Отслеживание спама: как правильно читать спам - письма
Чтение спам - писем нежелательной почты - это не совсем то, о чем я хотел бы поговорить, но иногда бывает весело, когда улучаешь момент, чтобы проверить, кто действительно отправил электронное письмо. Вот простая история о том, как недавние «таблетки для похудения» из знаменитых спам - рассылок были отнесены к военному подрядчику из Вашингтона, округ Колумбия, который строит тактические системы связи для военно-разведывательных сообществ США.
Среднестатистический спам-адрес может содержать много информации о системах, используемых для взлома нежелательной почты. Если вам повезет, он может даже дать представление об организации, которой принадлежат сетевые ресурсы (компьютеры, мобильные устройства), которые были взломаны для отправки или ретрансляции нежелательных сообщений.
Ранее в этом месяце активист защиты от спама и эксперт Рон Гильмет (Ron Guilmette) обнаружил, что ему не дают покоя «заголовки» спам - сообщений, вызывающие большое любопытство. «Заголовки» - это обычно невидимые адресации и детали маршрутизации, сопровождающие каждое сообщение. Они не видны обычному пользователю, если он конечно не знает, как и где их искать.
Давайте возьмем заголовки с этого конкретного письма полученного 12 апреля 2017 года - в качестве примера. Для непосвященных заголовки электронной почты могут показаться огромной дамбой информации. Но на самом деле нас интересует только несколько вещей (фактический адрес электронной почты Guilmette был изменен на «ronsdomain.example.com»):
Return-Path: [email protected]
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from host.psttsxserver.com (host.tracesystems.com [72.52.186.80])
by subdomain.ronsdomain.example.com (Postfix) with ESMTP id 5FE083AE87
for <[email protected]>; Wed, 12 Apr 2017 13:37:44 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=gtacs.com;
s=default; h=MIME-Version:Content-Type:Date:Message-ID:Subject:To:From:
Sender:Reply-To:Cc:Content-Transfer-Encoding:Content-ID:Content-Description:
Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Message-ID:
In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:List-Subscribe:
List-Post:List-Owner:List-Archive;
Received: from [186.226.237.238] (port=41986 helo=[127.0.0.1])
by host.psttsxserver.com with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.87)
(envelope-from <[email protected]>)
id 1cyP1J-0004K8-OR
for [email protected]; Wed, 12 Apr 2017 16:37:42 -0400
From: [email protected]
Subject: Discover The Secret How Movies & Pop Stars Are Still In Shape
Message-ID: [email protected]
X-Priority: 3
Importance: Normal
Date: Wed, 12 Apr 2017 22:37:39 +0200
X-Original-Content-Type: multipart/alternative;
boundary=”–InfrawareEmailBoundaryDepth1_FD5E8CC5–”
MIME-Version: 1.0
X-Mailer: Infraware POLARIS Mobile Mailer v2.5
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – host.psttsxserver.com
X-AntiAbuse: Original Domain – ronsdomain.example.com
X-AntiAbuse: Originator/Caller UID/GID – [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain – gtacs.com
X-Get-Message-Sender-Via: host.psttsxserver.com: authenticated_id: [email protected]
X-Authenticated-Sender: host.psttsxserver.com: [email protected]
Знаменитости всегда должны выглядеть хорошо, и это не так сложно, как вы могли бы подумать
В этом случае обратный адрес: [email protected]. Другой бит, который нужно заметить, это адрес в интернете и домен, на который ссылается четвертая строка после «Received». Она гласит: «from host.psttsxserver.com (host.tracesystems.com [72.52.186.80])».
Gtacs.com принадлежит сайту Trace Systems GTACS Team Portal, который объясняет, что GTACS является частью команды Trace Systems Team, которая заключает контракты на предоставление «полного спектра тактических систем связи, системного проектирования, интеграции, установки и технической поддержки для Департамента обороны (МО), Департамента внутренней безопасности (DHS) и клиентов Интеллектуального сообщества ». Компания перечисляет некоторых из своих клиентов здесь.
Как Gtacs.com, так и компания tracesystems.com заявляют, что они «предоставляют услуги кибербезопасности и разведки в поддержку интересов национальной безопасности:« GTACS - это контрактное транспортное средство, которое будет использоваться множеством клиентов в рамках систем C3T, оборудования, услуг и Данных», говорится на сайте компании. Часть «C3T» является военным языком для « Командования, Контроля, Коммуникаций, и Тактики ».
Пассивная система записей доменных имен (DNS), который ведет по интернет адресу, указанному в заголовке - 72.52.186.80 - показывают, что gtacs.com был в свое время на том же самом адресе в интернете вместе с множеством доменов и поддоменов, связанных с системами отслеживания.
Это правда, что некоторые заголовки электронной почты могут быть подделаны. Например, спамеры и их инструменты могут фальсифицировать адрес электронной почты в строке «from:» сообщения, а также в части «reply-to:» письма. Но ни один из них, похоже, не решился осуществить махинации в этом конкретном куске аптечного спама.
Домашняя страница Gtacs.com.
Я отослал это спам-сообщение обратно на [email protected], явному отправителю. Не получив ответа от Дэна через несколько дней, я был обеспокоен тем, что киберпреступники могли укореняться внутри сетей этого оборонного подрядчика, который занимается связью для военных США. Неуклюжие и не очень выдающиеся спамеры, но все же, злоумышленники. Поэтому я отправил спам-сообщение контакту Linkedin в Trace Systems, который ведет работу с инцидентами, происходящими в компании.
Мой источник Linkedin перенаправил запрос в «сервис задач» в Trace, который сказал, что он был информирован. Gtacs.com не был доменом Trace Systems. Ища больше информации перед лицом многих различных фактов, которые поддерживают другое заключение, я передал запрос Мэтью Содано, вице-президенту и главному информационному офицеру Trace Systems Inc.
«Домен и сайт, о котором идет речь, размещен и поддерживается для нас сторонним провайдером, - сказал Содано. «Мы предупредили их об этой проблеме, и они ведут расследование. Учетная запись отключена».
Предположительно, «внешним поставщиком» компании был Power Storm Technologies, компания, которая, по-видимому, владеет серверами, которые рассылают несанкционированный спам с сайта [email protected]. Power Storm не дал ответ на сообщения с просьбой прокомментировать ситуацию.
Кто бы ни был на Gtacs.com, он был скомпрометирован несколькими, довольно неумелыми спамерами, которые, по-видимому, не знали или не заботились о том, что они находились внутри оборонного подрядчика США, который специализируется на разработке военной коммуникаций. Более того, нарушители решили использовать эти системы таким образом, чтобы почти гарантированно привлечь внимание к взломанной учетной записи и взломать серверы, используемые для пересылки нежелательной почты.
«Некоторый ... подрядчик, который работает на военную компанию по кибербезопасности, основанную в штате Вирджиния, очевидно, потерял свои учетные данные электронной почты, которые вероятно, необходимы для удаленного входа в систему. Спамер, который, я считаю, исходя из имеющихся данных, наиболее вероятно, находится в Румынии, попросту воспользовался возможностью» - пишет Guilmette в электронном письме.
Guilmette сказал, что он отслеживал этот конкретный аптечный - спам с сентября 2015 года. На вопрос, почему он так уверен, что тот же самый парень несет ответственность за это и другие специфические электронные рассылки, он рассказал, что мошенник составляет спам - сообщения с той же сигнальной HTML-подписью, в гиперссылке, являющейся основной частью письма (чрезвычайно старая версия Microsoft Office).
Этот спамер, по-видимому, не возражал против рассылки. Например, он даже отправил одно письмо о своей знаменитой мошеннической аптеке в список, который ведет Американский реестр для номеров (ARIN), региональный реестр интернета для Канады и Соединенных Штатов. Список ARIN очищал HTML-файл, который спамер прикреплял к сообщению. Нажав на включенную ссылку, чтобы просмотреть очищенное вложение, перейдите на эту страницу. И если вы посмотрите в верхнюю часть этой страницы, вы увидите что-то, что говорит:
«… xmlns:m= «http://schemas.microsoft.com/office/2004/12/omml» …»
«Разумеется, существует немало обычных людей, которые до сих пор используют этот древний MS Office для написания электронных писем, но, насколько я могу судить, это единственный крупный спамер, который применяет эту версию на данный момент», Сказал Guilmette. «У меня десятки спама, все от этого самого парня, растянувшегося примерно на 18 месяцев. Все они имеют одинаковый стиль, и все они были составлены с помощью «MS office/2004/12 ».
Guilmette утверждает, что те же мошенники, которые отправляли этот древний офисный спам от оборонных подрядчиков, также спамили от взломанных «Интернет устройств», таких как система видеоконференций, основанная в Китае. Он говорит, что спамер, как известно, рассылает злонамеренные ссылки в электронной почте, которые используют вредоносные эксплойты JavaScript для обмана учетных данных, хранящихся на взломанной машине, и он догадывается, что [email protected], вероятно, открыл одну из ссылок JavaScript-ловушек.
«Когда ему выпадает удобный случай, он использует эти украденные учетные данные, чтобы отправить еще больше спама через почтовый сервер «законной компании». И поскольку спам теперь выходит из «законных» почтовых серверов, принадлежащих реальным компаниям, они никогда не блокируются ни Spamhaus, ни любыми другими черными списками» - сказал Guilmette.
Мы можем только надеяться, что спамер, который это сделал, никогда не осознает всю ценность этого определенного набора учетных данных, которые ему удалось заполучить. «Если бы он понял, что у него есть в руках, я уверен, что русские и / или китайцы были бы более чем счастливы купить эти полномочия у него, возможно, возместив ему больше, чем любая сумма, которую он мог бы заработать по средствам спама».
Это далеко не первый случай, когда небольшая электронная почта, возможно, создала большую проблему для оборонного подрядчика по кибербезопасности в Вашингтоне. В прошлом месяце Defense Point Security, предоставляющая кибер - контрактные услуги в центре операций безопасности подразделения DHS по вопросам иммиграции и таможенного контроля (ICE), предупредила около 200-300 нынешних и бывших сотрудников о том, что их налоговая информация по W-2 была отдана мошенникам. После Сотрудник попался на фишинг - аферах, которые были грамотно прикрыты руководителем.
Хотите узнать больше о том, как найти и правильно прочитать заголовки электронной почты? На этом сайте есть удобная ссылка, показывающая, как раскрыть заголовки более чем для двух десятков различных почтовых программ, включая Outlook, Yahoo!, Hotmail и Gmail. Этот учебник от HowToGeek.com объясняет, какую информацию вы сможете найти в заголовках писем, что она означает. Разумеется вся информация на английском языке, если Вам понравилась эта статья пишите свои комментарии, мы обязательно переведём её источники.