Отслабване спам? Виждал съм го. Спам от хакнати имейл акаунти? Виждал съм го. Пренасочвания, хоствани на легитимни уеб сайтове? Виждал съм го. Тогава няма нищо ново, продължете.

акаунти

Ако всичко това е толкова стара шапка, защо видяхме такава вълна от активност от тези спам кампании през последните седмици?

Точно вчера получих няколко спам съобщения, изпратени на личния ми имейл адрес от приятел. Съобщенията бяха малко оскъдни, без тема и само един URL адрес в тялото на съобщението.

Веднага разбрах, че ще има много повече. Случва се да попадна в няколко пощенски списъка с едно и също лице. Разбира се, спам съобщенията започнаха да идват през този списък.

Връзката в тялото на съобщението сочи към страница, хоствана на легитимен уебсайт, която е компрометирана. Тази страница показва съобщение „Вие сте тук, защото един от вашите приятели ...“ на потребителя. Това съобщение става доста познато сега, тъй като се използва в тези кампании от няколко месеца.

Зад това съобщение се крие мета пренасочване, което отскача потребителя до целевия сайт за нежелана поща.

Уебсайтът за спам най-вероятно се е променил по време на тази кампания, но напоследък той настоява за лекарства за отслабване.

Продуктите на Sophos блокират страницата за пренасочване като Troj/Redir-O. Това ни позволява да видим колко широко са разпространени тези кампании. Очевидно има много хора, получаващи спам съобщения - през последната седмица Troj/Redir-O е:

- четвъртата най-разпространена уеб заплаха, блокирана на компютри, работещи със Sophos Anti-Virus
- втората най-разпространена уеб заплаха, блокирана от уеб уредите на Sophos

Предвид липсата на усилия, вложени в социалното инженерство в тази кампания, този успех може да бъде изненадващ. Може би това просто отразява как хората обикновено се доверяват на съобщенията, които получават от приятели и колеги?

Не бива. Може би пренасочването към сайт за медикаменти се счита за безобидно, но в историята същите тези кампании са били използвани за пренасочване на потребителите към експлоатация на сайтове.

Съкровища на различни легитимни сайтове бяха хакнати и използвани за хостване на пренасочванията в тези кампании. Сайтовете се хостват в световен мащаб при различни доставчици.

Има някои важни уроци, които трябва да научим от този тип кампании:

  • хакнатите имейл акаунти са златен прах за нападателите
  • хакнатите уеб сайтове са златен прах за нападателите
  • има много хора, които сляпо кликват върху връзки, които получават по имейл (дори без трикове за социално инженерство!)

За лица, чиито имейл акаунти са хакнати:

  • променете паролата си, като се уверите, че сте избрали подходяща (вижте тук за допълнителни съвети за потребителите на GMail)
  • внимавайте къде влизате в личния си имейл акаунт. Не влизайте в ненадеждни, обществени компютри.
  • Проверете наличните настройки за заключване и наблюдение на акаунта (например двуфакторен вход, показване на последния IP адрес за вход и т.н.)

За собственици на сайтове, чиито уеб сайтове са компрометирани:

  • промяна на пароли (FTP, администратор)
  • почистване (премахване) на добавени страници за пренасочване
  • налични опции за преглед за заключване на сайта (деактивирайте FTP, активирайте sFTP само когато е необходимо и т.н.)
  • допълнителни съвети относно защитата на уебсайтове можете да намерите в нашия технически документ