Cisco Talos: Jak cyberprzestępcy wykorzystują aplikacje zewnętrzne do spamowania?
3 min read
Spam to jedna z najczęściej spotykanych form cyberzagrożeń, z którą codziennie zmagają się miliony użytkowników na całym świecie, a spamerzy nieustannie poszukują metod, które pomogą im ominąć filtry antyspamowe. Jednym z problemów, które cyberprzestępcy napotykają przy tworzeniu własnej infrastruktury do wysyłania wiadomości jest to, że gdy spam zaczyna być rozsyłany, jego źródła (adresy IP/domeny) mogą zostać zablokowane. Z tego powodu wielu spamerów decyduje się atakować strony internetowe i serwery pocztowe, aby móc wykorzystać ich infrastrukturę do wysyłania spamu, ponieważ ma ona większe szanse dotrzeć do skrzynki odbiorczej, jeśli zostanie dostarczona z legalnego źródła.
Spamerzy realizują te działania na różne sposoby: jednym z nich jest nadużywanie stron internetowych połączonych z infrastrukturą SMTP, innym jest wykorzystanie skradzionych danych logowania (e-mail/hasło) do prób zalogowania się na konta pocztowe, z których mogą wysyłać spam. Grupa Cisco Talos postanowiła przyjrzeć się tego typu atakom, analizując metody działania.
Nadużywanie formularzy internetowych
Spamerzy z sukcesem wykorzystują strony internetowe do zasypywania skrzynek pocztowych niechcianymi wiadomościami. Jedną z metod, w której się wyspecjalizowali jest wykorzystywanie formularzy na stronach internetowych, które wysyłają wiadomości e-mail np. w przypadku potwierdzenia rejestracji. Brak odpowiedniej walidacji danych wejściowych sprawił, że wiele z tych formularzy jest podatnych na manipulacje. Z czasem te ataki stały się bardziej zaawansowane, wykorzystując cross-site scripting (XSS) lub SQL injection.
Cyberprzestępcy mogą manipulować danymi, wprowadzając złośliwe linki i teksty w pola formularzy, co powoduje, że wysłane do użytkowników wiadomości zawierają treści generowane przez atakujących. Spamerzy korzystają także z popularnych narzędzi Google, aby rozsyłać spam. Choć Google aktywnie walczy z nadużyciami, spamerzy wykorzystują różnice w ustawieniach regionalnych oraz luki w zabezpieczeniach, aby uniknąć wykrycia.
Niestety poszkodowani mają niewiele możliwości ochrony przed tego rodzaju wiadomościami spamowymi. Większość e-maili wysyłanych przez formularze kontaktowe jest legalna, więc złośliwe wiadomości wtapiają się w standardowy ruch.
Dlaczego jedno hasło do wielu kont to nie jest dobry pomysł
Bardzo częstą praktyką jest stosowanie tych samych poświadczeń do wielu kont. Wynika to z wygody użytkowników – łatwiej zapamiętać jedno hasło niż kilka. Niestety, ale stanowi to ułatwienie przede wszystkim dla przestępców, którzy po skradzeniu hasła będą próbować zalogować się na różne konta, licząc na to, że użytkownicy używają tych samych danych logowania na wielu stronach. Istnieje spore prawdopodobieństwo, że im się uda. Metoda ta, nazywana credential stuffing umożliwia dostęp do legalnych serwerów pocztowych, które rzadko są blokowane przez filtry antyspamowe.
Skradzione dane logowania, które działają na różnych stronach i serwisach, są szczególnie wartościowe dla spamerów. Przestępcy testują te dane na serwerach SMTP, a po znalezieniu działających poświadczeń mogą uruchomić masową wysyłkę spamu. Narzędzia open-source, takie jak MadCat czy MailRip, umożliwiają automatyzację tego procesu. Atakujący korzystają także z własnych narzędzi, często szyfrując lub kodując treści wiadomości, aby utrudnić ich wykrycie. W momencie, gdy spamerzy uznają, że znaleźli działający serwer SMTP, rozpoczynają wysyłkę spamu na dużą skalę, co powoduje, że wykrycie i blokowanie tych wiadomości staje się wyzwaniem.
Jednym ze sposobów, w jaki Cisco Talos stara się powstrzymać tego rodzaju ataki, jest sprawienie, aby atakujący uwierzyli, że znaleźli aktywne konto e-mailowe. Aby to osiągnąć, Specjaliści Cisco Talos skonfigurowali pułapki spamowe, które umożliwiają zgłoszenie wszystkich adresów, z których wysyłany jest spam, a to znacznie wpływa na ich zdolność do dostarczania wiadomości do skrzynki odbiorczej.
Jak się chronić przed spamem?
Jednym z najskuteczniejszych sposobów walki ze spamem jest edukowanie użytkowników, by byli ostrożni wobec nieoczekiwanych wiadomości e-mail. Warto zwracać uwagę na treść e-maili, szczególnie te, które zawierają linki lub prośby o dane osobowe. Z technicznego punktu widzenia, użytkownicy powinni korzystać z unikalnych haseł do każdej usługi oraz regularnie je zmieniać. Pomocnym narzędziem może być menedżer haseł, który pozwala bezpiecznie przechowywać różne poświadczenia. Nie jest tajemnicą, że ludzie nie przykładają dużej wagi do tworzenia bezpiecznych haseł, o czym świadczy fakt, że najpopularniejszym niebezpiecznym hasłem przez ostatnie lata było „123456”.
Chociaż spam z formularzy internetowych trudno odróżnić od legalnych wiadomości, lepsza walidacja danych wejściowych oraz filtrowanie treści mogą ograniczyć ryzyko. Dla firm kluczowe jest także monitorowanie swoich serwerów oraz zabezpieczanie aplikacji przed potencjalnymi nadużyciami.
Spamerzy stale poszukują nowych metod omijania zabezpieczeń, co oznacza, że walka z nimi musi obejmować zarówno działania prewencyjne, jak i ciągłe monitorowanie pojawiających się zagrożeń. Tworzenie silnych haseł, korzystanie z menedżerów haseł oraz edukacja użytkowników to podstawowe narzędzia ochrony.
Więcej informacji na blogu Cisco Talos: https://blog.talosintelligence.com/simple-mail-transfer-pirates/