Не весь спам одинаково полезен. Мотивы
спамеров различаются так же, как
различаются их инструменты и возможности. В
этой статье рассказывается о банде
спамеров, попытавшейся похитить данные о
счетах многих клиентов одного из
крупнейших банков США - Citibank (аналогичным
спамом были завалены и клиенты Wells Fargo, Halifax
Bank, eBay, Yahoo и многих других компаний). Все
личные данные вырезаны, заголовки писем
приведены как есть.

С ростом онлайновых клиентов у банка
выросло и число попыток поиметь наивных
пользователей. Жулики используют самые
разные схемы для получения информации о
клиентах платежных систем, начиная от
сайтов, похожих на настоящие банковские, до
рассылки почты, в которой спрашивается о
банковских реквизитах. На первый взгляд
следующее письмо относится как раз к такому
случаю:

/-------------------------------
Received: from host70-72.pool80117.interbusiness.it ([80.117.72.70])
          by mailserver with SMTP          
		  id <20030929021659s1200646q1e>; Mon, 29 Sep 2003 02:17:00 +0000
Received: from sharif.edu [83.104.131.38] by host70-72.pool80117.interbusiness.it (Postfix) with 
ESMTP id EAC74E21484B for <e-response@securescience.net>; Mon, 29 Sep 2003 11:15:38 +0000
Date: Mon, 29 Sep 2003 11:15:38 +0000
From: Verify <verify@citibank.com>
Subject: Citibank E-mail Verification: e-response@securescience.net
To: E-Response <e-response@securescience.net>
References: <F5B12412EAC2131E@securescience.net>
In-Reply-To: <F5B12412EAC2131E@securescience.net>
Message-ID: <EC2B7431BE0A6F48@citibank.com>
Reply-To: Verify <verify@citibank.com>
Sender: Verify <verify@citibank.com>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit

Dear Citibank Member,

This email was sent by the Citibank server to verify your e-mail
address. You must complete this process by clicking on the link
below and entering in the small window your Citibank ATM/Debit
Card number and PIN that you use on ATM.
This is done for your protection -t- becaurse some of
our members no longer have access to their email addresses and
we must verify it.

To verify your e-mail address and access your bank account,
click on the link below. If nothing happens when you click on the
link (or if you use AOL)K, copy and paste the link into
the address bar of your web browser.

http://www.citibank.com:ac=piUq3027qcHw003nfuJ2@sd96V.pIsEm.NeT/3/?3X6CMW2I2uPOVQW

y---------------------------------------------
           Thank you for using Citibank!
C---------------------------------------------

This automatic email sent to: e-response@securescience.net
Do not reply to this email.

R_CODE: ulG1115mkdC54cbJT469

/-------------------------------

Видно, что письмо пришло от Citibank, так как
содержит его URL, однако очевидно:

  • В мыле содержатся грамматические и
    орфографические ошибки.
  • С письме есть так называемые hash-busters,
    которые не дают фильтрам определять
    письмо как спам. Причем, что интересно,
    различные люди получали письма с
    различными символами для обхода
    фильтрации
  • Ясно, что хотя URL и начинается с www.citibank.com,
    но ведет он на sd96v.pisem.net, который
    располагается в Москве.
  • Заголовок письма не соответствует
    Citibank'у, а принадлежит итальянской
    системе. Сканирование показало, что
    система скорее всего взломана. 

Естественно, что при клике на ссылку
пользователю показывалось окошко, в
котором требовали ввести номер счета и
пароль (на фоне настоящей страницы банка).

Рассылка, которая прошла 29 Сентября 2003
года и которая и рассматривалась выше, на
самом деле уже вторая версия банковского
спама. Первая была зарегистрирована 16
Августа и просила пользователей
ознакомиться с новыми условиями договора.
Пользователей, кликнувших на похожую
ссылку, тогда отправляли в Китай и в ссылке
на сервак передавался адрес электронной
почты. Во втором, как видно, в ссылке
присутствует случайный набор цифр и на
серваке спрашивают номер карты и PIN код.
Третья версий (с 25 Октября) просит номер, код
и дату истечения договора.

Практически в каждом случае сервер,
находящийся в России, использовался для
обработки запросов или для подсчета хитов.
Например по логам видно, что в первом случае
16 Августа на письмо попалось 107.274 человека,
17 Августа - 91.573. За день до этого страница зарегистрировала
всего одно посещение - с адреса 68.82.62.191,
кабельного модема, который располагается в
штате Delaware. Этот адрес использовался 8 из 10
раз на неделе, предшествующей рассылке
спама и видимо использовался для
тестирования сервиса. Пока непонятно был ли
это реальный автор подставы или
использовалась очередная взломанная
система. Сканирование адреса
показало
, что на машине используется
файрвол и не стоит прокси, так что
вероятность его использования в качестве
промежуточного звена маловероятна. 

Естественно, что люди, рассылающие спам,
используют разнообразные программы для
обработки почты. Разные инструменты -
разные следы. В случае воровства у Citibank'а
программа для рассылки оставила уникальный
Message-ID в заголовке: 16-17 символов от A до Z или
цифры, потом @ и подставной домен.
Обратившись к Great Spam Archive и новостной группе
news.admin.net-abuse.sightings (NANAS) можно узнатьо
подобных же письмах. Например, между 11
Ноября 1997 года и 21 Августа 2003 было
зарегистрировано 17.867 видов писем, из них
только 16 похожи по описанию на подопытную
мессагу. Причем появились эти 16 за
последние 5 месяцев... Мораль: похоже, что
утилитой пользуется один или два человека;
похоже, что программе нужно от 3 дней до
недели что бы обработать весь список
адресов. К тому же изменение длинны строки
перед @ с 17 до 16 символ вероятно указывает на
то, что спамер к тому же еще и разработчик.

Плавно перетекаем к содержанию писем,
обнаруженных в базе данных спама. Эксперты
отметили некоторое количество ошибок и не
соответствий. Например "I am the customer"
вроде бы правильно, но на самом деле по
английски правильно "I am a customer". Такие
ошибки указывают на то, что скорее всего
письмо составлял  европеец, о чем даже
свидетельствует валюта - 300$ вместо $300. Существует
и второй вариант сообщений, в котором
пользователя просят загрузить и запустить
программу. стиль, в котором он составлен,
говорит о жителе США или Канады. Анализ
архивов позволяет предположить о наличии
нескольких групп хакеров, использующих
программу для рассылки.

(Продолжение следует)

Check Also

Стань автором «Хакера»!

«Хакеру» нужны новые авторы, и ты можешь стать одним из них! Если тебе интересно то, о чем…

Оставить мнение