Video: I Made 3 Meals With 1 Can Of Spam • Tasty (November 2024)
E-mailproviders worden steeds beter in het wegfilteren van spam voordat deze zelfs onze Postvak IN raakt. Toch komen sommige berichten nog steeds door. De spammers passen hun campagnes voortdurend aan om voorbij de spamfilters te komen. Soms krijgen we spam omdat onze vrienden vielen voor een oplichterij. Spam is nog steeds een probleem, maar het is een probleem dat we kunnen oplossen.
SecurityWatch heeft de beveiligingsexperts van Cloudmark gevraagd om een lopende spamcampagne te markeren en te analyseren. We kijken naar het type berichten dat wordt verzonden en de infrastructuur achter de gebruikte operatie. Deze maand kijken we naar een operatie genaamd "Com Spammers."
De Com Spammer-bewerking
De operatie Com Spammer is gespecialiseerd in thuiswerkschema's, dieetpillen en sinds kort een wonder tegen huidveroudering. De bende verdient geld met de e-mail en sms-spamcampagnes via slachtoffers die zich aanmelden om een van deze producten te kopen. In het geval van de dieetpillen, die worden verzonden vanuit een buitenwijk van Atlanta, Georiga, zullen slachtoffers waarschijnlijk maandelijks terugkerende kosten met twee of drie cijfers op hun creditcards vinden.
De Federal Trade Commission was in staat om medio februari delen van de zwendel van meerdere miljoenen dollar te sluiten, "maar ze zijn nu terug op hun oude trucjes", zei Andrew Conway, een onderzoeksanalist bij Cloudmark. De bende had de oudere thuiswerk-links omgeleid om dieetpillen te promoten na de FTC-actie, maar deze kant van het bedrijf lijkt weer in actie te zijn.
Hoe de bediening werkt
Deze bewerking gebruikt verschillende domeinen als bestemmingspagina's, wat niet zo ongewoon is onder spammers, maar het is vermeldenswaard dat veel van de domeinen beginnen met com_. Dit voorvoegsel maakt het voor een gemiddelde gebruiker moeilijk om in één oogopslag te zien of het domein nep is. De link foxnews.com_ab12.net/new_diet.php ziet er bijvoorbeeld uit alsof het een foxnews.com-URL is terwijl het eigenlijk een com_ab12.net-URL is.
De spammers registreren deze sites met een snelheid van twintig of meer per dag.
Hoewel de berichten mogelijk de werkelijke URL van de bestemmingspagina bevatten, vertrouwen veel van hen op een tussenliggende link. Dat kan een link van een URL-verkorter zoals bit.ly zijn, of een link naar een website die de gebruiker doorverwijst naar de bestemmingspagina. De groep heeft meer dan 4.300 gecompromitteerde webservers die worden gebruikt om gebruikers om te leiden naar de belangrijkste bestemmingspagina's, aldus Cloudmark.
Een gelieerde programmastructuur
Com Spammer is gestructureerd als een partnerprogramma, met niveaus van individuen die zijn gewijd aan specifieke taken. Het eerste niveau heeft onafhankelijke spammers die spam-berichten versturen, vaak via botnets. Het volgende niveau omvat degenen die verantwoordelijk zijn voor het instellen en onderhouden van de bestemmingspagina's, die eruit kunnen zien als nieuws- of tijdschriftensites. Het derde niveau bestaat uit de mensen wiens taak het is om zoveel mogelijk geld uit de slachtoffers te halen die de landingspagina's bezoeken.
"Het lijkt erop dat iemand de achterstand heeft opgelopen bij het genereren van inkomsten met deze spam. We hopen dat mensen zich hier nu meer van bewust zijn en er geen slachtoffer van worden", aldus Conway.
SecurityWatch werkt maandelijks samen met Cloudmark om meer spam- en phishingcampagnes te analyseren. Volgende maand kijken we naar mobiele spam.
