Új trükkel rukkoltak elő a spammerek

A spammerek egy újabb trükköt vetettek be annak érdekében, hogy átejtsék a védelmi megoldásokat, és minél testre szabhatóbbá tegyék a spamkampányaikat.
 
hirdetés

Amikor a spamek kapcsán a domain nevek rendszere, illetve a DNS szóba kerül, akkor a legtöbbször arról hallani, hogy a spammerek, adathalászok nagyon gyorsan váltogatják a domain neveiket, gyengítve ezzel a feketelistás védelmek hatékonyságát. A MyOnlineSecurity.com szakértői szerint azonban az egyik legújabb spamáradat más megközelítést alkalmaz a DNS-sel történő visszaélések tekintetében.
 
TXT rekord
 
A biztonsági vizsgálatok szerint a szóban forgó spamelés a DNS és a Google egyes szolgáltatásai adta lehetőségek kiaknázására épül. A felhasználó számára mindebből annyi látható, hogy kap egy olyan levelet, amelynek tárgya: "Delivery [véletlenszerű számok]". A levél mellékletében pedig egy HTML kiterjesztésű, például "invoic-B075.html" nevű fájl található. A levél üzenetében az áll, hogy a logisztikai szolgáltató jóváhagyta a szállítást, és a mellékletben található a számla.


Forrás: MyOnlineSecurity.com
 
A valóságban azonban a csatolt HTML fájl nem egy számla, hanem egy olyan HTML-fájl, amely az alapértelmezett böngészőben jelenik meg, és átirányítja a felhasználót egy nemkívánatos weboldalra. Jelenleg egy olyan weblapra, ahol azt ígérik, hogy szoftverteszteléssel minden órában 237 dollárt lehet keresni. Ezen az oldalon reklámok jelennek meg, illetve adatbekérő űrlap is található. Az itt megadott adatok nyilván a csalókhoz kerülnek.
 
A trükk
 
A fenti spamelés legérdekesebb része az, ahogyan a HTML-fájl viselkedik a megnyitása után. Az ugyanis nem tartalmazza közvetlenül annak a weboldalnak a címét, ahová az átirányításnak meg kell történnie. Ehelyett többek között tartalmaz egy látszólag összezagyvált JavaScript kódot, aminek a visszafejtését követően derül fény az igazságra. A háttérben ugyanis az történik, hogy a kód meghívja a Google DNS szolgáltatását egy hasonló URL-lel:
https://dns.google.com/resolve?name=fetch.vxpapub.[domain név]&type=TXT.
 
A Google a domain névhez tartozó DNS TXT-rekordját JSON formátumban visszaadja. A TXT-rekordban pedig szerepel egy window.location.replace("...") kód, ami lefut, és elvégzi az átirányítást.
 
Felmerülhet a kérdés, hogy miért kell ezt ennyire túlcifrázni. A spammerek szempontjából azért előnyös ez a módszer, mert így nem kell beleírniük a csatolmány kódjába az éppen "reklámozott" weboldal címét, így nehezebb a spamszűrők dolga. A másik előny számukra, hogy ezzel a módszerrel könnyen és rugalmasan tudják változtatni a cél URL-t, hiszen csak a DNS-rekordban kell módosítani a TXT-rekord értékét, és nem kell változtatni a kéretlen küldeményeiken.
 
A szóban forgó spamkampány kapcsán ugyan jó hír, hogy az jelenleg leginkább a brit felhasználókat veszélyezteti, de ha a trükk a spammerek számára beválik, akkor a módszer könnyen elterjedhet az alvilág berkein belül.
 
Védekezés
 
Nyilván a spamszűrők csökkentik a kockázatokat, de nagyon fontos a biztonságtudatos e-mailezés is. Nem célszerű ismeretlen forrásból érkező levelek csatolmányait nyitogatni, vagy a levelekben elhelyezett linkekre kattintani.
Vélemények
 
  1. 3

    A tcpdump kapcsán egy közepes veszélyességű biztonsági hiba látott napvilágot.

  2. 3

    Az F5 egy több termékét érintő sérülékenységről számolt be.

  3. 1

    A Fenkrib trójai nem közvetlenül okoz károkat a számítógépeken, hanem azon ártalmas programok révén, amelyeket letölt a PC-kre.

 
Partnerhírek
​Állandóan követhetők a Bluetooth eszközök

A Bluetooth kommunikációs protokoll egyik most felfedezett sérülékenysége miatt állandóan követni lehet egy eszközt.

​Vírusok ihlette művészeti kiállítás nyílt Rotterdamban

Ha az elkövetkező időszakban Hollandiában, közelebbről Rotterdamban jártok, akkor feltétlenül keressétek fel a nem túl szokványos művészeti kiállítást, ahol a legrégebbi vírusok ihlette művészeti alkotásokban gyönyörködhetünk.

hirdetés
Közösség
1