Vidéo: Diet Pill Horror Story (Novembre 2024)
Les fournisseurs de messagerie filtrent de mieux en mieux les spams avant même qu’ils ne se retrouvent dans nos boîtes de réception. Malgré tout, certains messages passent toujours. Les spammeurs peaufinent continuellement leurs campagnes pour dépasser les filtres anti-spam. Parfois, nous sommes spammés parce que nos amis sont tombés dans l’escroquerie. Le spam est toujours un problème, mais nous pouvons le résoudre.
SecurityWatch a demandé aux experts en sécurité de Cloudmark de signaler et d’analyser une campagne de spam en cours. Nous examinons le type de messages envoyés et l'infrastructure utilisée pour l'opération. Ce mois-ci, nous examinons une opération appelée "Spammers Com".
L'opération de spammeur
L’opération Com Spammer est spécialisée dans les programmes de travail à domicile, les pilules amaigrissantes et, récemment, dans une crème miracle pour la peau anti-âge. Le gang monétise les campagnes de spam par e-mail et SMS via les victimes qui s’inscrivent pour acheter l’un de ces produits. Dans le cas des pilules amaigrissantes, qui sont envoyées par la poste depuis une banlieue d’Atlanta, Georiga, les victimes sont susceptibles de constater des frais récurrents à deux ou trois chiffres sur leur carte de crédit chaque mois.
La Federal Trade Commission a été en mesure d'arrêter certaines parties de l'escroquerie de plusieurs millions de dollars qui concerne le travail à domicile à la mi-février, "mais elles ont maintenant retrouvé leurs vieilles astuces", a déclaré Andrew Conway, analyste de recherche chez Cloudmark. Le gang avait réorienté les liens plus anciens de type «travail à domicile» pour promouvoir les pilules amaigrissantes après l’action de la FTC, mais cet aspect de l’activité semble être de retour.
Comment fonctionne l'opération
Cette opération utilise différents domaines comme pages de destination, ce qui n’est pas si inhabituel chez les spammeurs, mais il convient de noter que de nombreux domaines commencent par com_. Ce préfixe rend difficile pour un utilisateur moyen de dire au premier abord si le domaine est faux. Par exemple, le lien foxnews.com_ab12.net/new_diet.php ressemble à une URL foxnews.com alors qu’il s’agit en fait d’une URL com_ab12.net.
Les spammeurs enregistrent ces sites au rythme de vingt ou plus par jour.
Bien que les messages puissent inclure l'URL réelle de la page de destination, nombre d'entre eux reposent sur un lien intermédiaire. Cela pourrait signifier un lien à partir d'un raccourcisseur d'URL tel que bit.ly, ou un lien vers un site Web qui redirigerait l'utilisateur sur la page de destination. Le groupe compte plus de 4 300 serveurs Web compromis utilisés pour rediriger les utilisateurs vers les pages de destination principales, a déclaré Cloudmark.
Une structure de programme d'affiliation
Com Spammer est structuré comme un programme d'affiliation, avec des niveaux d'individus dédiés à des tâches spécifiques. Le premier niveau comprend des spammeurs indépendants qui envoient des messages de spam, souvent via des réseaux de zombies. Le niveau suivant inclut les responsables de la configuration et de la maintenance des pages de destination, qui peuvent ressembler à des sites d’informations ou de magazines. Le troisième niveau regroupe les personnes chargées d'extraire le plus d'argent possible des victimes visitant les pages de destination.
"On dirait que quelqu'un a pris le temps de monétiser ce spam. Nous espérons que les gens en sont maintenant plus conscients et n'en sont pas victimes", a déclaré Conway.
SecurityWatch travaillera avec Cloudmark sur une base mensuelle pour analyser davantage de campagnes de spam et de phishing. Le mois prochain, nous examinons le spam mobile.
