Таблетки для схуднення Beltway Bandits - Krebs on Security - Хороший сервер Minecraft - Підручники
Читання спаму - це не зовсім моя ідея вдалого проведення часу, але іноді цікаво розважитися, виділивши хвилинку, щоб перевірити, хто справді надіслав електронний лист. Ось проста історія про те, як нещодавно спам "таблетки для схуднення" знаменитостей приписували підряднику оборони з штату Вашингтон, який будує тактичні системи зв'язку для військових громад та американській розвідці.
Ваша середня спам-пошта може містити багато інформації про системи, що використовуються для знищення спаму. Якщо вам пощастить, це може навіть дати вам уявлення про компанію, яка володіє мережевими ресурсами (комп’ютерами, мобільними пристроями), які були зламані для використання під час надсилання або передачі небажаних повідомлень.
Раніше цього місяця Рон Гільмет, активіст та фахівець із боротьби зі спамом, виявив, що шукає в "заголовках" повідомлення про спам, яке викликало цікаве попередження. "Заголовки" - це загалом невидимі деталі адресації та маршрутизації, які супроводжують кожне повідомлення. Зазвичай вони невидимі, бо приховані, якщо ви не знаєте, як і де їх шукати.
Візьмемо для прикладу заголовки цього електронного листа від 12 квітня 2017 року. Для непосвячених заголовки електронних листів можуть здатися величезною масою інформації. Але нас цікавить лише кілька речей (електронну адресу Гільмета було змінено на "ronsdomain.example.com" у незмінених заголовках спаму нижче):
У цьому випадку адреса зворотного зв'язку є [електронна пошта захищена] Інший біт, на який слід звернути увагу, - це адреса Інтернету та домен, на який посилається четвертий рядок після "Отримано", який читає: "з host.psttsxserver.com (host.tracesystems.com [72.52.186.80])"
Gtacs.com належить веб-сайту Trace Systems 'Team Team Portal, веб-сайту, що пояснює, що GTACS є частиною команди Trace Systems, контракт якої полягає у наданні "повного спектру тактичних систем зв'язку, системної інженерії, інтеграції, інсталяції та технічної підтримки ". Міністерство оборони, Міністерство національної безпеки (DHS) та клієнти спецслужб. Тут компанія перелічує деяких своїх клієнтів.
Домашня сторінка Trace Systems.
Gtacs.com та tracesystems.com заявляють, що компанії "надають експертизу в галузі кібербезпеки та розвідки на підтримку інтересів національної безпеки:" GTACS - це контрактна машина, яка буде використовуватися різними замовниками як частина систем, обладнання, послуг та послуг C3T. дані ", - йдеться на сайті компанії. Частина" C3T "- це військовий вираз, який говорить про" командування, управління, зв'язок і тактику ".
Записи пасивної системи доменних імен (DNS), керовані Farsight Security, для інтернет-адреси, зазначеної в заголовках спаму - 72.52.186.80 - вказують, що gtacs.com знаходився як на одній і тій же інтернет-адресі, так і на багатьох доменах і субдоменах, пов’язаних із системами трасування. .
Це правда, що деяку інформацію заголовка в електронному листі можна підробити. Наприклад, спамери та їх інструменти можуть підробляти електронну адресу в рядку повідомлення "Від:", а також у частині повідомлення "Відповісти на:". Але, здається, ні в одному з них не було фальсифіковано цей аптечний спам.
Домашня сторінка Gtacs.com.
Я ображаюсь цим спам-повідомленням до [електронної пошти захищено], очевидного відправника. Після кількох днів, не отримавши відповіді від Дана, я був стурбований тим, що кіберзлочинці пустять коріння в мережах цього підрядника оборони, який забезпечує зв'язок для американських військових. Невмілі та не дуже яскраві спамери, але напевно зловмисники. Тож я переслав спам-повідомлення контакту Linkedin від Trace Systems, який виконує контракт компанії на реагування на інциденти.
Моє джерело в Linkedin направило запит "менеджеру завдань" у Trace, який сказав, що йому повідомили б, що gtacs.com не є доменом Trace Systems. Шукаючи більше інформації перед багатьма різними фактами, які підтверджують інший висновок, я направив слідство Метью содано, Віце-президент та головний інформаційний директор Trace Systems Inc.
"Домен і відповідний веб-сайт розміщуються та підтримуються для нас зовнішніми провайдерами", - сказав Содано. “Ми попередили їх про цю проблему, і вони проводять розслідування. Рахунок деактивовано. "
Імовірно, "зовнішнім постачальником" компанії був Технології Power Storm, компанія, яка, очевидно, володіє серверами, які надіслали несанкціонований спам Power Storm [не захищено електронною поштою], не повернула жодного повідомлення з проханням прокоментувати.
За словами Гільметта, як би не називали Дана, яким би воно не було на Gtacs.com, його акаунт був скомпрометований деякими досить невмілими спамерами, які, очевидно, не знали або не хотіли бути частиною американського оборонного підрядника, що спеціалізується на військових клас зв'язку. Натомість зловмисники вирішили використовувати ці системи майже безпечно, щоб привернути увагу до скомпрометованого облікового запису та зламаних серверів, що використовуються для передачі спаму.
«Деякі… підрядники, які працюють у компанії з« кібербезпеки », що базується у Відні, штат Вірджинія, очевидно, втратили свої вихідні дані електронної пошти (які, ймовірно, також корисні для віддаленого входу в систему) спамеру, який, на мою думку, базується на доступній інформації. доказ, найімовірніше знаходиться в Румунії ", - написав Гільметте в електронному листі до цього автора.
Гільметт повідомив KrebsOnSecurity, що він відстежує цього конкретного спамера з вересня 2015 року. На запитання про причини його переконання, що за це відповідає той самий хлопець, та інший конкретний спам, Гільметт пояснив, що спамер складає свої спам-повідомлення з однаковим HTML підпис «підпис». у гіперпосиланні, яке становить більшу частину повідомлення: Надзвичайно стара версія Microsoft Office.
Здається, цей спамер не має наміру спамувати списки розсилки в Інтернеті. Наприклад, він навіть надіслав одну зі своїх шахрайських дієтичних таблеток до списку, який веде Американський реєстр номерів Інтернету (ARIN), Регіональний Інтернет-реєстр Канади та США. Список ARIN відсканував файл HTML, який спамер прикріпив до повідомлення. Клацніть на включене посилання, щоб переглянути очищений вкладення, надіслане до списку ARIN, щоб переглянути цю сторінку. І якщо ви подивитеся на верхню частину цієї сторінки, ви побачите щось таке:
”... Xmlns: m =” http: // diagrams. microsoft.com/office/2004/12/ omml "…"
"Звичайно, є багато звичайних людей, які все ще використовують цей старий MS Office для складання електронних листів, але, наскільки мені відомо, це єдиний головний спамер, який зараз його використовує", - говорить Гільмет. «Я отримав десятки і десятки електронних листів про спам, усі цього самого типу, близько 18 місяців тому. Усі вони мають однаковий стиль і всі складаються з “/ office/2004/12 /”.
Гільметте каже, що ті самі спамери, які надсилали старий спам Office підрядникам оборони, також робили це з компрометованих пристроїв "Інтернету речей", таких як зламана система відеоконференцій, що базується в Китаї. Гільметте каже, що спамер, як відомо, надсилає шкідливі посилання в електронні листи, які використовують шкідливі експлойти JavaScript для збереження облікових даних, що зберігаються на скомпрометованій машині. Припускається, що [захищений електронною поштою], ймовірно, відкрив одне із захоплених посилань JavaScript.
"Коли і якщо він знаходить такий, він використовує ці викрадені дані для надсилання ще більше спаму через" законний "поштовий сервер компанії", - сказав Гільмет. "І оскільки спам тепер залишає" законні "поштові сервери, що належать" законним "компаніям, він ніколи не блокується ні Spamhaus, ні будь-яким іншим чорним списком."
Ми можемо лише сподіватися, що спамер, який отримав цю інформацію, ніколи не зрозуміє ймовірної цінності того конкретного набору облікових даних для входу, який йому вдалося отримати, серед багатьох інших, сказав Гільметте.
"Якщо він усвідомлює, що у нього на руках, я впевнений, що росіяни та/або китайці були б із задоволенням викупили йому такі документи, ймовірно, повернувши йому більше, ніж він міг сподіватися заробити за роки спаму . "
Це не перший раз, коли невеликий електронний лист створює велику проблему для постачальника систем кібербезпеки в районі Вашингтона. Останній місяць, Пункт захисту - який надає послуги з кіберзамовлень Центру оперативних служб для Імміграційний та митний контроль Відділ (ICE) - попередив близько 200-300 нинішніх і колишніх співробітників про те, що їх податкова інформація W-2 була розкрита шахраям після того, як працівник став жертвою фішингового шахрайства, що спричинило підробку боса.
Хочете дізнатись більше про те, як знаходити та читати заголовки електронних листів? На цьому веб-сайті є зручна довідка, яка показує, як переглядати заголовки понад двох десятків різних програм електронної пошти, включаючи Outlook, Yahoo!, Hotmail та Gmail. Цей буквар HowToGeek.com пояснює типи інформації, яку ви можете знайти в заголовках електронної пошти, та їх значення.
Теги: Реєстр Інтернет-номерів США, ARIN, C3T, [захищений електронною поштою], Захист точки захисту, Безпека далекогляду, GTACS, Метью Содано, Power Storm Technologies, Рон Гілмет, tracesystems.com
Цей запис було опубліковано в середу, 19 квітня 2017 року, о 14:56 у категорії Інше.
Ви можете слідкувати за будь-якими коментарями до цього запису через стрічку RSS 2.0.
На даний момент коментарі та пінги закриті.