Вкусный спам: хитрые жертвы хитрости URL в таблетках для похудения, мошенничестве работы из дома

Почтовые провайдеры лучше отфильтровывают спам до того, как он попадет в наши почтовые ящики Несмотря на это, некоторые сообщения все еще проходят. Спамеры постоянно корректируют свои кампании, чтобы обойти фильтры спама. Иногда мы получаем спам, потому что наши друзья попали в аферу. Спам все еще является проблемой, но мы можем ее решить.

SecurityWatch попросил экспертов по безопасности в Cloudmark пометить и проанализировать текущую спам-кампанию. Мы рассмотрим тип отправляемых сообщений и используемую инфраструктуру. В этом месяце мы рассмотрим операцию под названием «Com Spammers».

Операция Com Spammer

Операция Com Spammer специализируется на схемах работы на дому, таблетках для похудения, а в последнее время - чудесном антивозрастном креме для кожи. Банда монетизирует рассылку спама по электронной почте и SMS через жертв, которые подписываются на покупку одного из этих продуктов. В случае таблеток для похудения, которые отправляются по почте из пригорода Атланты, штат Джорджия, жертвы, вероятно, будут обнаруживать повторяющиеся двух- или трехзначные расходы на свои кредитные карты каждый месяц.

Федеральная торговая комиссия смогла закрыть части мошенничества на дому стоимостью в несколько миллионов долларов в середине февраля, «но теперь они вернулись к своим старым уловкам», - сказал Эндрю Конвей, аналитик Cloudmark. Бригада перенаправила старые ссылки «работа на дому», чтобы продвигать таблетки для похудения после действия FTC, но эта сторона бизнеса, похоже, снова в действии.

Как функционирует операция

Эта операция использует разные домены в качестве целевых страниц, что не так уж редко встречается среди спамеров, но стоит отметить, что многие домены начинаются с com_. Этот префикс затрудняет для среднего пользователя на первый взгляд сказать, является ли домен поддельным. Например, ссылка foxnews.com_ab12.net/new_diet.php выглядит так, как будто это URL-адрес foxnews.com, а на самом деле это com_ab12.net.

Спамеры регистрируют эти сайты по двадцать или более раз в день.

Хотя сообщения могут содержать фактический URL-адрес целевой страницы, многие из них полагаются на промежуточную ссылку. Это может означать ссылку с сокращением URL-адреса, например bit.ly, или ссылку на веб-сайт, который перенаправит пользователя на целевую страницу. По словам Cloudmark, у группы более 4300 скомпрометированных веб-серверов, используемых для перенаправления пользователей на основные целевые страницы.

Структура партнерской программы

Com Spammer структурирован как партнерская программа, состоящая из отдельных лиц, занимающихся конкретными задачами. На первом уровне есть независимые спаммеры, которые рассылают спам-сообщения, часто через ботнеты. Следующий уровень включает тех, кто отвечает за настройку и поддержку целевых страниц, которые могут выглядеть как сайты новостей или журналов. Третий уровень состоит из людей, чья работа состоит в том, чтобы извлечь как можно больше денег из жертв, которые посещают целевые страницы.

«Похоже, что кто-то воспользовался провалом в монетизации этого спама. Мы надеемся, что люди теперь больше знают об этом и не становятся его жертвами», - сказал Конвей.

SecurityWatch будет работать с Cloudmark ежемесячно для анализа большего количества спам-и фишинговых кампаний. В следующем месяце мы рассмотрим мобильный спам.