11.07

Спуфинг – бессмысленный и беспощадный

0

spoofingНеожиданные проблемы, сваливающиеся на нас не весть откуда, с одной стороны причиняют множество неприятностей и сильно раздражают, а с другой являются отличным способом для развития мышления и расширения своего кругозора. С одной из похожих проблем я столкнулся пару месяцев назад, когда на мой электронный ящик посыпались многочисленные сообщения о недоставленных письмах, которые содержали какой-то рекламный спам.

Раньше также бывало раз в полгода придет одно-два письма о недоставленном сообщении, которое взялось неведомо откуда и на том все и заканчивалось. Но чтобы их было штук 50-70 — такое со мной приключилось впервые. Сразу я особого внимания на это не обратил и подумал, что кто-то просто использовал мой ящик для регистрации в каких-нибудь каталогах. Но когда через неделю ситуация повторилась – пришлось несколько призадуматься. Ситуацию значительно усугублял тот факт, что рассылка шла по моим реальным контактам, о чем меня проинформировали знакомые, получившие псевдописьма. То есть кто-то от моего ящика по моим же контактам рассылает всякий рекламный бред. Очевидно, что такая ситуация требовала незамедлительного реагирования.

Первым делом я подробно изучил содержание таких писем и заголовки. По ним можно было определить кто и откуда рассылает спам. Содержание писем отличалось, но имело приблизительно такую структуру:

Hi,
I saw you last achievements, and I think you need to keep up the good work! Here is some helpful information for you http://vatrapenki.friendsofthejewishchapel.com/lnrme
Warmest regards.

Заголовок письма имел вид:
Received: from smtp4.cogeco.ca (smtp4.cogeco.ca [216.221.81.70])

Из сообщения и заголовка было очевидно, что спам имел безличностный характер, то есть целенаправленное воздействие злоумышленника направленное против меня и моих контактов я с большой долей вероятности исключил. Скорее всего, использовался троян, который проник на сервер или компьютер и стащил базу данных моих контактов для последующей рассылки рекламного спама.

Вторым шагом стала борьба с вирусами. На сервере, где хранятся мои сайты было обнаружено множество дыр и подозрительных шеллов, через которые могли проникать вирусы. Пришлось изрядно потрудиться, чтобы избавиться от всей этой нечисти. Такая же ситуация творилась и на обоих моих компьютерах: домашнем и офисном. И это, несмотря на то, что на обоих стоит лицензионный Касперский с обновленными базами. По совету «из интернетов» я установил утилиту Malwarebytes Anti-Malware. Она, действительно, нашла множество подозрительных объектов, которые скопились за несколько лет на обоих машинах. На всякий случай я установил Drweb, но он ничего подозрительного не обнаружил.

После такого глобального лечения и смены всех паролей я полагал, что избавился от проблемы. Но не тут-то было. Через какое-то время письма о недоставленных сообщениях вновь свалились мне на ящик. Дело приобретало затяжной характер.

Третий шаг был направлен на проверку и последующую смену почтового сервера. Мой ящик был создан на базе домена, который прикручен по DNS к удаленному серверу. Я связался с технической поддержкой с просьбой изучить проблему и предложить решение. Мне ответили, что никакой подозрительной активности не обнаружено и никакие рассылки через почту не ведутся. Понятное дело, не ведутся, так как используется сторонний сервер. Однако я все же решил поменять почтовый сервер и перейти на сервисы почты от Яндекса, благо технически такая возможность имелась. Впрочем, это не особо помогло. На Яндекс письма также пришли через какое-то время.

На данном моменте я стал более подробно изучать проблему. Просмотрел информацию сталкивался ли кто-нибудь с чем-то похожим. Оказалось, что такое явление имеет место быть и не является редким. Также выяснилось, что оно имеет свое название – спуфинг. Или если быть более корректным: E-mail address spoofing, который заключается в подмене адреса e-mail отправителя, что собственно со мной и приключилось. На всякий случай я решил обратиться в поддержку Яндекса, чтобы узнать возможно ли как-то противодействовать спуфингу, на что получил очень вежливый, но безнадежный ответ:

Здравствуйте, Юрий!
Большое спасибо за ожидание и содействие.
Нам удалось выяснить все детали происходящего с Вашим почтовым ящиком. Как и раньше предполагалось, это действительно оказался спуфинг. Ранее, с Вашего почтового ящика злоумышленником была украдена адресная книга со всеми контактами, по которой он теперь производит рассылку. Это мог быть как непосредственный взлом ящика, так и действие вредоносного программного обеспечения.
На данный момент, рассылка производится со сторонних серверов, на которые мы, увы, никак повлиять не можем.
Сожалею, но всё, чему я могу помочь Вам в данном вопросе, это посоветовать в будущем наиболее предусмотрительно относиться к безопасности своего ящика.
Благодарю за понимание.

Последнее, что я решил испробовать – выйти на злоумышленника с чьего IP рассылается спам. Напомню, что в заголовке письма значился IP 216.221.81.70, а почтовый сервер smtp4.cogeco.ca. Выяснилось, что он принадлежит канадской фирме, предлагающей в том числе услуги хостинг провайдера. Я им написал гневное письмо, с угрозой отправить жалобу на домен за распространение спама. С тех пор количество «писем счастья» значительно сократилось, но некоторые одиночные сообщения периодически пробиваются с других серверов. Больше никаких эффективных идей по борьбе со спуфингом я не придумал, поэтому если у кого-то были похожие проблемы и было найдено их решение — милости прошу рассказать о них в комментариях к данной статье. Также в связи с этими грустными событиями хочу извиниться перед всеми кто получает от меня спам. Отмечайте подобные письма в качестве спама и они больше приходить не будут, в то время как мои реальные письма будут доходить без проблем. Спасибо за понимание.

Выводы:
1. E-mail спуфинг на данный момент является неразрешенной проблемой. Это значит, что при желании злоумышленник может от Вашего имени рассылать почту, в том числе и по Вашим контактам.
2. От проникновения вируса лицензионный антивирус не поможет. Это значит, что нет гарантий от кражи базы контактных адресов, причем не только эмейлов, но и контактов с телефона, скайпа, вайбера и так далее.
3. Не стоит на 100% доверять почте, которая приходит с адресов знакомых или друзей. Если в сообщении указывается что-то действительно важное – лучше созвониться напрямую или связаться несколькими другими способами, чтобы удостовериться в правдивости информации.

11 июля 2016 от Retroman

Оставить комментарий