A feltört e-mail fiókok felszabadítják a súlycsökkentő spam hullámait

Fogyás spam? Látta. Spam a feltört e-mail fiókokról? Látta. Törvényes webhelyeken tárolt átirányítások? Látta. Akkor itt semmi új, haladj tovább.

súlycsökkentő

Ha mindez olyan régi kalap, miért láthattunk ekkora aktivitást ezekből a spam kampányokból az elmúlt hetekben?

Tegnap kaptam egy spam üzenetet, amelyet a személyes e-mail címemre küldtem egy barátomtól. Az üzenetek némiképp ritkák voltak, tárgysoruk nem volt, és csak egyetlen URL volt az üzenet törzsében.

Azonnal tudtam, hogy még rengeteg lesz. Véletlenül több levelezőlistán vagyok ugyanazzal a személlyel. Valóban, a spam üzenetek elkezdtek jönni ezen a listán.

Az üzenet törzsében lévő link egy olyan webhelyre mutat, amelyet törvényes webhelyen tároltak, és amelyet feltört. Ezen az oldalon egy „Ön azért van itt, mert az egyik barátja…” üzenet jelenik meg a felhasználónak. Ez az üzenet mostanra egyre ismertebbé válik, több hónapja használják ezeket a kampányokat.

Ezen üzenet mögött egy meta-átirányítás található, amely a felhasználót a cél spam webhelyre viszi.

A spam weboldal valószínűleg megváltozott a kampány során, de a közelmúltban a fogyókúrás gyógyszereket szorgalmazta.

A Sophos termékek Troj/Redir-O néven blokkolják az átirányítási oldalt. Ez lehetővé teszi számunkra, hogy lássuk, mennyire elterjedtek ezek a kampányok. Nyilvánvalóan sokan kapják a spam üzeneteket - az elmúlt héten a Troj/Redir-O:

- a 4. legelterjedtebb webes fenyegetés blokkolva a Sophos Anti-Virus szoftvert futtató számítógépeken
- a 2. leggyakoribb webes fenyegetést a Sophos webkészülékek blokkolják

Tekintettel arra, hogy ebben a kampányban kevés erőfeszítést fordítottak a szociális mérnöki munkára, ez a siker meglepő lehet. Talán egyszerűen azt tükrözi, hogy az emberek általában bíznak a barátoktól és kollégáktól kapott üzenetekben?

Nem szabad. Talán ártalmatlannak tekinthető az átirányítás egy orvosi webhelyre, de történelmileg ugyanezeket a kampányokat használták a felhasználók átirányítására a webhelyek kihasználására is.

Különböző legális webhelyek tárhelyeit hackelték fel, és ezeken a kampányokon az átirányítások fogadására használták őket. A webhelyeket globálisan, különféle szolgáltatóknál tárolják.

Néhány fontos tanulságot meg kell tanulnunk az ilyen típusú kampányokból:

  • a feltört e-mail fiókok arany por a támadók számára
  • a feltört webhelyek aranyborot jelentenek a támadók számára
  • sok olyan ember van, aki vakon kattint az e-mailben kapott linkekre (szociális mérnöki trükkök nélkül is!)

Azok a személyek, akiknek az e-mail fiókjaikat feltörték:

  • változtassa meg jelszavát, biztosítva, hogy megfelelőt válasszon (további tanácsokat itt talál a GMail felhasználói számára)
  • ügyeljen arra, hogy hova jelentkezzen be személyes e-mail fiókjába. Ne jelentkezzen be nem megbízható, nyilvános számítógépeken.
  • Ellenőrizze a fiók zárolásához és felügyeletéhez rendelkezésre álló beállításokat (például kétfaktoros bejelentkezés, az utolsó bejelentkezési IP megjelenítése stb.)

Azok a webhelytulajdonosok, akiknek a webhelyét feltörték:

  • jelszavak módosítása (FTP, admin)
  • kitisztítja (eltávolítja) a hozzáadott átirányítási oldalakat
  • a webhely lezárásához rendelkezésre álló felülvizsgálati lehetőségek (tiltsa le az FTP-t, csak szükség esetén engedélyezze az sFTP-t stb.)
  • további tanácsokat a weboldalak biztonságával kapcsolatban megtalálhatunk műszaki lapunkban