Do mé e-mailové schránky přicházejí každý den různé exempláře spamu. Některé jsou nesmyslné (k čemu by mi byl dekodér kabelového či družicového televizního vysílání v Americe?). Další spoléhají na moji stupiditu. Nenechávám se ovšem znechutit a kompletní zdrojový kód nabídek investování do pochybných akcií či dokonce pyramidových schémat nejen proháním SpamCopem, ale, pokud je ve hře americký subjekt, odesílám jej i na adresu uce@ftc.gov, kterou pro tento účel v roce 1998 zřídila americká Federální obchodní komise. Některé nabídky lze možná považovat i za trochu urážlivé (spammeři mi občas rádi nabízejí prostředky proti impotenci).
Domníval jsem se, že nějaká nová zásadní zkušenost v oblasti spamu mi již nehrozí.
22. března jsem ovšem v příchozí poště mezi spamy našel i zprávu se subjektem failure notice
ve formátu HTML obsahující zajímavý formulář:
(zdrojový text zprávy naleznete zde – obsah těla zprávy je díky kódování base64 nečitelný, vyexportovaný HTML naleznete zde.)
Tělo zprávy se tvářilo jako přihlašovací formulář služby e-gold.com, která představuje pokus o soukromou digitální měnu vázánou přímo na zlato, bližší info najdete mimo jiné zde. Osobně je mi tato služba sympatická, na zlatý standard v minulosti pomýšlím s nostalgií – domnívám se, že alespoň zčásti chránil vlády a centrální banky před pokušením hazardních ekonomických experimentů. Při zobrazení e-mailu jsem nicméně tušil čertovinu – nechápu, proč by mi přihlašovací obrazovka měla být zasílána e-mailem, zvláště když účet u e-gold nemám :-)
Mé temné tušení se při kontrole zdrojového kódu HTML potvrdilo: Zatímco hyperlinky a <img src=>
vedou skutečně na e-gold.com a text nabádá před sdělováním uživatelského hesla neoprávněným subjektům, formulář činí pravý opak – odesílá jméno a heslo uživatele na http://users.vr9.com/egoldie1/cgi-bin/form2.cgi. Stránka, která je výstupem podezřelého CGIčka, obsahovala v hlavičce presměrování na stránku http://www.e-gold.com/ pomoci
Stopy vedly do Polska: Z hlaviček e-mailu vyplývá, že podezřelý spammer odeslal zprávu z IP adresy 213.76.193.165
pa165.czestochowa.sdi.tpnet.pl
přes relay na 195.94.193.156
infiltrator.poland.com
. Nepodařilo se mi zjistit, zda účelem získání uživatelských jmen a hesel byla neoprávněná manipulace s účty na e-gold.com, či vydírání provozovatele – možná, že obojí.
Jak se můžeme nyní přesvědčit, webmaster e-gold.com znemožnil korektní zobrazení podvodného formuláře přesunutím obrázků na svém serveru – nezaregistroval jsem ovšem ani jedno varování uživatelům. Podobně zmizel i uživatel egoldie1
z free webhostingu vr9.com. Doufám, že podvodník nikoho nestačil připravit o virtuální poukázky na zlato, a jsem zvědav, jaké spamy přinese budoucnost.