Ситские спам-боты берут страницу из романа «Звездных войн»

  1. Боты-заполнители форм и спам, рассылаемый другу
  2. Страница из романа «Звездные войны»
  3. Передайте то, что вы узнали
  4. Хотите узнать больше о ботах?

Онлайн-волнение достигло рекордного уровня, поскольку приближается декабрьский выпуск « Звездных войн: последний джедай» , последний выпуск саги о «Звездных войнах». С интернет гудит о последних трейлерах, надвигающиеся фигуры появляются в плакатах и ​​спойлерах в пивные бокалы Похоже, что никто не застрахован от лихорадки Звездных войн, даже киберпреступники.

Это то, что мы недавно наблюдали воочию, смягчая волну спам-атак типа «отправь другу» с интересным тематическим уклоном.

Боты-заполнители форм и спам, рассылаемый другу

«Send-to-a-friend» (также известный как «поделиться с другом») - это модуль для обмена социальными сетями, который часто встречается на коммерческих веб-сайтах. Как следует из названия, их цель состоит в том, чтобы помочь пользователям отправить подробности о товаре / услуге своим друзьям. Чтобы упростить обмен информацией, электронное письмо отправляется непосредственно с самого веб-сайта, обычно путем заполнения короткой онлайн-формы.

Однако многие не учитывают, что эти модули привлекают спамеров.

Для них угон таких модулей имеет несколько преимуществ, в том числе:

  • IP-обфускация - почтовые службы полагаются на репутацию IP-адресов для фильтрации спама. Отправка сообщений с сервера, на котором ранее не регистрировались вредоносные действия, является способом обхода таких фильтров. Это также способ избежать риска быть отслеженным правоохранительными органами.
  • Обфускация спам-ссылок - сообщения электронной почты, отправляемые другу, выдаются законными отправителями и содержат шаблоны дизайна и подробные сведения о реальных предложениях. Спам-ссылки в таких письмах чаще всего нажимаются их получателями.
  • Никаких операционных расходов - массовая отправка электронных писем обходится дорого. Злоупотребление сторонними почтовыми службами - хороший способ избежать таких высоких затрат.

По мотивам вышеупомянутого, спаммеры будут активно искать сайты с функциями «отправить другу», которые можно использовать для своих собственных целей.

Рис. 1. Пример формы для отправки другу, заполненной спам-ботом

Как только цель будет найдена, спаммеры раскроют множество ботов-заполнителей форм в форме «отправить другу», используя их для отправки тысяч писем со встроенными вредоносными ссылками.

Именно во время мониторинга активности таких ботов мы увидели, что спаммеры поворачиваются к темной стороне Силы.

Страница из романа «Звездные войны»

Мы впервые почувствовали «беспокойство» в середине октября, когда несколько наших клиентов были засыпаны подозрительными WinHTTP POST запросы от еще неопознанных ботов.

Высокий уровень этих запросов, в дополнение к значительному количеству целей, привлек наше внимание. Более того, сходство между атаками показало, что все они являются частью более крупного скоординированного нападения.

В течение первой недели атаки, с 10 по 16 октября, 33 несвязанных домена в нашей сети были обработаны более чем 275 000 запросов на атаку. Неделю спустя число целей возросло до 60, а объем атаки почти утроился - достигнув в общей сложности более миллиона запросов.

Рис 2. Количество заблокированных запросов на атаку за день

Штурм был осуществлен через ботнет, который позволял злоумышленникам распространять вывод запроса. Вероятно, это была попытка избежать механизмов ограничения скорости, которые обычно используются для защиты онлайн-форм. В общей сложности за первые две недели нападения нам удалось идентифицировать 6915 устройств, участвующих в атаках, 98,9% из которых были расположены в Китае.

Однако, что действительно заинтересовало нас, так это то, что боты вставляли в раздел комментариев электронных писем, отправляемых другу.

Там, наряду с одной или двумя ссылками на неприглядный веб-сайт, предлагающий выбор игровых приложений, мы нашли фрагменты текста, которые не выглядели как случайный контент, который мы привыкли видеть в спам-письмах.

Позже одним быстрым поиском в Google мы обнаружили, что эти фрагменты на самом деле были цитатами, взятыми из романов «Звездных войн», разбитыми на непонятные куски и использовавшимися для продажи мобильных слотов.

Вот, например, POST-запрос, созданный для внедрения спам-ссылок с выдержкой из Path of Destruction , романа Star War Legends.

… PropertyId = XXXXXX & unitId = XXXXXX & systemId = vrbo & toEmail = XXXXXX @ XXXXXX & share Comments =… [спам-ссылка] у нас нет причин двигаться так скоро », - ответил Дес, стараясь сохранять спокойствие.« Если они начнутся в сумерках, это займет время не менее трех часов & referrer = [сайт, на который нацелены боты-заполнители форм]…

Рис. 3. Пример запроса POST, используемого в спам-кампании

Пример запроса POST, используемого в спам-кампании

Рис 4. Исходный материал для спам-комментария

В настоящее время мы можем только размышлять о причинах необоснованных цитат из литературы «Звездных войн».

Скорее всего, однако, спамеры пытались добавить уникальность к своим электронным письмам и еще больше препятствовать обнаружению, фильтруя механизмы сканирования шаблонов контента. В процессе этого виновники, вероятно, также решили воздать должное одной из своих страстей.

Так или иначе, так же, как и у нас, у этих неряшливых скотоводов есть на уме «Звездные войны».

Передайте то, что вы узнали

Поскольку эти самые слова набираются, вышеупомянутые атаки продолжают преследовать наших клиентов. Выборка некоторых из последних запросов на атаку показывает, что злоумышленники теперь отказались от использования контента из романов «Звездных войн» и расширили свой диапазон, включив в него цитаты из «Джейн Эйр» и работы Эдгара Аллана По.

Хотя нашим клиентам не о чем беспокоиться, масштабы атаки заставляют нас полагать, что многие другие сайты также находятся за пределами наших защитных экранов.

Для этих незащищенных целей последствия атаки могут быть ужасными, так как они рискуют попасть в черный список основных поставщиков услуг электронной почты. Это может оказать серьезное влияние на повседневную работу интернет-бизнеса - не только препятствовать маркетинговым кампаниям по электронной почте, но и мешать надежному общению с клиентами по электронной почте.

Для онлайн-службы, которая часто использует электронную почту для выставления счетов, поддержки и других важных задач, это сразу же приводит к большим накладным расходам. Не упоминать, много головных болей для всех вовлеченных.

Чтобы опередить злоумышленников, разработчики и операторы должны распознавать риски безопасности, связанные с наличием опции обмена сообщениями электронной почты в своих сервисах, и предпринимать шаги, чтобы предотвратить их использование ботами-заполнителями форм.

Как минимум, они должны включать механизм ограничения скорости, который будет препятствовать тому, чтобы IP-адрес выдавал необоснованное количество запросов в течение определенного периода времени. Другие решения для самостоятельной работы состоят в том, чтобы все пользователи заполняли CAPTCHA и вводили регистрацию в качестве предварительного условия для отправки сообщения электронной почты.

Тем не менее, наш опыт показывает, что настойчивые злоумышленники в конечном итоге обойдут любой и все эти промежуточные методы. Лучше всего, как и следовало ожидать, выбрать специальное решение для фильтрации ботов или, как сказал бы мастер Йода: «Делай или не делай, нет попытки».

Хотите узнать больше о ботах?

Посетите эти ссылки, чтобы узнать больше о:

Хотите узнать больше о ботах?