Hlavní navigace

Spammeři jsou zase mazanější

2. 8. 2011 22:56 Ondřej Caletka

E-mailové schránky českých uživatelů byly v posledních dnech pod útokem cílené kampaně spamů, přesněji tedy spíše scamů. Cílem tentokrát bylo nalákat uživatele na podvodnou službu GSMlocator, nabízející údajné zjištění polohy mobilního telefonu na základě telefonního čísla. Jako u každého scamu podfukář vytvoří u oběti dojem, že je všechno v naprostém pořádku a k získání polohy zbývá poslední drobný krůček – test pro vyloučení robotů. Ten se neprovádí pomocí opisování obrázku, ale posláním SMS. Aplikace přitom nijak neupozorňuje na to, že jde o prémiovou SMS v hodnotě 79 Kč. Také přesně jako každý správný scam to opsáním kódu nekončí, oběť dostane doplňující otázku na věk, odpověď zase pomocí SMS. Dál už to na serveru Hoax.cz nezkoušeli, ani se jim nedivím :)

Na celém případu pro mě není ani tak zajímavé, kolik lidí se v touze po nabourání cizího soukromí nechalo napálit, nezajímá mě ani podivné tvrzení, že „Přihlášení do mobilního telefonu do sítě operátora je šifrováno a signál je veden přes pozemní vysílač do satelitu“ Co mě opravdu zaujalo je způsob, jakým se spam rozšířil.

Odesílat klasický spam dnes není vůbec jednoduché, spamfiltry jsou den ode dne dokonalejší, open relay SMTP serverů ubývá a ty co existují, jsou dávno zapsány na černých listinách. Pořídit si vlastní botnet je taky spousta práce a navíc trvalý boj s výrobci antivirů.

Scammeři z GSMlocatoru objevili nový způsob, jak spamfiltry zmást. Mohlo to proběhnout asi takhle:

  1. V Google vyhledali pojem „czech freemail“. Hned první odkaz je zavedl na Seznam.
  2. Prozkoumali povinná pole registračního formuláře, zjistili, že jich mnoho není.
  3. Za několik člověkohodin vytvořili program pro automatizované registrování účtů. Formulář je chráněn poměrně čitelným CAPTCHA kódem, pokud by byl problém s OCR, není problém za pár centů zaměstnat indický cloud.
  4. Dalších pár člověkohodin zabralo vytvoření programu pro odeslání e-mailu prostřednictvím webového rozhraní Seznamu.
  5. Výsledný program předali nejspíše pronajatému botnetu. Ten zaregistroval mnoho účtů a odeslal mnohokrát mnoho e-mailů.

Kde je ten zásadní rozdíl proti klasickému spamu? Dříve se spamy šířily tak, že jejich zdroj se choval jako primitivní MTA. Připojil se na port 25, vychrlil zprávu SMTP protokolem, a aniž čekal na odpověď, šel o dům dál. Takové spamy jsou dnes díky technikám jako greylisting snadno zachytitelné a rozpoznatelné.

Teď došlo k tomu, čeho se bojovníci proti spamu obávali. Zdroj spamu namísto imitace primitivního MTA použije skutečného poštovního klienta hostitelského systému, v tomto případě webmail Seznamu. Takovým způsobem je možné odeslat výrazně méně e-mailů co do kvantity, ovšem pravděpodobnost jejich doručení je dramaticky vyšší.

Perličkou na celém incidentu je digitální podpis DKIM, který Seznam automaticky přikládá e-mailům, které projdou přes jejich poštovní servery. Spamy GSMlocatoru měly validní DKIM podpis, proto si také mohu být tak jistý příběhem o vzniku zprávy. Na rozdíl od jiných spamů tedy tento nefalšuje identitu odesílatele a chcete-li, můžete na něj odpovědět. Dlužno dodat, že e-mailová schránka pravděpodobně byla Seznamem dávno zrušena a i kdyby nebyla, vaši odpověď si stejně nikdo nepřečte. V každém případě v tuto chvíli bylo prolomeno tvrzení Tomáše Hály ze společnosti Active 24:

Ačkoli je to technicky možné, zatím jsme se nesetkali se spamem podepsaným DKIMem, pouze tak přišly nedoručenky.

Co proti tomu dělat?

Tady je každá rada drahá. Nenapadá mě žádný spolehlivý způsob, jak takovýto spam odfiltrovat. Samozřejmě, Seznam by mohl vylepšit CAPTCHA a dodat další autentizační faktor pro vytvoření účtu. Ale jaký? Ověřovací e-mail se pro zřizování freemailu moc nehodí. Ověření pomocí telefonu, SMS, nebo klasické pošty je zase poměrně nákladné.

Další možnosti boje proti spamu jsou založeny na statistice. Seznam a jemu podobní by nejspíše měli v reálném čase vyhodnocovat neobvyklé počty registrací z exotických krajů (do mé schránky dorazily spamy postupně ze Španělska, Guatemaly a Dominikánské republiky) a případně pozdržet několik hodin po registraci jejich zprávy k analýze. Jenže jak tu analýzu udělat? Při zachování telekomunikačního tajemství je nemožné, aby obsah pozdržených zpráv prohlíželi lidé. A stroje jen velmi těžko zachytí nově vzniklý scam…

Nemyslím si, že by v Seznamu něco zanedbali. Spíše doplatili na to, že jsou první na ráně. Docela by mě zajímalo nějaké vyjádření k tomuto incidentu přímo od Seznamu. Snad se časem dočkáme.