Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Przekierowania w spamie

Tagi:

  1. Przekierowania oparte na JavaScript
  2. Wykorzystywanie meta-tagów  
  3. Ramka iframe prowadząca do strony internetowej osoby trzeciej 
  4. Konfigurowanie .htaccess
  5. Wykorzystywanie PHP

Spamerzy często wykorzystują przekierowania w swoich e-mailach: po kliknięciu odsyłacza w wiadomości spamowej odbiorca często przechodzi przez szereg stron internetowych, zanim dotrze do zasobu docelowego.

Przekierowania wykorzystywane są z wielu powodów. W większości przypadków pomagają spamerom ukryć dane, które pozwalają filtrom spamowym zaklasyfikować wiadomość jako niechcianą – np. strona internetowa lub numer kontaktowy klienta spamerów. Dzięki temu odbiorca (jak również filtr spamowy) nie widzi żadnych odsyłaczy do strony internetowej, którą reklamuje dana wiadomość, numerów telefonu ani adresów e-mail, przy pomocy których można skontaktować się z osobami zlecającymi wysyłkę spamową. Ponadto, jeżeli spamer jest członkiem programu afiliowanego, musi wiedzieć, ilu użytkowników kliknęło odsyłacz, ponieważ od tego bezpośrednio zależą jego przychody. Zatem łańcuch stron, przez które przechodzi użytkownik, może zawierać strony przekierowujące, które pełnią funkcję liczników.  

Przyjrzymy się najpopularniejszym sztuczkom spamerskim, w których w ten czy inny sposób wykorzystywane są przekierowania, najczęściej i najszerzej stosowanym typom przekierowań jak również cechom wyróżniającym wiadomości spamowe zawierające przekierowania oraz ich tematom. Wszystko to każdego dnia powoduje wiele problemów dla użytkowników na całym świecie.

Typy przekierowań

Przekierowania można sklasyfikować na podstawie różnych kryteriów. My dokonamy klasyfikacji na podstawie obiektów wykorzystywanych do przeprowadzania przekierowań. Dwie najczęściej wykorzystywane metody to przekierowania przy użyciu odsyłaczy i przekierowania przy użyciu załączników HTML.  

Odsyłacze

Wykorzystywanie odsyłaczy do przekierowywania użytkowników to powszechna taktyka spamowa. Po kliknięciu jednego z takich odsyłaczy użytkownicy zwykle zostają „zaprowadzeni” na stronę, z której spamerzy przekierowują ich do zasobu docelowego przy użyciu jednej z omówionej w dalszej części tekstu techniki przekierowywania.  

Inna prostą sztuczką stosowaną w celu zamaskowania odsyłaczy spamowych jest wykorzystanie usług skracania adresów URL. Umożliwiają one spamerom szybkie stworzenie zamaskowanego odsyłacza do swojej strony (zobacz przykładową wiadomość poniżej).

redirects_in_spam_01_auto.jpg

 

Obecnie istnieje wiele takich serwisów. Są one głównie wykorzystywane do tworzenia krótkich odsyłaczy, szczególnie dla takich portali jak Twitter, które posiadają ograniczenia odnośnie liczby znaków. Zamiast wykorzystywać istniejące serwisy skracania adresów URL, spamerzy tworzą czasami własne. Mają one jedną istotną przewagę – nikt nie sprawdza, gdzie prowadzą odsyłacze spamerów. Ich wadą jest to, że każdy filtr spamowy może zablokować cały serwis, blokując tym samym wszystkie e-maile spamera.       

Załączniki HTML

Do przekierowań spamerzy często wykorzystują specjalnie stworzone pliki HTML. Po otwarciu przekierowują one użytkownika na stronę spamera. Wymaga to wielu różnych sztuczek i technik, które zostaną omówione w dalszej części tekstu. Pliki te są dołączone do wiadomości spamowych, a osoba atakująca musi znaleźć jedynie sposób nakłonienia użytkownika do otwarcia załącznika. 

Aby ukryć przed filtrami spamowymi fakt przekierowania, spamerzy starają się, aby kod źródłowy załączonych do swoich wiadomości stron HTML był coraz bardziej skomplikowany. Ponadto, co jakiś czas całkowicie zmieniają swoje metody przekierowań. 

Oto przykład wiadomości, jakie wykryliśmy zeszłego lata:

redirects_in_spam_02_auto.jpg

 

Tekst wiadomości zwykle zachęca odbiorcę, aby sprawdził załącznik. Jednak po otwarciu pliku zamiast obiecywanego przez spamerów filmu Victoria Norton znajdziemy się na stronie spamerów – a przecież otworzyliśmy tylko załączony plik HTML?

 

redirects_in_spam_03_auto.jpeg

W wiadomości przedstawionej w pierwszym przykładzie zostaliśmy przynajmniej przekierowani do obiecywanej przez spamerów reklamy – natomiast w drugim przypadku zostaliśmy przeniesieni na stronę niezawierającą żadnych treści reklamowych, która została zhakowana. Takie wiadomości pokazują, że dla spamerów czasem ważniejsze jest uzyskanie aktywnych adresów e-mail i zarobienie pieniędzy poprzez nakłonienie ich właścicieli do kliknięcia odsyłaczy (to właśnie ma miejsce po otwarciu załącznika HTML) niż reklamowanie określonych towarów.   

Zarówno odsyłacze przekierowujące oraz pliki HTML wykorzystywane do przekierowań są często spotykane w spamie. Chociaż każda z tych metod wykorzystuje przeglądarkę na komputerze ofiary, implementacja przekierowań na poziomie kodu źródłowego znacznie się różni, podobnie jak techniki, które wykorzystują spamerzy, aby te przekierowania działały na maszynach użytkowników.

Techniki

Techniki spamerów wykorzystywane do przekierowań są dobrze znane. Niektóre z nich stosowane były od ponad dekady i nadal są aktywnie wykorzystywane. Większość ma na celu obejście filtrów spamowych i ukrycie faktu istnienia przekierowania w wiadomości e-mail. Przyjrzymy się najczęściej wykorzystywanych metod implementowania przekierowań.   

1. Przekierowania oparte na JavaScript

Oto jak może wyglądać kod źródłowy załącznika HTML implementującego przekierowanie:

redirects_in_spam_04_auto.jpeg

Spamerzy w sposób mniej lub bardziej oczywisty próbują obejść filtr poprzez rozbicie tekstu na krótkie ciągi, które składają się na odsyłacz (jak widać w ramce na zrzucie ekranu powyżej), i zmianę wartości obiektu lokalizacji w celu wykonania przekierowania:

window.location = "http://...”; – modyfikacja tego obiektu to powszechna metoda przekierowania przy użyciu JavaScript. Przekierowanie ma miejsce bez udziału użytkownika.

Ten sam efekt można osiągnąć poprzez następujące zmiany:

document.location.href = “http://...”
window.location.reload(“http://...”)
window.location.replace(“http://...”)

2. Wykorzystanie meta-tagów

Alternatywą dla modyfikacji obiektu lokalizacji jest inna metoda przekierowania, która daje ten sam efekt – meta-tag w kodzie HTML. Meta-tagi są ogólnie wykorzystywane do przechowywania różnych informacji na temat strony, takich jak kodowanie, nagłówki http, słowa kluczowe zawartości itp. 

Jednym z możliwych zastosowań taga jest wykorzystanie nagłówka refresh z parametrem url, który powoduje również automatyczne przekierowanie użytkownika w momencie załadowania strony.  

redirects_in_spam_05_auto.jpeg

Warto zwrócić uwagę na niewielki rozmiar powstałego pliku HTML. Ponieważ meta-tag jest opisany w nagłówkach HTML, strona nie musi mieć żadnej zawartości, jak pokazuje przykład powyżej. To dlatego sztuczka ta jest często stosowana w stronach HTML załączonych do wiadomości spamowych.

3. Ramka iframe prowadząca do strony internetowej osoby trzeciej  

Wykorzystanie znacznika iframe w celu przekierowania użytkownika na stronę spamera pozwala wyświetlić zawartość strony zewnętrznej na aktualnej stronie – wewnątrz bloku o danej szerokości i wysokości. 

redirects_in_spam_06_auto.jpg

Gdy użytkownik otworzy załączony plik HTML, przeglądarka załaduje zawartość zewnętrznej strony internetowej do obszaru określonego przez ramkę iframe. Spamerzy często określają duży rozmiar tego obszaru (w tym przypadku 100% szerokości i 4700px wysokości), tak aby zawartość z zewnętrznej strony wypełniła aktualną stronę. Zrzut ekranu poniżej pokazuje rezultat otworzenia jednego z takich załączników – rumuńska reklama kursów języka angielskiego została załadowana z zewnętrznej strony do obszaru iframe, który zajmuje cały obszar ekranu w przeglądarce.  

redirects_in_spam_07_auto.jpg

4. Konfigurowanie .htaccess

Konfigurowanie .htaccess jest rzadko stosowane po stronie serwera, mimo że jest wygodne dla spamerów. Z reguły spamerzy przekierowują te pliki na własnych serwerach.  

Zwykle dostęp do pliku .htaccess może uzyskać jedynie administrator serwera. Jeżeli został stworzony w katalogu na serwerze i jest poprawnie skonfigurowany, kliknięcie odsyłaczy prowadzących do tego katalogu spowoduje natychmiastowe przekierowanie użytkownika do zasobu określonego w .htaccess. Na przykład, jeżeli spamer umieścił specjalnie utworzony plik .htaccess w folderze /spamdir, wszyscy użytkownicy, którzy kliknęli odsyłacz “http://example.org/spamdir” w wiadomości spamowej, zostaną automatycznie przekierowani przez serwer sieciowy na inną stronę, zlokalizowaną pod adresem określonym w .htaccess.        

W większości przypadków, dyrektywa Redirect jest wykorzystywana w ustawieniach pliku, określając, z której strony witryny użytkownik powinien zostać przekierowany w inne miejsce (obramowany na czerwono na zrzucie ekranu poniżej).

redirects_in_spam_08.jpg

Innym sposobem stworzenia przekierowania jest wykorzystanie dyrektywy RewriteCond, która określa regularne wyrażenie, z którym odsyłacz powinien być kojarzony. Dyrektywa ta, wraz z RewriteRule, określa regułę zmiany adresu aktualnej strony użytkownika. Jeżeli adres IP użytkownika odwiedzającego stronę odpowiada regularnemu wyrażeniu określonemu w RewriteCond, użytkownik zostanie przekierowany na adres określony przez regułę w dyrektywie RewriteRule.

Cyberprzestępcy często wykorzystują tę technikę, aby przekierowywać użytkowników na strony internetowe programów afiliowanych, które najbardziej im odpowiadają na postawie państwa i regionu ich adresu IP. Dzięki temu przekierowania są bardziej ukierunkowane i skuteczne.

Poniżej znajduje się przykład typowego spammer.htaccess, który przekierowuje odwiedzających z wymienionych podsieci.

redirects_in_spam_09.jpg

5.  Wykorzystywanie PHP

Rzadką, choć niezapomnianą, techniką jest wykorzystanie możliwości różnych języków skryptowych w celu przekierowywania użytkowników.

Najprostsza implementacja przekierowania w PHP:

<?php 
header(’Location: http://...'); ?>

Nagłówek Location w kodzie HTTP jest przekazywany do przeglądarki, co powoduje przekierowanie użytkownika na określoną stronę internetową.

W tym samym celu wykorzystuje się również inne nagłówki: różne kody statusu HTTP (3хх), które wskazują na to, że dana strona zawiera przekierowanie, są określone w nagłówkach HTTP przekazywanych do przeglądarki.

<?php header("HTTP/1.1 301 Moved Permanently ");
header("Location: http://...");
exit();
?>

Zaciemnianie zawartości

Poniżej znajdują się przykłady wiadomości spamowych, jakie wykryliśmy we wrześniu.

redirects_in_spam_10_auto.jpg

Inna sztuczka spamowa: potencjalna ofiara otrzymuje oszukańczą wiadomość z załączonym plikiem HTML, zamaskowanym jako raport ze statusu transakcji. Jak tylko odbiorca otworzy plik, spamerzy bezwstydnie poinformują go, że zostanie teraz przekierowany na inną stronę – nie wspominając jednak, że jest to strona phishingowa. 

redirects_in_spam_11_auto.jpg

Czasami spamerzy wysyłają kod źródłowy, który implementuje przekierowanie w treści wiadomości a nie w załączniku HTML, mając nadzieję, że użytkownik posiada starą wersję klienta pocztowego (współczesne oprogramowanie pocztowe posiada ochronę przed pobieraniem jakiejkolwiek treści z sieci) i że przekierowanie zostanie zainicjowane, gdy użytkownik będzie przeglądał wiadomość.

redirects_in_spam_12_auto.jpg

Przyjrzyjmy się kodowi źródłowemu wiadomości i zobaczmy, jak działają przekierowania:

redirects_in_spam_13_auto.jpg

Jak widać, spamerzy wrócili do wykorzystywania przekierowań JavaScript, tym razem jednak kod źródłowy jest znacznie bardziej zaciemniony. Spamerzy wykorzystują również tablice stałych – numeryczne wartości odpowiadające znakom, z których składany jest następnie odsyłacz spamera (jak się okazuje, wartości te są również mnożone przez funkcję liczby każdego elementu w tablicy).  

Zobaczmy, co otrzymamy po „odciemnieniu” kodu. Po wydobyciu skryptu z kodu HTML możemy wykorzystać takie zasoby jak JsPretty w połączeniu jsbeautifier.

redirects_in_spam_14_auto.jpg

Teraz widać, że odsyłacz spamowy był jednak skryptem. Ale gdzie i jak był przechowywany?

Aby zrozumieć techniki wykorzystywane przez spamerów w celu ukrycia obecności odsyłacza i obejścia filtrów spamowych, musimy przeanalizować wszystkie operacje wykonywane przez narzędzie do „odciemniania”.

Po pierwsze, musimy sformatować skrypt, tak aby możliwe było odczytanie go – dodać wcięcia, spacje między operatorami i wysuwy wiersza.

redirects_in_spam_15_auto.jpeg

Kod staje się teraz łatwiejszy w zrozumieniu, ale to nie wystarczy. Zamierzamy jeszcze bardziej uprościć go manualnie, próbując sprawdzić, co robi:

  • usunąć niepotrzebne zmienne i instrukcje, które zawsze są wykonywane;
  • śledzić zmienne i podstawienia;
  • zobaczyć, jakie wywołania uzyskamy w wyniku.

 

redirects_in_spam_16.1_auto.jpg

Teraz widzimy, że wszystko, co robi skrypt, to:

  1. tworzenie ciągu s, który zawiera kod wykonywalny;
  2. wykonywanie kodu (wiersz zawierający window[eval]).

 

redirects_in_spam_17_auto.jpg

W końcu mamy to – długo poszukiwany odsyłacz – który będzie wykorzystywany do przekierowywania ofiary!

Teraz rozumiemy, jak działa algorytm wykorzystywany przez spamerów podczas generowania takich załączników JavaScript:

  1. Rozbij odsyłacz na znaki, weź ich wartości w bajtach i zapisz funkcję tych wartości w tablicy.
  2. Wywołaj funkcje w pętli w celu „poskładania” odsyłacza z wartości w tablicy.
  3. Dodaj więcej operacji, które przydzielają wartości niektórych zmiennych do innych zmiennych w celu zmodyfikowania i zamaskowania oryginalnych nazw.
  4. Dodaj bloki if oraz try-catch z prawdziwymi argumentami do wszystkich części kodu.
  5. Zastosuj kroki 1-4 kilka razy, aż zostanie otrzymany odpowiedni, niemożliwy do odczytu kod.

 

Cały łańcuch przekierowań został przedstawiony poniżej:

redirects_in_spam_18_auto.jpg

Tematy wiadomości zawierających przekierowania

Przekierowania, których celem jest ukrycie rzeczywistych odsyłaczy lub danych kontaktowych spamera, znajdują się w wiadomościach spamowych niezależnie od ich tematów i z roku na rok są coraz popularniejsze.

W przypadku wiadomości z załączonymi stronami HTML sytuacja wygląda inaczej. Tam odsyłacze zwykle prowadzą do stron phishingowych, a celem cyberprzestępców są hasła do skrzynek pocztowych. Coraz rzadziej odsyłacze te prowadzą do reklam różnych rodzajów oprogramowania lub innych usług.

Niedawno pojawiło się coraz więcej wiadomości spamowych z przekierowaniami do portali randkowych.

Jak wspominaliśmy wcześniej, w zależności od adresu IP użytkownik może zostać przekierowany na jedną lub kilka stron spamerów. Spamerzy stosują ten trik, aby zarobić więcej pieniędzy na tym samym spamie. Uczestniczą w kilku programach afiliowanych jednocześnie i przekierowują użytkowników na najbardziej odpowiednie ze względu na ich region. Efekt tego jest taki, że klikając ten sam odsyłacz, użytkownik w Europie może zostać przekierowany na stronę phishingową, a osoba w Rosji – na portal randkowy.    

Wnioski

Wykorzystanie różnych technik przekierowywania pokazuje, w jaki sposób spam ewoluował w czasie. Niektóre techniki są proste i oczywiste dla odbiorców, którzy zdają sobie sprawę, że są przekierowywani do innego zasobu. Jednocześnie rozwijane są inne, bardziej wyrafinowane metody. Polegają one na przekierowaniu niczego niepodejrzewających użytkowników przez cały łańcuch stron internetowych aż do ostatecznej witryny, która jest jedyną, jaką widzi użytkownik. Ponadto, znaczna część wiadomości spamowych posiada odsyłacze spamowe osadzone głęboko w kodzie źródłowym załączników HTML. Analitycy spamu posiadają wiele narzędzi, które pomagają im „złapać” wiadomości spamowe. Np. filtry spamowe mogą wykonać pełne „odciemnienie” całego kodu lub potraktować obecność zaciemnionego kodu jak wskazówkę tego, że e-mail jest spamem (ta ostatnia metoda może jednak prowadzić do fałszywych trafień). W rzeczywistości łatwiej jest zablokować wysyłki spamowe w oparciu o ich zawartość lub formalne atrybuty niż próbować „odciemnić” kod w każdej wiadomości.   

Przekierowania są szczególnie niebezpieczne, jeśli zawarte w e-mailach odsyłacze prowadzą do szkodliwego oprogramowania, jak również gdy odsyłacze stanowią element wiadomości phishingowych lub oszukańczych. Z jednej strony, użytkownicy stają się ostrożniejsi, co oznacza, że techniki spamerskie powinny być mniej skuteczne. Z drugiej jednak strony, zawsze znajdą się nowi niedoświadczeni użytkownicy, którzy dopiero poznają, czym jest internet, i którzy mogą mieć problemy z rozpoznaniem sztuczek spamerskich.

Oto kilka podstawowych rad, które pomogą ci znacząco zwiększyć poziom ochrony twojego komputera przed spamem:    

  • Nie otwieraj plików HTML załączonych do wiadomości e-mail, jeżeli nie ufasz ich nadawcy. Dotyczy to również wszystkich innych typów załączników.
  • Zanim klikniesz odsyłacz, sprawdź, dokąd prowadzi. W większości przeglądarek i klientów e-mail wystarczy najechać kursorem myszki na odsyłacz i zobaczyć, dokąd prowadzi. Nie klikaj odsyłacza, jeżeli masz jakiekolwiek wątpliwości odnośnie wiarygodności odbiorcy.
  • Nie próbuj wypisywać się z wysyłek spamowych – w ten sposób poinformujesz tylko spamera, że twój adres e-mail jest „aktywny” i będzie chciał wysyłać na niego więcej spamu. Lepiej od razu usunąć wszelki otrzymany spam.
  • Korzystaj z rozwiązań bezpieczeństwa, które oferują technologie antywirusowe oraz antyspamowe i regularnie aktualizuj je.

Na koniec nie zapominaj o ogólnych regułach bezpieczeństwa internetowego – przestrzeganie ich pomoże ci nie stać się ofiarą ataków oszustów i innych cyberprzestępców.