Вкусен спам: подъл urls жертви трик в хапчета за диета, измами от работа от вкъщи

Доставчиците на поща стават все по-добри във филтрирането на нежелана поща, преди дори да удари в нашите пощенски кутии. Въпреки това някои съобщения все още се получават. Спамерите непрекъснато опипват кампаниите си, за да преминат през филтрите за спам. Понякога получаваме спам, защото приятелите ни паднаха за измама. Спамът все още е проблем, но той е един, който можем да разрешим.

SecurityWatch поиска експертите по сигурността в Cloudmark да сигнализират и анализират текуща кампания за спам. Разглеждаме вида на изпращаните съобщения и инфраструктурата, която стои зад използваната операция. Този месец разглеждаме операция, наречена „Com Spammers“.

Операцията Com Spammer

Операцията Com Spammer е специализирана в схеми за работа от вкъщи, хапчета за отслабване и наскоро - чудо-крем против стареене на кожата. Бандата монетизира кампаниите за спам по имейл и SMS чрез жертви, които се регистрират, за да купят един от тези продукти. В случай на хапчетата за диета, изпратени по пощата от предградие на Атланта, Георига, жертвите вероятно ще намерят повтарящи се дву- или трицифрени такси в кредитните си карти всеки месец.

Федералната комисия по търговията успя да закрие части от многомилионната измама за работа от дома в средата на февруари, „но сега те са отново при старите си трикове“, казва Андрю Конуей, изследователски анализатор от Cloudmark. Бандата беше пренасочила по-старите връзки за работа от вкъщи, за да популяризира хапчета за отслабване след акцията на FTC, но тази страна на бизнеса изглежда отново е в действие.

Как функционира операцията

Тази операция използва различни домейни като целеви страници, което не е толкова необичайно сред спамерите, но си струва да се отбележи, че много от домейните започват с com_. Този префикс затруднява обикновения потребител да разбере на пръв поглед дали домейнът е фалшив. Например, връзката foxnews.com_ab12.net/new_diet.php изглежда така, сякаш е URL адрес на foxnews.com, когато всъщност е URL адрес на com_ab12.net.

Спамерите регистрират тези сайтове със скорост двадесет или повече на ден.

Въпреки че съобщенията могат да включват действителния URL адрес на целевата страница, много от тях разчитат на междинна връзка. Това може да означава връзка от скъсяващ URL адрес като bit.ly или връзка към уебсайт, който ще пренасочи потребителя към целевата страница. Групата има над 4300 компрометирани уеб сървъри, използвани за пренасочване на потребителите към основните целеви страници, заяви Cloudmark.

Структура на партньорска програма

Com Spammer е структурирана като партньорска програма, с нива от хора, посветени на конкретни задачи. Първото ниво има независими спамери, които изпращат спам съобщения, често чрез ботнети. Следващото ниво включва лицата, отговорни за настройката и поддържането на целевите страници, които могат да изглеждат като сайтове за новини или списания. Третото ниво се състои от хората, чиято работа е да извличат възможно най-много пари от жертвите, които посещават целевите страници.

"Изглежда, че някой е взел слабата монетизация на този спам. Надяваме се, че хората сега са по-наясно с това и не стават жертва на него", каза Конуей.

SecurityWatch ще работи с Cloudmark месечно, за да анализира повече спам и фишинг кампании. Следващия месец разглеждаме мобилния спам.