Jedni nadal poszukują źródła wycieku danych, natomiast ja i kolega pokusiliśmy się na małą analizę rozsyłanego spamu. Być może wpis ten rozjaśni niektórym osobom zasadę funkcjonowania tego typu "biznesu".

Na początku przeanalizujmy link, który znajduje się w rozesłanych e-mailach.

http://x.jngtrcka.com/y.z?l=http://supamailt.com/affiliate/referral.asp?aff_id=aff80147:CYFERKI&site=prospl&url=XXXXXXXXX&e=NUMER1&j=NUMER2&t=h&p=2

Pomińmy na razie do kogo należą domeny jngtrcka oraz supamailt. Po odpaleniu tego adresu następuje podwójne przekierowanie i lądujemy na stronie internetowego kasyna Golden Tiger Casino. Krótko mówiąc, jest to zwykły reflink (podstawa programów partnerskich polegających na otrzymywaniu różnych bonusów pieniężnych za zachęcenie pewnej ilości "znajomych" do rejestracji w kasynie). We wszystkich rozsyłanych wiadomościach identyfikator użytkownika kasyna jest taki sam: aff80147. Adresy różnią się jedynie w miejscu, które oznaczyłem NUMER1 - na poziomie wywołania adresu pod domeną supamailt prawdopodobnie zbierane są informacje potwierdzające dane adresata spamu oznaczonego identyfikatorem NUMER1. Podsumowując - spam ma na celu przyciągnięcie ludzi do internetowego kasyna, co wiąże się z zyskiem finansowym dla osoby rozsyłającej.

Wracając do domen. Spammer korzysta z serwisu internetowego Jangomail. Cóż to jest? To nic innego jak "legalne" narzędzie do rozsyłania spamu. Jego zasada działania jest bardzo prosta - podpinasz swoją własną bazę danych z adresami e-mail, płacisz za odpowiednią ilość rozesłanych wiadomości i wysyłasz - zachowując całkowitą anonimowość. Prawdopodobnie serwis udostępnia też różne statystyki, do czego potrzebny jest wyżej wspomniany identyfikator odbiorcy, oznaczony przeze mnie jako NUMER1.

Osoba rozsyłająca spam wcale nie musi być bezpośrednim sprawcą kradzieży. Kradzione bazy danych personalnych są błyskawicznie sprzedawane na czarnym rynku za niemałe pieniądze - nie wiadomo przez ile rąk dane tysięcy Polaków już zdążyły przejść. Niestety danych tych nie da się usunąć z internetu - maszynka poszła w ruch, już nie da się tego zatrzymać. Wszystkie możliwe środki powinny być teraz skierowane na wykrycie źródła wycieku danych.

Martwi mnie to, że pojawia się coraz więcej odbiorców osławionego spamu, którzy zarzekają się, że nigdy nie korzystali z serwisu MoneyBookers (choć nadal użytkownicy tego serwisu stanowią większość wśród poszkodowanych). Całkiem prawdopodobne, że dane wykorzystane przez spammerów pochodzą z różnych źródeł - a w tym przypadku duża afera zaczyna nam się powoli zamieniać w ogromną aferę.

I dlaczego polskie media milczą w tej kwestii, hmm?