Új trükkel rukkoltak elő a spammerek

A spammerek egy újabb trükköt vetettek be annak érdekében, hogy átejtsék a védelmi megoldásokat, és minél testre szabhatóbbá tegyék a spamkampányaikat.
 

Amikor a spamek kapcsán a domain nevek rendszere, illetve a DNS szóba kerül, akkor a legtöbbször arról hallani, hogy a spammerek, adathalászok nagyon gyorsan váltogatják a domain neveiket, gyengítve ezzel a feketelistás védelmek hatékonyságát. A MyOnlineSecurity.com szakértői szerint azonban az egyik legújabb spamáradat más megközelítést alkalmaz a DNS-sel történő visszaélések tekintetében.
 
TXT rekord
 
A biztonsági vizsgálatok szerint a szóban forgó spamelés a DNS és a Google egyes szolgáltatásai adta lehetőségek kiaknázására épül. A felhasználó számára mindebből annyi látható, hogy kap egy olyan levelet, amelynek tárgya: "Delivery [véletlenszerű számok]". A levél mellékletében pedig egy HTML kiterjesztésű, például "invoic-B075.html" nevű fájl található. A levél üzenetében az áll, hogy a logisztikai szolgáltató jóváhagyta a szállítást, és a mellékletben található a számla.


Forrás: MyOnlineSecurity.com
 
A valóságban azonban a csatolt HTML fájl nem egy számla, hanem egy olyan HTML-fájl, amely az alapértelmezett böngészőben jelenik meg, és átirányítja a felhasználót egy nemkívánatos weboldalra. Jelenleg egy olyan weblapra, ahol azt ígérik, hogy szoftverteszteléssel minden órában 237 dollárt lehet keresni. Ezen az oldalon reklámok jelennek meg, illetve adatbekérő űrlap is található. Az itt megadott adatok nyilván a csalókhoz kerülnek.
 
A trükk
 
A fenti spamelés legérdekesebb része az, ahogyan a HTML-fájl viselkedik a megnyitása után. Az ugyanis nem tartalmazza közvetlenül annak a weboldalnak a címét, ahová az átirányításnak meg kell történnie. Ehelyett többek között tartalmaz egy látszólag összezagyvált JavaScript kódot, aminek a visszafejtését követően derül fény az igazságra. A háttérben ugyanis az történik, hogy a kód meghívja a Google DNS szolgáltatását egy hasonló URL-lel:
https://dns.google.com/resolve?name=fetch.vxpapub.[domain név]&type=TXT.
 
A Google a domain névhez tartozó DNS TXT-rekordját JSON formátumban visszaadja. A TXT-rekordban pedig szerepel egy window.location.replace("...") kód, ami lefut, és elvégzi az átirányítást.
 
Felmerülhet a kérdés, hogy miért kell ezt ennyire túlcifrázni. A spammerek szempontjából azért előnyös ez a módszer, mert így nem kell beleírniük a csatolmány kódjába az éppen "reklámozott" weboldal címét, így nehezebb a spamszűrők dolga. A másik előny számukra, hogy ezzel a módszerrel könnyen és rugalmasan tudják változtatni a cél URL-t, hiszen csak a DNS-rekordban kell módosítani a TXT-rekord értékét, és nem kell változtatni a kéretlen küldeményeiken.
 
A szóban forgó spamkampány kapcsán ugyan jó hír, hogy az jelenleg leginkább a brit felhasználókat veszélyezteti, de ha a trükk a spammerek számára beválik, akkor a módszer könnyen elterjedhet az alvilág berkein belül.
 
Védekezés
 
Nyilván a spamszűrők csökkentik a kockázatokat, de nagyon fontos a biztonságtudatos e-mailezés is. Nem célszerű ismeretlen forrásból érkező levelek csatolmányait nyitogatni, vagy a levelekben elhelyezett linkekre kattintani.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség