Нов спам, нов късмет

„Можете да печелите повече! Предлагаме персонално решение.“
„Вашето свободно време струва от 100 евро на час. Позволете ни да го платим!“
„Вашият ежемесечен доход може да се увеличи с 1950 евро.“
„Можете да печелите допълнително 200 евро на ден“
„Търсят се дистанционни бизнес-сътрудници, плащането е 100 евро на час.“
„Търсим бизнес-сътрудници във Вашия град за високо платена дистанционна работа.“
„Превърнете 2 Ваши свободни часа през седмицата в 230 евро“
„Хората от Вашия град ще платят 140 евро на час за помощта.“
„Ако имате прекалено много пари, това съобщение не е за Вас.“
„Каним Ви да работите в свободното си време срещу 100 евро на час.“
„Отделете 3 часа през седмицата и получете 580 евро.“

Това са само част от заглавията, които през последните няколко дни заливат пощенските кутии на повечето ми познати (и моята). Преведени на приличен български, очевидно не с Google Translate, а с нает преводач. Текстът вътре описва процъфтяваща холдингова компания, която търси под дърво и камък да ви наеме да печелите луди пари. А иска от вас единствено Интернет връзка, мобилен телефон и свободно време. И, разбира се, подробни документи, нали кандидатствате за работа…

Който има някакъв опит от спам, ще се е досетил вече, че става дума за някакъв сорт измама. Не всеки обаче ще знае за какъв точно. А вариантите не са много, така че си струва да бъдат описани. Предупреденият е въоръжен.

В най-модерните случаи това е просто набиране на лична информация – имена, адреси и телефони – на лековерни хора. Лековерният винаги е лесна и сладка жертва. Извънредно непълен списък на какво може да му се случи:

– звънване по телефона, много косвено и заобиколно уточняване дали си е в къщи и евентуално кога няма да си е, и изпразване на къщито от излишни мебели и ценности
– пълната програма телефонни измами („мамо, блъснах човек“, „тате, хванаха ме с наркотици“, „господине, детето ви е болно“ и прочее) – наивникът си е дал CV с възраст, семейно положение, адрес и всичко друго, нужно за да мине по-достоверно номерът. Пък и да не е, щом е лековерен на тема работа…
– продаване на личната му информация, агрегирана в големи масиви, на де що има заинтересован наоколо. А заинтересовани са не само домашните обирджии – кеф ти фирмени босове, кеф ти банки, кеф ти електрота и други частни монополи…
– проверка кога не е на лесно доказуемо място и натопяване с цел да прикрие истинския извършител на това или онова. И едрите кримки, и големите мутри, че дори полицията често имат нужда да прикрият някой престъпник. Да живеят баламите…
– измами с продаване / закупуване / зарибяване за боклуци (ако в биото пише, че си земеделец, е по-малко вероятно да си и компютърен експерт, та има смисъл да се пробват с компютърни измами – ако обаче си техничар, по-добре не бива, да не се разсмърди твърде рано).
– реално наемане за „биобот“ (естествено, за далеч по-смешни пари) – да пълниш спам по посещавани сайтове или да сееш вируси на ръка. После твоята ръка е, която някой пийнал или надрусан вбесен сисадмин ще запознае с бетонното желязо или релсата. Не ръката на кримката зад измамата.

В сегашния случай обаче ми се струва по-вероятна една далеч по-класическа и изпитана задача – набират се мулета за пари. Ако не знаете какво ще рече това – кратко описание:

Заразените с вируси компютри снасят на киберпрестъпниците достъпи до банкови сметки, кредитни карти и други „касички“. Да бъдат измъкнати от тях парите обаче не е лесно – банките пазят точни електронни записи откъде са минали парите и с огромно удоволствие ги предоставят на разследващите. При по-старателни полиции (такива има, ако и извън България) киберпрестъпникът може да бъде закопчан за часове, в типичния случай – за седмица-две, напоследък и по-бързо. Няма кога да изсмуче много пари и да бяга.

Тук идва мулето за пари. Неговата работа е да предостави банкова сметка, в която да идват парите от „продажби“, „реализации“, „сделки“ или на каквото друго наивникът е склонен да повярва. По уговорка той трябва да ги изтегля на ръка и да ги внася на ръка другаде, като си задържа процент. Пренасянето на парите на ръка създава прекъсване във веригата на електронна проследимост – да бъде закопчано и разпитано мулето отнема време. Така кримките имат повече време за действие и бягане. А в затвора вместо тях отива, естествено, мулето. Нали полицията трябва да отчита разкриваемост? След като е задържал процент от плячката, по закон е съучастник. Точка.

Мулетата за пари са полезни и за други цели. Не е проблем например да им кажеш да си смъкнат твоя безплатен счетоводен софтуер, че да контролират паричните потоци – щом са се подлъгали на тая, ще лапнат и това. Съответният софтуер я води някакво счетоводство, я не, но превръща компютъра в релейна станция за командване на мрежите от овирусени електронни зомбита. Или за атакуване на „твърди цели“, на жаргона на киберкримките – компютри на разузнавания, военни, големи корпорации и други, дето най-често първо стрелят. Защо да застрелят кримката, когато наивници бол?

Ако някой още не е убеден, имам въпрос към него. Ако той има работа, която носи по няколко хиляди евро на месец, а хората наоколо биха били щастливи на пет-шестотин лева, ще надуе ли главите на всички наоколо да я предлага за по няколко хиляди евро?…

Дотук с „внимание, наивник!“. Сега мъничко техничарство.

Тази спам-атака е качествено ново ниво не само с чудесния си превод. Смайва ме богатството на събраните адреси, това колко добре са изчистени от боклук (над 90% са истински) и т.н. Трудно ми е да си представя, че подобно нещо е възможно без зад кримките да са застанали ресурси в порядъци над тези, които стоят зад тях обикновено. Все още не знам дали това значи правителства (или службите им), купени Интернет, пощенски и/или мобилни доставчици, или какво. Надявам се да науча.

Картирах малко от източниците на спама. Класически ботнет, предимно върху домашни машини. Не съм смогнал да проверя кой е, но предполагам, че е новият руски ботнет, част от сървърите за управление на който бяха хостнати в CyberBunker.com. (Дето Spamhaus го блеклистнаха и съответно въпросният ботнет беше засилен срещу тях, като използваше за усилващи релеи DNS резолверите по света.) Което обяснява и кой вероятно е подкрепил киберкримките, и т.н.

По-интересно обаче е друго. Троянците, насъбрали тези е-майл адреси, са по заразените компютри вече повече от месец – вероятно са насъбрали колосално количество „касички“ за изпразване. А не се е чуло напоследък да има голямо източване. Може банките да са станали по-умели в прикриването. Но може и след като касичките са събрани, в момента да тече акцията за набиране на мулета. И когато свърши, се очаква изпразването да започне отведнъж и накуп, за да не смогне полицията да арестува веднага всички мулета. И да се качи КПД-то на източването.

Иначе казано – ако имате каквато и да било форма на онлайн достъп до ваши пари, защитете ги от неоторизирано теглене. Дали ще са в банкова сметка, кредитна карта или друга форма, помислете как да ѝ сложите нисък лимит, поне временно. И да включите опция да ви предупреждават веднага по телефона при всеки подозрителен разход. Бих очаквал до около три-четири месеца да има интересни времена за достъпните онлайн финансови ресурси.

Предупредени сте.

26 thoughts on “Нов спам, нов късмет

  1. Морфиус

    И по-просто възможно обяснение – онлайн финансова пирамида + евентуална продажба на лични данни, дай тука една вноска и после ще забогатееш…

    Reply
  2. Григор Post author

    @Морфиус: Напълно възможно. От краха на пирамидите около 1990-92 мина много време, вече има ново поколение неспособни да смятат – струва си да се пробва…

    Reply
  3. Шapкан

    дали някога от спамботовете ще се развие нещо наистина полезно за всекиго?

    надали, докато има мотиви и причини те да функционират в този си вид и с тези си цели. И за това трябва да се предупреждава.

    Reply
  4. CTEHATA

    За щастие на всички с малко повече ресурс по рутерите, блеклистването за 4 часа на всеки, който изпрати пакет, съдържащ “zaplatabg.com” към TCP порт 25 е добра възможност.

    Reply
  5. +0

    Ако точността на спама наистина е около 90% и източник е руска бот мрежа наистина изглежда зад сцената да има мащабно движение. Трудно ми е да си представя информация за клиенти на българска корпорация или институция да се озове в ръцете на руската организирана престъпност без да има организирани канали, лобита и като цяло изградено доверие и практики. От българска страна бих заложил на мобилен оператор, те не са много доволни от печалбите си напоследък, а и струва ми се са се изчерпили доста. Предполагам, че основния пакет с информацията е смесена с други по-малки такива, за да не бъде лесно открита. Така са обединени няколко множества и намирането на общ признак между тях е затруднено. Или пък таргет аудиторията да е в множество, което представлява не голяма част от цялото, но пък подбора да е такъв, че инвестицията да си заслужава.
    Питам се дали е възможно експерт по алгоритмите да направи анализ с минимална проба, такава каквато е възможно да се събере от в реална среда, та да се разбере коя е тази корпорация или институция дето тъй радушно храни с нашите информация и пари руската и международна престъпност.

    Reply
  6. Mandor

    У нас спамърите са почти законни (bullmail.org), а вие се тръшкате заради поредната измама… 😉

    Reply
  7. Григор Post author

    @СТЕНАТА: Също така itjobsbg.com и куп други сайтове, като списъкът им се обновява на всеки 1 час…

    @+0: Корпорацията предполагам, че е всяка по-голяма. Щом се купува, ще се продава.

    @Mandor: Кои са тези bullmail.org? Откакто ги забелязах и блеклистнах на сървъра ми, никой клиент на хостинга ми не се е оплакал от тях. 🙂

    Reply
  8. Иван

    @Григор,
    Какво мислиш за предложените поправките в закона за телекомуникация, които ще забранят свързването на у-во към интернет, ако няма инсталирани всички задължителни антивирусни програми? Мисля че даже се предвиждаше отнемане на у-вото при нарушение.

    Reply
  9. Пешо

    докато си писал това, си загубил между 150 и 200 евро 🙂

    Не мога да си го обясня, но с очите си съм виждал как интелигентни и здравомислещи хора попълват онлайн форма с всякаква лична информация, защото били избрани да тестват безплатно предоставен последен модел телефон, или пък били спечелили Х хиляди долара. Значи има хляб в тая работа.

    @Иван: това майтап ли е, или истина?

    Reply
  10. Григор Post author

    @Иван: Около половината от лично моята работа (май дори повече) се причинява пряко или косвено от вируси по недостатъчно защитени устройства. Пробвай да познаеш какво мисля. (Естествено, трудно ще ме убедят да си сложа антивирус на Линукса, при положение че за него засега реално просто няма вируси. Но принципно е добра идея.)

    Reply
  11. CTEHATA

    @Григор: относно “Също така itjobsbg.com и куп други сайтове, като списъкът им се обновява на всеки 1 час…”
    Явно в генерираните писма се цитират различни адреси за връзка, но не се сменят на час. По-скоро се използват циклично или случайно, всички адреси от всяко зомби. Добавяйки в черният списък всеки, който праща писмо съдържащо един от тези адреси, ефективно спрях спам потока.
    Освен да си говорим за два различни и много подобни гада. При мен клиентите се дразнеха най-вече от това, че в CC на спама бяха други валидни адреси от техния домейн.

    Reply
  12. Григор Post author

    @СТЕНАТА: И за моите клиенти дразнителят е точно този. Иначе, използваните сайтове са на порции и на „зони“. Известно време всичко, което идва, иска писане в един и същи сайт. След това известно време – в друг. Ботнетът, който ги праща, обаче е един и същи. Различни сървъри получават по едно и също време обратни адреси към само един домейн; може би има такива, дето получават към два или повече, но аз не съм видял – вероятно всичко, което върви към адреси в група „получателски“ домейни, получава един и същи за обратна връзка.

    Понякога се чудя дали да се напиша отговор, с който да покажа, че съм се хванал на въдицата. Или може би дори няколко различни, представяйки различните типични цели. Ще бъде интересно проучване. Уви, точно в момента съм претрупан до дупка. 🙁

    Reply
  13. Иван

    @Григор, да кажем че не мога телепатично да чета мисли, особено по интернет. Ще се радвам да го напишеш черно на бяло.

    Reply
  14. Григор Post author

    @Иван: Бих одобрил такъв закон. Не че ще се спазва повече от закон, който задължава реките да текат нагоре. Но поне ще ми даде възможност да кастря най-тъпите сред клиентите си и юридически. Прекалено голям излишен разход на мое време и сили е (без да броя тяхната сигурност), за да не търся как да си го спестя.

    И как да спестя на хората, между другото, подобни спам флъдове. Познай от какви компютри е съставен ботнетът, който го праща – от такива с адекватни антивируси или не.

    Reply
  15. Кирил

    Имаш клиенти които въпреки, че знаят последствията не искат да си сложат антивирусна програма? Или да минат на линукс?

    Reply
  16. Григор Post author

    @Кирил: Предостатъчно. „Бави ми компа, дето така или иначе е стар, па фирмата няма пари за нов. Кат доде вирус, проблема си е твой.“

    И понеже се налага да се яде, се чака такъв да поумнее. Вируси, дето ще му унищожат данните – било като му ги криптират и му поискат пари за паролата, било просто по некадърност на писача си – има предостатъчно. Идва случката, гръмват данни на стойност няколкостотин нови компа, клиентът крещи и се тръшка една седмица, обхожда колеги да търси някой електронен Христос, след това му идва акълът. Или пък в един момент е-майл провайдерът му (често аз) го блеклиства, понеже оспамва света, и няма е-поща и съответно и бизнес…

    Reply
  17. Todor

    @Григор
    @All
    Благодаря за БЛОГ-а и за коментарите!
    Интересна тема… помогна ми да спра спам-а на места, които са моя отговорност.
    Общо взето: 1) spam-assasin понякога ги хваща. 2) Успях ръчно да спра всички Subject от този тип, които са получени досега 3) Обучение на потребителите, че това е СПАМ и най-вероятно ще се опитват да правят измама с личните данни на всеки, който си изпрати CV.
    При мен всичко останало е на random принцип и не мога да хвана други повтарящи се обстоятелства, за да спра повече от спам-а.

    Reply
  18. Григор Post author

    @Todor: Аз си направих един блеклист с регекси от сорта на “^@itjobsbg\.com”, “^zaplatabg\.com” и каквито останали успях да хвана из спама на сайта ми, и гледам да го допълвам ежедневно. Свърши много прилична работа.

    Reply
  19. Todor

    @Григор: Да, това е едно добро решение 🙂 Не ми се иска да слагам регекспи в бодито обаче, защото не знам дали не им трябва на useri-те да си пишат с itjobs, zaplatabg, etc… (не познавам добре бизнеса на клиентите си, м/у другото). Засега успявам само със Subject, плюс отрязах всички X-Mailer: хедъри, които успях да събера. Забелязах още нещо: 90% от спамът има “multiple sender” адреси, т.е. From: , , ….
    , така че спрях всички писма с “multiple sender”.
    Не знам дали е случайно само при мен, че 90% имат “multiple sender”, или е така и при другите…

    Reply
  20. JJ

    Видях сайта на CyberBunker.com – прочетох и за опитите на градската управа да проникне в бункера. Приличат ми на изпечени хитреци, които не си поплюват …….. И все пак идеята им за Датацентър, разположен в бивш бункер на Нато е повече от уникална и продаваема….

    Reply
  21. Григор Post author

    @JJ: Спамхаус се занимават единствено и само с борба срещу спама – тоест, единственият начин Кибербункер да им се зловиди е да дава хостинг на спамери. Не е точно похвална в моите очи постъпка. А да се обърнат към ботнетаджии за атака срещу Спамхаус, за да продължат да си пробутват спама, значи „изпечени хитреци“ е направо комплимент за тях. Ако имах достатъчно свободно време, щях да се замисля дали да не стегна един екип да се пробваме да им поизпържим сървърите. Такава откровена наглост и бруталност плаче за противодействие.

    Reply
  22. Lyubomir Tsenev

    Следвам няколко прости правила за защита,които смятам ако не и 100% то все пак за достатъчно ефективни/дори и да греша,надявам се да не е чак толкова много/:
    1.Банковата ми сметка е само една и в само една банка.Лимитът за теглене на пари отттам е постоянен и достатъчно нисък
    2.Имам онлайн регистрация която ми позволява да си влизам в акаунта и да проверявам редовно какви пари влизат и излизат оттам,което правя ЗАДЪЛЖИТЕЛНО И САМО през Линукса – по съвет на Гришата хард диска ми е разделен/от него/ между Линукс и Windows – съвет доста ценен специално за такива неща без да го смятам за панацея срещу всички неприятности
    3.Имам месечни плащания които съм пуснал за свое удобство онлайн/като телефон,осигуровки и др./ – за които знам,включително и за парите които аз съм изтеглил последните месеци – ако забележа няксй за когото не знам да тегли пари имам готовност да зарежа всичко и веднага да изтичам до най-близкия клон на BARCLAYS на Stratford – досега не ми се е налагало но зная,че банката блокира веднага сметката прави разследване и след известно време възстановява откраднатата сума като докаже,че не си ти тоя който е теглил или някой за когото ти знаеш
    4.По техен съвет имам допълнително изграден от тях безплатно сейфти акаунт,достъпа до който е вече много по труден да не кажа невъзможен дори за някой който е успял да измъкне данните на първия ми акаунт – повечето пари държа там като в първия имам само за харчене,така,че този някой който реши да краде от мен ще ми хване………
    5.Ако реша да прехвърля пари от допълнителния акаунт в първия което става много по-рядко задължително отивам в клона на Stratford и ползвам Accaunt Manager автоматите или услугите на някои от служителите които са специално там за такива и всякакви други услуги – никога не го правя онлайн
    6.Ползвам Internet през Windows-а само за най-обикновени неща като се старая да изключвам всякакво ходене по места откъдето мога да си докарам вируси троянци и др.Никога не го използвам за нещо което включва даването на лични данни – лично аз смятам Windows за лъскав боклук но тъй като е доста удобен и има много полезни програми писани за него,все още смятам,че не е за изхвърляне
    7.Поддържам добри контакти тук в Лондон с няколко човека с доказани пред мен компютърни умения които си вадят хляба с това – срещу известно заплащане обикновено решават проблема веднага.Освен това ползвам съветите им безплатно за всичко – особено за всякакви нови програми,антивирусни и др./не тръгвам да инсталирам каквото и да е преди да съм попитал/ – може би тази точка е най-важната
    8.Старая се да правя периодично макар и по-рядко преинсталация на софтуера – най-вече на Windows.Дори и сега ми се струва че там съм захванал нещо спамботове троянци или нещо друго,тъй като след като изключа програмите ползващи Internet забелязвам някаква дейност на Task Manager-а въпреки антивирусната програма- когато ми остане време ще го дам за преинсталация
    9.Не отварям и не отговарям на каквито и да било съобщения рекламни или други освен ако не очаквам нещо – по природа съм доста недоверчив човек така че разни хитроумни номера и трикове като описаните по-горе просто не вървят при мен
    10.Не се смятам за по-умен или по-хитър от писачите на спам,вируси,троянци и всякакъв друг вид зловреден софтуер

    Reply
  23. Григор Post author

    @Lyubomir Tsenev: Наистина добър набор от правила. Ако всички ги спазваха, компютърният свят щеше да е много по-спокойно място (престъпността в него щеше да е несравнимо по-бедна).

    Reply
  24. Pingback: Спама е гадно нещо | SEO Блог на Пано Кондоянис

Leave a Reply

Your email address will not be published. Required fields are marked *