Spam w I kw. 2013 r.

Przeczytaj także: Spam po polsku

Autor niemieckojęzycznej masowej wysyłki pisze, że jako przyjaciel zmarłego Hugo Chaveza został poproszony o zaopiekowanie się kontem bankowym kochanki zmarłego przywódcy Wenezueli, na którym znajdują się 23 miliony dolarów. Nagroda zostanie wypłacona każdemu, kto może pomóc zdeponować te pieniądze.

Sposób interakcji nigeryjskich oszustów z potencjalnymi ofiarami jest dobrze znany. Na początkowym etapie celem jest wzbudzenie zainteresowania odbiorcy i nakłonienie go do odpowiedzi na e-mail. W dalszej korespondencji ofiara jest proszona o przelanie na wskazane konto niewielkiej kwoty – nieznacznej w porównaniu z obiecywaną nagrodą. Pieniądze te zostaną rzekomo przeznaczone na opłacenie usług prawniczych, podatków itd. Jednak po otrzymaniu pieniędzy oszuści urywają wszelki kontakt z ofiarą.

Fałszywe powiadomienia z portali społecznościowych

Spamerzy, zwłaszcza ci, których celem jest infekowanie komputerów użytkowników, nadal wykorzystują fałszywe powiadomienia wysyłane rzekomo z dobrze znanych serwisów. W pierwszym kwartale 2013 roku oprócz Facebooka i Twittera tego rodzaju powiadomienia były wysyłane również z serwisu Foursquare. Po raz kolejny potwierdziła się prosta zasada: im popularniejszy serwis, tym większe prawdopodobieństwo, że będzie podrabiany przez spamerów.

Cyberprzestępcy najczęściej wykorzystują tego rodzaju e-maile w celu rozprzestrzeniania odsyłaczy do zestawów exploitów, które potrafią znaleźć lukę na komputerze użytkownika i zainstalować za jej pośrednictwem inne szkodliwe programy. Wśród spamerów szczególną popularnością cieszy się zestaw exploitów Blackhole.

Jednak scammerzy nie zawsze dbają o to, żeby nagłówek pola „Od” ich fałszywej wiadomości pasował do treści e-maila. Co ciekawe, błąd ten popełniają oszuści, którzy wysyłają fałszywe wiadomości wykorzystujące nazwiska takich gigantów w branży medialnej jak CNN czy BBC. Może to świadczyć o tym, że wszystkie te masowe wysyłki są kontrolowane przez jedną grupę cyberprzestępców.

Metody i sztuczki spamerów

Nie ma wątpliwości, że współczesnym spamerom trudno wymyślić coś nowego: wszystkie triki zostały już wykorzystane w tej czy innej formie. W efekcie, oszuści stosują połączenie kilku technik, w tym takich, które były kiedyś popularne, ale od pewnego czasu nie są już używane. Ponadto, aby obejść filtry spamowe, spamerzy wykorzystują możliwości, jakie oferują im legalne serwisy.

Wykorzystywanie legalnych serwisów

W pierwszym kwartale 2013 roku odnotowaliśmy masową wysyłkę, która zawierała standardowe reklamy specyfików medycznych dla mężczyzn, i odkryliśmy, że zastosowano następujące sztuczki:

Nagłówek „Instagram Account Delete” to typowy przykład wykorzystania socjotechniki. W celu przyciągnięcia uwagi użytkownika scammerzy podnieśli alarm dotyczący potencjalnego problemu z popularnym serwisem online. Jeżeli odbiorca posiada konto w serwisie Instagram, istnieje szansa, że otworzy e-mail, zamiast od razu usunąć go.
Rzeczywisty adres, do którego prowadzi szkodliwy odsyłacz, jest maskowany przy użyciu dwóch legalnych metod jednocześnie. Po pierwsze, spamerzy wykorzystali usługę skracania adresów URL Yahoo, a następnie przetworzyli odsyłacz przy użyciu Google Translate. Usługa ta potrafi przetłumaczyć strony internetowe, do których prowadzi wskazany przez użytkownika odsyłacz, i wygenerować własny odsyłacz do tego tłumaczenia. Połączenie tych technik sprawia, że każdy odsyłacz w masowej wysyłce jest unikatowy, a wykorzystanie dwóch dobrze znanych domen przydaje „wiarygodności” temu odsyłaczowi w oczach odbiorcy.

Ponadto, aby jeszcze bardziej zmylić odbiorcę, spamerzy zakończyli odsyłacz bezsensownym żądaniem składającym się z losowych słów «? / Constitutional contextualization».

Spamerzy często wykorzystują serwisy skracania adresów URL. Po pierwsze, robią to w celu obejścia filtrów spamowych – dzięki temu odsyłacz w każdym e-mailu jest unikatowy. Po drugie, wykorzystywanie tego rodzaju serwisów nie wiąże się z dodatkowymi kosztami dla scammerów, w przeciwieństwie do nabywania domen czy przeprowadzania ataków hakerskich na legalne strony. Z drugiej strony, najpopularniejsze serwisy służące do skracania adresów URL próbują monitorować zawartość stron internetowych, do których przekierowują użytkowników, i szybko blokować szkodliwe odsyłacze.

Powrót „białego tekstu”

W pierwszym kwartale 2013 roku spamerzy wznowili wykorzystywanie popularnej kiedyś metody tworzenia szumu w tle znanego jako „biały tekst”. Metoda ta polega na dodawaniu do e-maila losowych fragmentów tekstu (w tym kwartale były to sekcje doniesień informacyjnych). Wstawki te są pisane jasnoszarą czcionką, znajdują się na szarym tle i są oddzielone od głównego tekstu reklamy wieloma przerwami. Oszuści oczekują, że oparte na zawartości filtry spamowe uznają te e-maile za newslettery, a wykorzystanie losowych fragmentów newsów sprawia, że każdy e-mail jest unikatowy, a przez to trudny do wykrycia.