Контрольная закупка
Сотрудник отдела IT-безопасности софтверной компании CA Марк Уэйд (Mark Wade) сделал контрольную закупку по разосланной спамерами рекламе и проследил все источники, связанные с оформлением заказа.
Получив по электронной почте письмо со спамерской рекламой дешевых часов марки “Ролекс”, Уэйд обратил внимание на адрес отправителя – cherylcn@hisplacechurch.com . Как выяснилось, домен был зарегистрирован на небольшую церковь в штате Вашингтон, а электронный адрес принадлежал ассистенту пастора Черил Нефф (Cheryl Neff). По всей видимости, церковный компьютер был инфицирован и контролировался спамерами или они просто использовали адрес Черил в числе прочих в этой спам-рассылке.
Исследовав несколько идентичных спамовых писем, Уэйн составил список из 9 разных URL, предлагаемых спамерами в качестве адресов интернет-магазинов. Все они оказались зарегистрированы в Китае, причем 3 из них – на имя китайской актрисы Лю Тао (Liu Tao). Отыскать среди спамерских веб-сайтов действующий оказалось нелегкой задачей, поскольку они бывают активными в течение 1-2 недель. Подстановка выявленных Уэйном действующих IР-адресов в окно веб-браузера выдавала характерный ответ с релевантных китайских и корейских серверов: “site not found on our server!” (“веб-сайт на сервере не найден”).
Наконец, Уэйну повезло. Проверив ресурс на наличие вредоносных программ и убедившись в их отсутствии, он под вымышленным именем оформил небольшой заказ, используя специально купленную для эксперимента кредитную карту. Программа-разведчик, которую исследователь предусмотрительно установил в своей локальной сети, зафиксировала, что все персональные данные были отправлены открытым текстом, хотя держатели “интернет-магазина” активно заверяли в SSL-защите конфиденциальной переписки.
Подтверждение совершившейся сделки не заставило себя долго ждать. Проверка указанного в спамовом письме электронного адреса службы технической поддержки выявила, что домен уже недействителен, а релевантный веб-сайт зарегистрирован на имя компании CSMJBS в Лас-Вегасе. Поиск в Google определил сайт как поддельный. Тогда Уэйн позвонил в Лас-Вегас и выяснил, что CSMJBS обанкротилась весной, а ее глава проживает в штате Вашингтон и недавно был привлечен к суду за создание веб-сайтов, имитирующих онлайн-сервисы различных финансовых структур. Обманывая пользователей Интернета, мошенник успел сколотить состояние в 2 миллиона долларов.
Уэйн проверил состояние счета на своей контрольной кредитке: сумма, на которую был оформлен заказ, оказалась снята сервисом ElegantReplica.com (с указанием телефонного номера). Поиск указанного продавца в Интернете не дал ничего, кроме нескольких дезактивированных ссылок и жалоб на его участие в аферах спамеров. Поиск владельца телефонного номера оказался более удачным решением: номер числился за некоей компанией на Кипре. Звонок на Кипр вознаградил упорство исследователя, сделав его счастливым обладателем сопроводительного номера заказа.
Проверив по этому номеру состояние своего заказа на веб-сайте продавца, Уэйн обнаружил подробный отчет о прохождении покупки через все промежуточные инстанции – вплоть до аэропорта Кеннеди и местных почтовых отделений в своем штате. Только вот самой покупки исследователь так и не дождался, хотя не поленился связаться с американской почтовой службой. Обвинять последнюю в недобросовестности у него нет оснований.
В заключение своего виртуального путешествия Уэйн еще раз обратился в интернет-магазин, оформивший его заказ, – веб-сайт оказался закрыт. Одному из читателей этой увлекательной эпопеи удалось заглянуть на данный сайтт, когда последний вновь возобновил работу. По его отзывам, исходная программа страницы “Contact Us” (“Контактная информация”) имеет зашифрованную JavaScript функцию “RemoveWords” (“удалить слова”). В список слов, неугодных спамерам, попали такие выражения, как ‘stop sending”, “unsubscribe’, “take me off”, ‘delete me”, ‘stop email”, “opt out”, “spam”, “no more” (“прекратите рассылку”, “отказаться от подписки”, “прошу исключить мой адрес из”, “удалите мой адрес”, “не присылайте писем”, “отказ”, “спам”, “не надо больше”).
Источник: CA
