Video: Week 10 (Oktober 2024)
Postleverandører blir flinkere til å filtrere bort spam før det til og med treffer innboksene våre. Likevel kommer noen meldinger fremdeles. Spammere finjusterer kontinuerlig kampanjene sine for å komme forbi spamfiltrene. Noen ganger blir vi spammet fordi vennene våre falt for svindel. Spam er fortsatt et problem, men det er et vi kan løse.
SecurityWatch ba sikkerhetsekspertene på Cloudmark flagge og analysere en pågående spam-kampanje. Vi ser på type meldinger som blir sendt og infrastrukturen bak operasjonen som brukes. Denne måneden ser vi på en operasjon som heter "Com Spammers."
Com Spammer-operasjonen
Com Spammer-operasjonen spesialiserer seg på hjemmefra-ordninger, slankepiller, og nylig, et mirakel mot aldrende hudkrem. Gjengen tjener penger på e-post- og SMS-spamkampanjer gjennom ofre som melder seg på for å kjøpe et av disse produktene. Når det gjelder slankepiller som blir sendt fra en forstad til Atlanta, Georiga, vil antagelig ofre finne tilbakevendende to- eller tresifrede kostnader på kredittkortene sine hver måned.
Den føderale handelskommisjonen var i stand til å stenge deler av svindelen med flere millioner dollar fra hjemmet fra hjemmet i midten av februar, "men de er nå tilbake på sine gamle triks, " sier Andrew Conway, forskningsanalytiker i Cloudmark. Gjengen hadde omdirigert de eldre koblingene fra hjemmet for å markedsføre slankepiller etter FTC-aksjonen, men denne siden av virksomheten ser ut til å være tilbake i aksjon.
Hvordan operasjonsfunksjonene
Denne operasjonen bruker forskjellige domener som destinasjonssider, noe som ikke er så uvanlig blant spammere, men det er verdt å merke seg at mange av domenene begynner med com_. Dette prefikset gjør det vanskelig for en gjennomsnittlig bruker å fortelle ved første øyekast om domenet er falsk. For eksempel ser koblingen foxnews.com_ab12.net/new_diet.php ut som om det er en foxnews.com URL når det faktisk er en com_ab12.net URL.
Spammere registrerer disse nettstedene med en hastighet på tjue eller mer om dagen.
Mens meldingene kan inneholde den faktiske URL-en til destinasjonssiden, er mange av dem avhengige av en mellomlenke. Det kan bety en kobling fra en URL-forkortelse, for eksempel bit.ly, eller en lenke til et nettsted som vil omdirigere brukeren til landingssiden. Gruppen har over 4300 kompromitterte webservere som brukes til å omdirigere brukere til de viktigste destinasjonssidene, sa Cloudmark.
En tilknyttet programstruktur
Com Spammer er strukturert som et tilknyttet program, med lag av enkeltpersoner dedikert til spesifikke oppgaver. Det første nivået har uavhengige spammere som sender ut spam-meldinger, ofte via botnets. Neste nivå inkluderer de som er ansvarlige for å sette opp og vedlikeholde landingssidene, som kan se ut som nyhets- eller magasinsider. Det tredje nivået består av menneskene som har som oppgave å hente ut så mye penger som mulig fra ofrene som besøker landingssidene.
"Det ser ut som om noen hadde plukket opp slakken med å tjene penger på denne spam. Vi håper at folk nå er mer bevisste på dette og ikke blir offer for det, " sa Conway.
SecurityWatch vil samarbeide med Cloudmark månedlig for å analysere flere spam- og phishing-kampanjer. Neste måned ser vi på mobil spam.
