Sociální inženýrství a zlodějina pomocí spamu

Kdo by neznal spam - většina z nás jej denně dostává doslova tuny a nezabrání tomu ani sebedokonalejší filtry proti spamu či "černé listiny". Většina spamu jsou v podstatě neškodné emaily a většinou končí v koši, čas od času se však objeví email, který vás přiměje pozastavit se nad tím, kam a co na Internetu zadáváte.

Do mé e-mailové schránky přicházejí každý den různé exempláře spamu. Některé jsou nesmyslné (k čemu by mi byl dekodér kabelového či družicového televizního vysílání v Americe?). Další spoléhají na moji stupiditu. Nenechávám se ovšem znechutit a kompletní zdrojový kód nabídek investování do pochybných akcií či dokonce pyramidových schémat nejen proháním SpamCopem, ale, pokud je ve hře americký subjekt, odesílám jej i na adresu uce@ftc.gov, kterou pro tento účel v roce 1998 zřídila americká Federální obchodní komise. Některé nabídky lze možná považovat i za trochu urážlivé (spammeři mi občas rádi nabízejí prostředky proti impotenci).

Domníval jsem se, že nějaká nová zásadní zkušenost v oblasti spamu mi již nehrozí.

22. března jsem ovšem v příchozí poště mezi spamy našel i zprávu se subjektem failure notice ve formátu HTML obsahující zajímavý formulář:

(zdrojový text zprávy naleznete zde – obsah těla zprávy je díky kódování base64 nečitelný, vyexportovaný HTML naleznete zde.)

Tělo zprávy se tvářilo jako přihlašovací formulář služby e-gold.com, která představuje pokus o soukromou digitální měnu vázánou přímo na zlato, bližší info najdete mimo jiné zde. Osobně je mi tato služba sympatická, na zlatý standard v minulosti pomýšlím s nostalgií – domnívám se, že alespoň zčásti chránil vlády a centrální banky před pokušením hazardních ekonomických experimentů. Při zobrazení e-mailu jsem nicméně tušil čertovinu – nechápu, proč by mi přihlašovací obrazovka měla být zasílána e-mailem, zvláště když účet u e-gold nemám :-)

Mé temné tušení se při kontrole zdrojového kódu HTML potvrdilo: Zatímco hyperlinky a <img src=> vedou skutečně na e-gold.com a text nabádá před sdělováním uživatelského hesla neoprávněným subjektům, formulář činí pravý opak – odesílá jméno a heslo uživatele na http://users.vr9.com/egoldie1/cgi-bin/form2.cgi. Stránka, která je výstupem podezřelého CGIčka, obsahovala v hlavičce presměrování na stránku http://www.e-gold.com/ pomoci

Stopy vedly do Polska: Z hlaviček e-mailu vyplývá, že podezřelý spammer odeslal zprávu z IP adresy 213.76.193.165 pa165.czestochowa.sdi.tpnet.pl přes relay na 195.94.193.156 infiltrator.poland.com. Nepodařilo se mi zjistit, zda účelem získání uživatelských jmen a hesel byla neoprávněná manipulace s účty na e-gold.com, či vydírání provozovatele – možná, že obojí.

Jak se můžeme nyní přesvědčit, webmaster e-gold.com znemožnil korektní zobrazení podvodného formuláře přesunutím obrázků na svém serveru – nezaregistroval jsem ovšem ani jedno varování uživatelům. Podobně zmizel i uživatel egoldie1z free webhostingu vr9.com. Doufám, že podvodník nikoho nestačil připravit o virtuální poukázky na zlato, a jsem zvědav, jaké spamy přinese budoucnost.

Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.