sobota, 6 lutego 2010

o 23:23 , Autor: Rafał

Jedni nadal poszukują źródła wycieku danych, natomiast ja i kolega pokusiliśmy się na małą analizę rozsyłanego spamu. Być może wpis ten rozjaśni niektórym osobom zasadę funkcjonowania tego typu "biznesu".

Na początku przeanalizujmy link, który znajduje się w rozesłanych e-mailach.

http://x.jngtrcka.com/y.z?l=http://supamailt.com/affiliate/referral.asp?aff_id=aff80147:CYFERKI&site=prospl&url=XXXXXXXXX&e=NUMER1&j=NUMER2&t=h&p=2

Pomińmy na razie do kogo należą domeny jngtrcka oraz supamailt. Po odpaleniu tego adresu następuje podwójne przekierowanie i lądujemy na stronie internetowego kasyna Golden Tiger Casino. Krótko mówiąc, jest to zwykły reflink (podstawa programów partnerskich polegających na otrzymywaniu różnych bonusów pieniężnych za zachęcenie pewnej ilości "znajomych" do rejestracji w kasynie). We wszystkich rozsyłanych wiadomościach identyfikator użytkownika kasyna jest taki sam: aff80147. Adresy różnią się jedynie w miejscu, które oznaczyłem NUMER1 - na poziomie wywołania adresu pod domeną supamailt prawdopodobnie zbierane są informacje potwierdzające dane adresata spamu oznaczonego identyfikatorem NUMER1. Podsumowując - spam ma na celu przyciągnięcie ludzi do internetowego kasyna, co wiąże się z zyskiem finansowym dla osoby rozsyłającej.

Wracając do domen. Spammer korzysta z serwisu internetowego Jangomail. Cóż to jest? To nic innego jak "legalne" narzędzie do rozsyłania spamu. Jego zasada działania jest bardzo prosta - podpinasz swoją własną bazę danych z adresami e-mail, płacisz za odpowiednią ilość rozesłanych wiadomości i wysyłasz - zachowując całkowitą anonimowość. Prawdopodobnie serwis udostępnia też różne statystyki, do czego potrzebny jest wyżej wspomniany identyfikator odbiorcy, oznaczony przeze mnie jako NUMER1.

Osoba rozsyłająca spam wcale nie musi być bezpośrednim sprawcą kradzieży. Kradzione bazy danych personalnych są błyskawicznie sprzedawane na czarnym rynku za niemałe pieniądze - nie wiadomo przez ile rąk dane tysięcy Polaków już zdążyły przejść. Niestety danych tych nie da się usunąć z internetu - maszynka poszła w ruch, już nie da się tego zatrzymać. Wszystkie możliwe środki powinny być teraz skierowane na wykrycie źródła wycieku danych.

Martwi mnie to, że pojawia się coraz więcej odbiorców osławionego spamu, którzy zarzekają się, że nigdy nie korzystali z serwisu MoneyBookers (choć nadal użytkownicy tego serwisu stanowią większość wśród poszkodowanych). Całkiem prawdopodobne, że dane wykorzystane przez spammerów pochodzą z różnych źródeł - a w tym przypadku duża afera zaczyna nam się powoli zamieniać w ogromną aferę.

I dlaczego polskie media milczą w tej kwestii, hmm?

2 komentarze:

  1. 9 lutego 2010 14:00  
    Anonimowy pisze...

    Moneybookers zaprzecza:
    http://www.promocje24.net/wyciek-danych-vt253.htm#667

  1. Również otrzymałem list od MoneyBookers. Pytanie tylko - kto by się przyznał? Samo powołanie się na ustawę i przepisy wcale nie dowodzi, że firma nie popełniła w którymś momencie błędu.

    Pełna treść listu od MoneyBookers:

    Szanowny Panie,

    dziękujemy za otrzymaną wiadomość.

    W związku z wyrażoną obawą dotyczącą spamu rozsyłanego do niektórych z naszych polskich klientów, chcielibyśmy zapewnić, że żadne dane osobowe lub finansowe nie zostały przez nas ani ujawnione, ani narażone na ujawnienie.

    Moneybookers jest firmą regulowaną przez Urząd do Spraw Usług Finansowych Wielkiej Brytanii (FSA) i na bieżąco dostosowuje się do wymogów bezpieczeństwa definiowanych zarówno przez instytucje brytyjskie, jak i organa Unii Europejskiej (Europejska Dyrektywa o Ochronie Danych).

    Podczas gdy Moneybookers nigdy nie przekazałoby Twoich danych osobom trzecim, może się zdarzyć, że otrzymasz wiadomości z prośbą o podanie poufnych informacji, takich jak nazwa użytkownika, hasła, dane kart kredytowych itp. Takie wiadomości są fałszywe i nigdy nie będą pochodziły od Moneybookers. Tym samym chcielibyśmy przypomnieć, że ani Moneybookers, ani nikt z przedstawicieli naszej firmy, NIGDY nie wyśle e-maila prosząc o podanie loginu i hasła w załączonym formularzu i NIGDY nie zwróci się z prośbą o kliknięcie na link przekierowujący na stronę inną niż https://www.moneybookers.com w celu zalogowania się. Chcielibyśmy natomiast prosić o informowanie nas o wszystkch wzbudzających podejrzenia sytuacjach, pisząc na adres security@moneybookers.com.

    Bezpieczeństwo danych naszych klientów jest dla Moneybookers sprawą pierwszorzędnej wagi.

    Mamy nadzieję, że odpowiedzieliśmy na Twoje pytanie.

    Z poważaniem,
    Twój zespół Moneybookers