Spamer w pułapce

Przeżyj niebieski cud! Po zażyciu jednej z pigułek uda ci się z gorącą sąsiadką. Tak brzmi typowy email reklamujący viagrę, który każdy na pewno miał już nie raz w swojej skrzynce – dokuczliwe molestowanie, do którego przywyka się z czasem. Jednak zamiast poddać się rezygnacji, CHIP postanowił zbadać sedno problemu: gdzie znajduje się źródło spamu, który stanowi aż 98 proc. wszystkich emaili na kuli ziemskiej. Kto wysyła wiadomości, a przede wszystkim czy rzeczywiście ktoś kupuje w ten sposób viagrę albo akcje na giełdzie.
Microsoft wypowiedział wojnę spamowi
Microsoft wypowiedział wojnę spamowi

Aby to ustalić, musieliśmy przyłapać nadawcę na gorącym uczynku i pociągnąć do odpowiedzialności. Dlatego przygotowaliśmy na niego pułapkę – tzw. garnek z miodem. W tym celu zmodyfikowaliśmy prywatną stronę domową jednego z naszych autorów, umieszczając w niej skrypt generujący nowe adresy email, za każdym razem, gdy ktoś tę stronę ładował. Przygotowana skrzynka pocztowa bez filtra antyspamowego odbierała wszystkie wiadomości, które zostały na te adresy wysłane. W taką pułapkę powinni wpaść spamerzy stosujący harvester – narzędzie systematycznie przetrząsające Sieć w poszukiwaniu adresów.

Zawodowcy: Najwięcej spamu pochodzi od tego samego nadawcy

Rezultat: w ciągu tygodnia do naszej skrzynki pocztowej trafiło grubo ponad 20 000 spamerskich listów. Oprócz emaili oferujących viagrę otrzymywaliśmy propozycje zakupu oprogramowania w szokująco niskich cenach oraz mnóstwo wiadomości, których autorzy próbowali nas oszukać, dopuszczając się klasycznego nigeryjskiego szwindlu: afrykański biznesmen albo zamożna wdowa obiecują prowizję za pomoc w przetransferowaniu ich wartych miliony dolarów majątków na europejskie konto. Osoby, które wchodzą w to, na początek ponoszą niewielką w porównaniu ze spodziewanymi zyskami opłatę i… oczywiście ją tracą.

Zaczęliśmy od ujawnienia, kto kryje się za tymi emailami, ponieważ najczęściej nadawca maskował swoją tożsamość. Okazało się, że lwia część spamu wychodzi spod pióra rosyjsko-amerykańskiego spamera Leo Kuvayeva. Na liście Spamhaus.org, międzynarodowego projektu, którego celem jest walka ze spamem, Kuvayev figuruje jako jeden z największych na świecie rozsyłaczy wiadomości-śmieci – on i pozostałe osoby z listy “10 najlepszych” odpowiadają za 80 proc. światowego spamu.

Dotąd jednak jakiekolwiek próby ukrócenia aktywności Kuvayeva kończyły się całkowitym niepowodzeniem: w 2002 roku został on, co prawda, postawiony w stan oskarżenia przez amerykański sąd za spowodowanie szkód w wysokości 37 milionów dolarów, ale w odpowiednim czasie zdołał zbiec do Rosji i dalej prowadzi interes – nie niepokojony przez rosyjskie władze. Beznadziejna sprawa!

W każdym razie zdaliśmy sobie sprawę, że musimy trafić na spamera z Polski, którego tożsamość uda nam się odkryć. I mieliśmy szczęście. Pewnego ranka do naszej skrzynki trafił email: “Zarejestruj się w Naszym Portalu, znajdź przyjaciół i bądź z nimi w kontakcie”. Podpis w wiadomości sugerował nadawcę z Polski, a spersonalizowany nagłówek pozdrawiał odbiorcę, naszego autora: “Drogi Eryku”.

Na pierwszy rzut oka przesyłka wyglądała jak typowy email informacyjny –  zaopatrzono ją nawet w link, za pomocą którego można zatrzymać wysyłanie kolejnych wiadomości. Jednak gdy wzięliśmy pod lupę adres odbiorcy, stało się jasne, że to robota spamera. Oto jak wyglądał adres: »ea-4582fa9-3e4bf443@jadam_spam.erykalgo.com«. Wygenerował go nasz garnek z miodem, czyli specjalnie spreparowany kod umieszczony na stronie domowej naszego redakcyjnego kolegi. Co ważne, przypadkowi goście tej witryny nigdy nie zobaczyliby takiego wpisu, ponieważ widoczny jest on jedynie w kodzie źródłowym strony, w której harvester szuka znaków @.

Szczególna cecha tego adresu to jego unikatowość – to, co wygląda jak przypadkowy ciąg znaków, w rzeczywistości jest charakterystyczną etykietą, która zdradza dwie rzeczy: czas, w którym spamer odwiedził naszą stronę, oraz używany przez niego adres IP. Tyle że dzięki nim nie da się stwierdzić, kto jest nadawcą. Można tego dokonać inaczej – pytając go w emailu zwrotnym, skąd ma nasze namiary. Jeśli traktuje nas jak potencjalnego klienta, powinien grzecznie odpowiedzieć. Tak też się stało. Już następnego dnia przyszedł kolejny email.

“Szanowny Panie Algo (…) Pragniemy szczerze przeprosić, jeśli odebrał Pan poprzedni email jako natręctwo. Oczywiście natychmiast usuniemy Pana adres z bazy danych Naszego Portalu, jeśli Pan sobie tego życzy (…)”

Ta wymijająca odpowiedź nas nie zadowoliła, więc pytaliśmy dalej. Ostatecznie chcieliśmy ustalić, jak “ich Portal” wpadł na trop naszych danych, i przyłapać ich na kłamstwie. Nie udało się. W jednym z kolejnych emaili autor otwarcie wyznał, że użyli harvestera, który przeczesywał polski Internet, zbierając na stronach WWW dostępne adresy email i dopisując je do bazy. Powód, dla którego to robił, wyszedł na jaw w którymś z kolejnych emaili.

“Jesteśmy niewielką polską firmą, a bez środków finansowych idzie się czasami drogą, która nie do końca nam odpowiada. Na użytek klientów próbujemy uczynić nasze kontakty tak selektywnymi, jak to tylko możliwe, aby nie upodobnić się do jednego z tych wielkich, strzelających na ślepo koncernów spamerskich. Zamiast tego stworzyliśmy ofertę dla tych, którzy mogą nią być rzeczywiście zainteresowani”.

Ta wypowiedź wyjaśnia, dlaczego spam jest tak popularny: emaile są darmowe obojętnie, czy wysyła się ich tysiąc, dziesięć tysięcy czy milion. Jedyna trudność to pozyskanie danych potencjalnych klientów – w zależności od zasobów kupującego do jego dyspozycji są różne źródła, a w Sieci kwitnie handel listami adresów o zróżnicowanych poziomach jakości: dopiero co zebrane z Internetu, częściowo zweryfikowane, całkowicie zweryfikowane.

Handlujący kontaktami mają prosty sposób na sprawdzenie, czy adres elektroniczny jest używany czy nie: wysyłają na niego spam z kodem HTML. Podczas otwierania wiadomości komputer automatycznie ładuje obrazki albo inne elementy z serwera kontrolowanego przez spamerów – w ten sposób adres zostaje sprawdzony i trafia na listę tych lepszych. Choć harvestery są dostępne w Sieci za darmo, za takie listy trzeba już płacić.

Opłacalna reklama: Harvester pomaga pozyskiwać dane klientów

W redakcji przeprowadziliśmy dodatkowy test: napisaliśmy skrypt zbierający adresy w Sieci i uruchomiliśmy go na www.chip.pl. W ciągu zaledwie kilku minut otrzymaliśmy 100 adresów osób, które z dużym prawdopodobieństwem mogły być miłośnikami technik komputerowych – dane przydatne dla handlarzy IT z szarej strefy. W trakcie drugiego przebiegu testowego skrypt trafił nawet na nasz garnek z miodem. Oczywiście natychmiast skasowaliśmy zebrane adresy.

Najprawdopodobniej w podobny sposób w posiadanie danych wszedł nasz spamer. Zamiast używać freeware’u albo komercyjnego oprogramowania, napisał własny skrypt, wkleił go w kod kilku swoich stron i wysłał na poszukiwanie kontaktów. Skrypt dostarczył kilkuset adresów, na które zostały wysłane emaile z powitaniem. Reakcja w takich wypadkach jest najczęściej pozytywna: zaledwie garstka odbiorców – tak jak uczyniliśmy to my – przysyłała skargi, reszta zmienia się w milczących, lecz wiernych fanów.

Szybko stało się jasne, że społeczności, z której wywodził się nasz spamer, są odpowiedzialne tylko za małą część niechcianych wiadomości. Profesjonaliści regularnie zalewający Sieć spamem działają bardziej agresywnie: fala 4500 emaili dosięgła nas w weekend. Ten, kto nam to zgotował, nie używał harvestera, lecz bonetu – wykorzystywanej do pozyskiwania adresów i rozsyłania spamu sieci utworzonej z zainfekowanych trojanem pecetów przypadkowych internautów.

Takie sieci mają bardzo zróżnicowane wielkości: od 1000 zarażonych komputerów, zwanych zombi, do armii, których liczebność może wynosić miliony. Według amerykańskiego instytutu bezpieczeństwa sieciowego Marshal8e6 TRACElabs, zarażony pecet w strukturach najbardziej wydajnego botnetu, Rustock, wysyła w ciągu godziny 25 000 niechcianych wiadomości. To uwidacznia rozmiar światowego natężenia spamu i pokazuje, jak potężnymi narzędziami dysponują współcześni cyberprzestępcy.

Pragnący zachować anonimowość dyrektor techniczny jednego z większych w Polsce dostawców Internetu, którego firma poniosła w niedawnej przeszłości ogromne straty związane ze spamem (szacowana kwota to 3 miliony złotych), podsumowuje to w liczbach: – W normalne dni przez nasze łącza podróżuje około 350 milionów wiadomości, około Bożego Narodzenia liczba ta sięga miliarda. Niestety, aż 98 proc. tych przesyłek stanowi spam. Na walkę z nim wykładamy rocznie ponad milion złotych, ale to dobra inwestycja. Gdyby nie zabezpieczenia, straty mogłyby sięgać nawet dwudziestu milionów złotych rocznie.

Ochrona przed spamem: Tu pomoże tylko technologia

Wydaje się, że jedynym efektywnym środkiem do walki ze spamem jest zaawansowana technologia, ponieważ droga prawna to ślepa uliczka. Wprawdzie we wszystkich krajach UE wysyłanie niechcianych reklam jest nielegalne, jednak najczęściej spamerom nic nie można zrobić, ponieważ potrafią oni umiejętnie zatajać swoją tożsamość albo też prowadzą swoje interesy z krajów, w których cyberprzestępcy są pod ochroną.

W przypadku spamera, który nabrał się na nasz garnek z miodem, było inaczej – już w pierwszym emailu przeprosił za swoje zachowanie i zaproponował usunięcie naszego adresu z bazy danych. To jeden z powodów, dla którego zaniechaliśmy podjęcia kroków prawych wobec rozpoczynającej działalność firmy – udzieliliśmy im tylko reprymendy. Ale właściwa przyczyna była bardziej prozaiczna: według naszego prawnika w przypadku tak ugodowego podejścia spamera sąd i tak oddaliłby wniosek o ukaranie.

W prosty sposób dałoby się jednak wyeliminować sieciowe śmieci – gdyby nikt na nie nie reagował. To niestety utopia. Gdyby nie było klientów zamawiających towary w odpowiedzi na spam, poczta elektroniczna szybko przestałaby być platformą reklamową. Lecz ciągle znajdują się chętni, którzy pozytywnie reagują na podejrzane reklamy w swoich skrzynkach pocztowych.

Dobitnie wykazał to eksperyment przeprowadzony w Stanach jesienią 2008 roku. Grupie naukowców udało się wtedy przechwycić botnet, który posłużył im do rozsyłania spamu w celach badawczych. Chodziło o strukturę Storm – podejrzewano, że kontroluje około miliona komputerów zombi. Team wykorzystał tylko jej niewielką część – 80 000 maszyn – która posłużyła do wysłania 350 milionów pseudospamu. Odpowiedź: 28 zamówień w ciągu 26 dni.

Walka ze spamem to wielkie wyzwania i globalny problem, w porównaniu z którym wyczyny naszego rodzimego spamera wydają się łobuzerskim żarcikiem – prawdziwi spamerzy to złodzieje kieszonkowi Internetu, których po prostu nie można schwytać. Autentyczni przestępcy rezydują bowiem w krajach, w których prawo nie funkcjonuje jak należy, skąd sterują swoimi botnetami. Taki komputer sieciowy pozwala hakerom zarabiać mnóstwo pieniędzy. Nie sprzedają oni bowiem mocy obliczeniowej wyłącznie do spamowania. Oferują swój gang zombi także do poważniejszych zadań: ataki DdoS na witryny, np. banków, które pod wpływem przeciążenia przestają działać, albo wykradanie numerów kart kredytowych wraz z ich PIN-ami.

Najbardziej wymowny przykład zagrażającego bezpieczeństwu użytkowników botnetu to doskonale znany z mediów robak Conficker, który, nieustannie mutując, od dłuższego czasu mnoży się na potęgę w milionach komputerów – i nie ma na niego mocnych. To, że szkodniki zarażają tak ogromną liczbę maszyn podpiętych do ogólnoświatowej Pajęczyny, jest w dużym stopniu winą samych użytkowników: wielu z nich, przez opieszałość, ułatwia przestępcom zdobywanie własnych pecetów – komputer bez codziennie aktualizowanej ochrony antywirusowej bywa łatwą zdobyczą. Eksperci szacują, że już co trzeci komputer na świecie jest częścią nielegalnej sieci i oprócz tego, że normalnie działa, rozsyła też spam.

Botnety: Największe zagrożenie bezpieczeństwa w Internecie

Podjęcie działań przeciwko robakowi Conficker i podobnym szkodnikom to niełatwa sprawa. Teoretycznie każdy administrator może ustalić, który komputer w jego sieci został zamieniony w zombi i poinformo-wać o tym jego użytkownika. W firmach często tak się postępuje. Ale gdy mówimy o użytkowaniu prywatnym – już nie. Skala zjawiska jest bowiem zbyt wielka, a dostawcy Sieci nie mają obowiązku dbania o komputery swoich klientów. Ich zadanie to zapewnienie dostępu do Internetu.

Jednak osoby prywatne mogą same zadbać o to, żeby nie stać się częścią botnetu rozsiewającego spam: należy na bieżąco aktualizować system oraz skaner AV i nie zamawiać za pośrednictwem emaili viagry. Kto zaś ma motywację i miejsce na własną stronę w Sieci, niech zapoluje na spamera – odpowiednie instrukcje w ramce po lewej stronie. Nasz skrypt uderza, co prawda, tylko w tych niewielkich, ale ci, którzy się na niego natkną, na pewno “przeżyją swój niebieski cud” – i to bez viagry.

Ilość spamu na godzinę w pececie Zombi

Skaptowane przez botnety Rustock i Xarvester komputery wysyłają do 25 000 spamerskich emaili na godzinę.

Największe sieci spambotów

Statystyki z Marshal8e6 z 5 czerwca 2009 r. pokazują, które botnety zajmują największą cześć rynku i przez to najczęściej infekuje komputery.

41,2% – Rustock
20,1% – Pushdo
16,5% – Sonstige
10% – Grum
6% – Xarvester
3,5% – Mega-D
2,7% – Donbot

Źródło: www.marshal8e6.com

Liczba botnetów w latach 2007–2009

Specjaliści z Shadowserver Foundation od lat obserwują wzrost liczby botnetów w Internecie.

Polowanie na spamera: Tak to działa

Mając do dyspozycji kawałek miejsca w Sieci na własną stronę WWW, bardzo łatwo zastawić pułapkę na węszącego w Internecie harvestera. Pokazujemy, jak to się robi.

Aby zebrać adresy email, spamer uruchamia harvester, który przeszukuje Internet. My pokażemy coś odwrotnego: jak skonfigurować garnek z miodem, aby odnalazł on spamera.

Będziemy potrzebować do tego miejsca na serwerze, który przetwarza skrypty PHP, wycinka programu zamieszczonego na płycie CHIP-a (kod: SPAM) oraz ustawień serwera pocztowego zwanego cath-all-e-mail – odbierane są wszystkie przesyłki, które trafiają do jego domeny, nawet jeśli konto (ciąg znaków przed @) na nim nie istnieje.  Przedstawiamy całą procedurę:

Najpierw ustaw cath-all-e-mail, aby odbierał wszystkie emaile, których adresy generuje garnek z miodem. Najlepiej przeznacz do tego osobną poddomenę, aby nie mieszały się one z innym przesyłkami. Następnie skopiuj kod źródłowy z pliku “spam.txt” (na naszej płycie) do szablonu strony WWW. Zastąp frazę “przykład.com” swoją domeną albo poddomeną. Zapisz stronę, a następnie załaduj ją i wyświetl jej kod źródłowy. Za pomocą klawiszy [Ctrl] + [F] poszukaj w niej znaku @. Przed nim znajdziesz wygenerowany adres email. Jeśli wszystko dobrze zrobiłeś, adres nie będzie widoczny na stronie, a jedynie w jej kodzie.

Teraz skonfiguruj klienta poczty elektronicznej tak, aby odbierał wszystkie przesyłki przechwycone przez cath-all-e-mail. W przeciwnym wypadku szybko stracisz orientację – przecież wkrótce uderzy w ciebie pierwsza fala spamu. Dzięki adresom email, które są widoczne tylko w kodzie strony, możesz udowodnić spamerowi, że używał harvestera – zwykły internauta nigdy by ich nie zobaczył.