맛있는 스팸 : 몰래 공격하는 URL로 인해 다이어트 알약, 재택 근무 사기로 피해자를 속입니다.

메일 제공 업체는 스팸이받은 편지함에 도착하기 전에 스팸을 필터링하는 데 익숙해지고 있습니다. 그럼에도 불구하고 일부 메시지는 여전히 통과합니다. 스팸 발송자들은 스팸 필터를 통과하기 위해 지속적으로 캠페인을 조정하고 있습니다. 때때로 친구가 사기 때문에 스팸이 발송되기도합니다. 스팸은 여전히 ​​문제이지만 우리가 해결할 수있는 문제입니다.

SecurityWatch는 Cloudmark의 보안 전문가에게 진행중인 스팸 캠페인을 표시하고 분석하도록 요청했습니다. 전송되는 메시지의 유형과 사용 된 작업의 기반 구조를 살펴 봅니다. 이번 달에는 "Com Spammers"라는 작업을 살펴 ​​봅니다.

Com 스패머 작업

Com Spammer 작업은 재택 근무 계획, 다이어트 약 및 최근 기적의 노화 방지 스킨 크림을 전문으로합니다. 갱단은 이러한 제품 중 하나를 구매하기 위해 가입 한 피해자를 통해 이메일 및 SMS 스팸 캠페인으로 수익을 창출합니다. Georiga, Atlanta의 교외에서 우송되는 다이어트 약의 경우, 희생자들은 매달 신용 카드에 2 ~ 3 개의 그림이 반복적으로 청구될 가능성이 높습니다.

미연방 무역위원회 (Federal Trade Commission)는 2 월 중순에 수백만 달러의 재택 근무 사기를 중단 할 수 있었지만 클라우드 마크의 연구 분석가 인 앤드류 콘웨이 (Andrew Conway)는 말했다. 갱단은 FTC 조치 후 다이어트 알약을 홍보하기 위해 기존 직장 링크를 재 지정했지만 사업 의이 측면은 다시 작동하는 것으로 보입니다.

작동 기능

이 작업은 서로 다른 도메인을 방문 페이지로 사용하는데, 이는 스패머들에게는 그리 드물지 않지만 많은 도메인이 com_으로 시작한다는 점은 주목할 가치가 있습니다. 이 접두사를 사용하면 일반 사용자가 도메인이 가짜인지 한눈에 알기가 어렵습니다. 예를 들어, foxnews.com_ab12.net/new_diet.php 링크는 실제로는 com_ab12.net URL 인 경우 foxnews.com URL 인 것처럼 보입니다.

스패머는이 사이트를 하루 20 개 이상의 속도로 등록합니다.

메시지는 방문 페이지의 실제 URL을 포함 할 수 있지만 대부분은 중간 링크를 사용합니다. 이는 bit.ly와 같은 URL 단축기의 링크 또는 사용자를 방문 페이지로 리디렉션하는 웹 사이트의 링크를 의미 할 수 있습니다. Cloudmark는이 그룹에 사용자를 기본 방문 페이지로 리디렉션하는 데 사용되는 4, 300 개가 넘는 손상된 웹 서버가 있다고 밝혔다.

제휴 프로그램 구조

Com Spammer는 특정 작업에 전념하는 개인 계층으로 구성된 제휴 프로그램으로 구성됩니다. 첫 번째 수준에는 종종 봇넷을 통해 스팸 메시지를 보내는 독립적 인 스패머가 있습니다. 다음 단계에는 방문 페이지를 설정하고 유지 관리하는 담당자가 포함되며 뉴스 나 잡지 사이트처럼 보일 수 있습니다. 세 번째 계층은 방문 페이지를 방문한 피해자로부터 가능한 한 많은 돈을 추출하는 일을하는 사람들로 구성됩니다.

콘웨이는 "누군가가이 스팸으로 수익을 창출하는 데 어려움을 겪고있는 것 같다"고 밝혔다.

SecurityWatch는 매달 더 많은 스팸 및 피싱 캠페인을 분석하기 위해 Cloudmark와 협력 할 것입니다. 다음 달에는 모바일 스팸을 살펴 봅니다.