Итак, вернемся к нашему спаму, который
неизвестная группа рассылала денежным
мешкам с различных сайтов.
Хакеры использовали несколько способов
сбора конечно информации о пользователях.
Изначально вообще было примитивное письмо,
которое спамеры просили отправить обратно
на один из адресов. Вероятно оно дальше
форвардилось по цепочке или же
обрабатывалось на месте. Естественно не
обошлось ибез вредоносных программ (malware).
Короткий период времени с 17 Июля письма,
рассылаемые вышеописанной программой,
содержали Trojan.Download.Berbew. В частности его
получили клиенты E-Loan. Троян, написанный на
С, собирал пароли и отправлял их на сервер
спамеров, в сочетании с банковской
подставой в руки мошенников попадали
пароли и данные от финансовых аккаунтов
людей. Однако этого оказалось недостаточно
и с 22 Июля в действие вступила новая версия -
клиенты Wells Fargo и Citibank получили новую версию
трояна. Однако и на этом все не успокоилось,
с 26 Июля якобы от admin@security.org пошло письмо не
только с трояном, но и скодом, использующим уязвимость
в IE и почтовых клиентах Microsoft при помощи
которой троян запускался без всяких
желаний пользователя и незаметно для него.
Как обычно дыра обнаружена еще год назад,
однако мало кто потрудился ее закрыть...
После опытов с троянами команда перешла к
использованию поддельного сайта, который
выдавал окно с приглашение для ввода логина
и пароля на фоне настоящего сайта.
Стоит отметить, что хотя пользователи eBay и
Citibank вероятно и были основной целью,
программа для рассылки засветилась и со
спамом в адрес многих других сайтов где
водятся деньги. Например следы программы
могли обнаружить клиенты E-Loan, E-Gold, Yahoo, PayPal и Wells Fargo
из США, банков Barclays, Halifax, Nationwide и Lloyds из
Британии. Но, конечно, это наверное не все,
что попало в руки исследователей и группа
спамеров могла пользоваться другими
инструментами или данной программой могли
воспользоваться другие.
Мораль
Группа спамеров с использование всего
одной программы попыталась обчистить
клиентов дюжины финансовых сайтов.
Используя несколько подходов и разные
схемы они постарались охватить максимально
возможную аудиторию. Сколько всего
пострадало людей от их действий сказать
пока трудно, так как ни один из сайтов
естественно не хочет раскрывать количество
пострадавших пользователей. Однако
примерное количество просмотревших
поддельные страницы известно (смотри
предыдущую статью с примером от Citibank), если
предположить что 10% все-таки ввели данные,
то... То денег уворовано получается
порядочно... Это не призыв, а констатация
факта 🙂
