić informacje znajdujące się na stronie internetowej firmy, która rzekomo wysyła taką wiadomość.

Spam a portale społecznościowe

Portale społecznościowe stały się bardzo popularne w ostatnich latach (bez wątpienia stanowią gotowe bazy informacji o użytkownikach). Stanowią również popularny cel spamerów.

Spamerzy wysyłają fałszywe powiadomienia (pochodzące rzekomo od administratorów portali społecznościowych), aby skłonić użytkowników do odwiedzenia strony zainfekowanej szkodliwym oprogramowaniem lub wysłania wiadomości tekstowej na krótki numer, jak również pomóc phisherom, którzy zbierają loginy i hasła użytkowników.

Z raportu wynika, że w czerwcu pojawiła się masowa wysyłka imitująca wiadomości pochodzące z dobrze znanego rosyjskiego portalu społecznościowego, www.odnoklassniki.ru. Wiadomość "udawała" komunikat, jaki osoby odwiedzające tę stronę często mogły tam znaleźć. Jednak uważny użytkownik potrafiłby dostrzec różnicę: odsyłacz nie prowadził do oficjalnej strony, ale do sfałszowanej (odnolassniks.info, odnoklass.ru lub odnoklassniks.ru). Adres URL, notabene zarejestrowany w Singapurze, był łudząco podobny do oryginalnego. Z tą różnicą, że użytkownicy, którzy kliknęli odsyłacz, nieświadomie pobierali trojana Trojan.Win32.Agent.qxk, po czym automatycznie byli przekierowywani na oryginalną stronę, www.odnoklassniki.ru.

Wiadomości te otrzymali nie tylko zarejestrowani użytkownicy odnoklassniki.ru, ale również osoby, które nie odwiedzały tego portalu. Bez wątpienia głównymi odbiorcami tej wysyłki mieli być członkowie odnoklassniki.ru. Atak został misternie zaplanowany, mimo to nie powiódł się: konfiguracja zainfekowanych stron umożliwiała odwiedzenie jej w tym samym czasie przez ograniczoną liczbę użytkowników; poza tym w większości przypadków użytkownicy nie pobrali trojana na swoje maszyny.

W innym ataku spamerzy wykorzystali popularność portali społecznościowych do wyłudzenia pieniędzy od użytkowników Internetu: wiadomość pochodząca rzekomo od administratorów innego rosyjskiego portalu społecznościowego, VKontakte, zachęcała odbiorców do wzięcia udziału w loterii i wysłania "darmowej" wiadomości tekstowej na krótki numer. Wiadomość informowała odbiorcę, że Vkontakte.ru uruchomił specjalną pulę nagród oraz gwarantowany bonus "+300%". Aby otrzymać bonus i wziąć udział w loterii, użytkownik musiał wysłać na krótki numer darmową wiadomość tekstową z określonym kodem.

W październiku spamerzy zrobili "kolejny" krok, organizując następną masową wysyłkę, która rzekomo pochodziła z portalu VKontakte. Użytkownicy zostali poproszeni o sprawdzenie nowego serwisu, który mieli oferować administratorzy tego portalu. Ci, którzy kliknęli odsyłacz, byli przekierowywani na fałszywą stronę internetową, na której proszono ich o zarejestrowanie się na VKontakte. Po wprowadzeniu swoich danych, użytkownicy dowiadywali się, że ich adres e-mail nie jest zarejestrowany lub że źle podali swoje hasło; w rezultacie phisherzy mieli dostęp do wprowadzonych loginów i haseł.

Portale społecznościowe stały się tak popularne, że szkodliwi użytkownicy stworzyli nawet specjalny program do automatycznego pobierania loginów i haseł podczas odwiedzania prywatnej strony użytkownika na portalu społecznościowym. Program ten, reklamowany w wiadomościach spamowych, w rzeczywistości automatycznie wypełniał formularz rejestracyjny dla użytkowników portalu, a jednocześnie przesyłał wszystkie dane osobowe użytkowników na strony internetowe szkodliwych użytkowników.