Jak działają spamerzy?
Spam, niechciane, niezamawiane wiadomości, zalewające skrzynki pocztowe milionów użytkowników na całym świecie. Filtry antyspamowe są coraz doskonalsze i… wciąż sobie ze spamem w pełni nie radzą. Jak się to spamerom udaje?
Spam to jedna z najczęściej spotykanych form cyberzagrożeń, z którą codziennie zmaga się praktycznie każdy użytkownik poczty elektronicznej. Spamerzy nieustannie poszukują metod, które pomogą im ominąć filtry antyspamowe. Jednym z problemów, które cyberprzestępcy napotykają przy tworzeniu własnej infrastruktury do wysyłania wiadomości jest to, że gdy spam zaczyna być rozsyłany, jego źródła (adresy IP/domeny) mogą zostać zablokowane.
Z tego powodu wielu spamerów decyduje się atakować strony internetowe i serwery pocztowe, aby móc wykorzystać ich infrastrukturę do wysyłania spamu, ponieważ ma ona większe szanse dotrzeć do skrzynki odbiorczej, jeśli zostanie dostarczona z legalnego źródła.
Spamerzy realizują te działania na różne sposoby: jednym z nich jest nadużywanie stron internetowych połączonych z infrastrukturą SMTP, innym jest wykorzystanie skradzionych danych logowania (e-mail/hasło) do prób zalogowania się na konta pocztowe, z których mogą wysyłać spam. Zapoznałem się z ciekawym wpisem grupy Cisco Talos, w którym poddano analizie działania spamerów.
Spamerzy z sukcesem wykorzystują strony internetowe do zasypywania skrzynek pocztowych niechcianymi wiadomościami. Jedną z metod, w której się wyspecjalizowali jest wykorzystywanie formularzy na stronach internetowych, które wysyłają wiadomości e-mail np. w przypadku potwierdzenia rejestracji. Brak odpowiedniej walidacji danych wejściowych sprawił, że wiele z tych formularzy jest podatnych na manipulacje. Z czasem te ataki stały się bardziej zaawansowane, wykorzystując cross-site scripting (XSS) lub SQL injection.
Cyberprzestępcy mogą manipulować danymi, wprowadzając złośliwe linki i teksty w pola formularzy, co powoduje, że wysłane do użytkowników wiadomości zawierają treści generowane przez atakujących. Spamerzy korzystają także z popularnych narzędzi Google, aby rozsyłać spam. Choć Google aktywnie walczy z nadużyciami, spamerzy wykorzystują różnice w ustawieniach regionalnych oraz luki w zabezpieczeniach, aby uniknąć wykrycia.
Niestety poszkodowani mają niewiele możliwości ochrony przed tego rodzaju wiadomościami spamowymi. Większość e-maili wysyłanych przez formularze kontaktowe jest legalna, więc złośliwe wiadomości wtapiają się w standardowy ruch.
Bardzo częstą praktyką u wielu osób jest stosowanie tych samych poświadczeń do wielu kont. Tak jest wygodniej, prawda? Niestety, ale stanowi to ułatwienie przede wszystkim dla przestępców, którzy po skradzeniu hasła będą próbować zalogować się na różne konta, licząc na to, że użytkownicy używają tych samych danych logowania na wielu stronach. Istnieje spore prawdopodobieństwo, że im się uda. Metoda ta, nazywana credential stuffing umożliwia dostęp do legalnych serwerów pocztowych, które rzadko są blokowane przez filtry antyspamowe.
Skradzione dane logowania, które działają na różnych stronach i serwisach, są szczególnie wartościowe dla spamerów. Przestępcy testują te dane na serwerach SMTP, a po znalezieniu działających poświadczeń mogą uruchomić masową wysyłkę spamu. Narzędzia open-source, takie jak MadCat czy MailRip, umożliwiają automatyzację tego procesu. Atakujący korzystają także z własnych narzędzi, często szyfrując lub kodując treści wiadomości, aby utrudnić ich wykrycie. W momencie, gdy spamerzy uznają, że znaleźli działający serwer SMTP, rozpoczynają wysyłkę spamu na dużą skalę, co powoduje, że wykrycie i blokowanie tych wiadomości staje się wyzwaniem.
Jak próbuje się powstrzymać te ataki? Cisco Talos stosuje trik stary jak ludzkość. Podpuchę. Chodzi o sprawienie, aby atakujący uwierzyli, że znaleźli aktywne konto e-mailowe. Aby to osiągnąć, Specjaliści Cisco Talos skonfigurowali pułapki spamowe, które umożliwiają zgłoszenie wszystkich adresów, z których wysyłany jest spam, a to znacznie wpływa na ich zdolność do dostarczania wiadomości do skrzynki odbiorczej.
Jednak i tak jednym z najskuteczniejszych sposobów walki ze spamem pozostaje edukowanie użytkowników, by byli ostrożni wobec nieoczekiwanych wiadomości e-mail. Warto zwracać uwagę na treść e-maili, szczególnie te, które zawierają linki lub prośby o dane osobowe. Z technicznego punktu widzenia, użytkownicy powinni korzystać z unikalnych haseł do każdej usługi oraz regularnie je zmieniać. Pomocnym narzędziem może być menedżer haseł, który pozwala bezpiecznie przechowywać różne poświadczenia. Nie jest tajemnicą, że ludzie nie przykładają dużej wagi do tworzenia bezpiecznych haseł, o czym świadczy fakt, że najpopularniejszym niebezpiecznym hasłem przez ostatnie lata było „123456”. Tworzenie silnych haseł, korzystanie z menedżerów haseł oraz edukacja użytkowników to podstawowe narzędzia ochrony.
Cisco z najnowszym raportem na temat cyberbezpieczeństwa – nie jest dobrze