Új trükkel rukkoltak elő a spammerek

A spammerek egy újabb trükköt vetettek be annak érdekében, hogy átejtsék a védelmi megoldásokat, és minél testre szabhatóbbá tegyék a spamkampányaikat.
 

Amikor a spamek kapcsán a domain nevek rendszere, illetve a DNS szóba kerül, akkor a legtöbbször arról hallani, hogy a spammerek, adathalászok nagyon gyorsan váltogatják a domain neveiket, gyengítve ezzel a feketelistás védelmek hatékonyságát. A MyOnlineSecurity.com szakértői szerint azonban az egyik legújabb spamáradat más megközelítést alkalmaz a DNS-sel történő visszaélések tekintetében.
 
TXT rekord
 
A biztonsági vizsgálatok szerint a szóban forgó spamelés a DNS és a Google egyes szolgáltatásai adta lehetőségek kiaknázására épül. A felhasználó számára mindebből annyi látható, hogy kap egy olyan levelet, amelynek tárgya: "Delivery [véletlenszerű számok]". A levél mellékletében pedig egy HTML kiterjesztésű, például "invoic-B075.html" nevű fájl található. A levél üzenetében az áll, hogy a logisztikai szolgáltató jóváhagyta a szállítást, és a mellékletben található a számla.  
A valóságban azonban a csatolt HTML fájl nem egy számla, hanem egy olyan HTML-fájl, amely az alapértelmezett böngészőben jelenik meg, és átirányítja a felhasználót egy nemkívánatos weboldalra. Jelenleg egy olyan weblapra, ahol azt ígérik, hogy szoftverteszteléssel minden órában 237 dollárt lehet keresni. Ezen az oldalon reklámok jelennek meg, illetve adatbekérő űrlap is található. Az itt megadott adatok nyilván a csalókhoz kerülnek.
 
A trükk
 
A fenti spamelés legérdekesebb része az, ahogyan a HTML-fájl viselkedik a megnyitása után. Az ugyanis nem tartalmazza közvetlenül annak a weboldalnak a címét, ahová az átirányításnak meg kell történnie. Ehelyett többek között tartalmaz egy látszólag összezagyvált JavaScript kódot, aminek a visszafejtését követően derül fény az igazságra. A háttérben ugyanis az történik, hogy a kód meghívja a Google DNS szolgáltatását egy hasonló URL-lel:
https://dns.google.com/resolve?name=fetch.vxpapub.[domain név]&type=TXT.
 
A Google a domain névhez tartozó DNS TXT-rekordját JSON formátumban visszaadja. A TXT-rekordban pedig szerepel egy window.location.replace("...") kód, ami lefut, és elvégzi az átirányítást.
 
Felmerülhet a kérdés, hogy miért kell ezt ennyire túlcifrázni. A spammerek szempontjából azért előnyös ez a módszer, mert így nem kell beleírniük a csatolmány kódjába az éppen "reklámozott" weboldal címét, így nehezebb a spamszűrők dolga. A másik előny számukra, hogy ezzel a módszerrel könnyen és rugalmasan tudják változtatni a cél URL-t, hiszen csak a DNS-rekordban kell módosítani a TXT-rekord értékét, és nem kell változtatni a kéretlen küldeményeiken.
 
A szóban forgó spamkampány kapcsán ugyan jó hír, hogy az jelenleg leginkább a brit felhasználókat veszélyezteti, de ha a trükk a spammerek számára beválik, akkor a módszer könnyen elterjedhet az alvilág berkein belül.
 
Védekezés
 
Nyilván a spamszűrők csökkentik a kockázatokat, de nagyon fontos a biztonságtudatos e-mailezés is. Nem célszerű ismeretlen forrásból érkező levelek csatolmányait nyitogatni, vagy a levelekben elhelyezett linkekre kattintani.