Атаки конкурентов, способные нанести вред вашему сайту: Mail Bounce DDOS

Я продолжаю тему атаки конкурентов на ваши сайты, и сейчас хочу рассказать о более сложной и более серьезной атаке, так называемый Mail Bounce DDOS.

Но сначала я хочу немного рассказать про один из способов, которым спаммеры собирают себе базы ящиков для спама.
Спаммеры бывают разные, и базы у них тоже разные. Некоторые собирают их по сайтам с помощью самописных краулеров. Другие — методом перебора вычисляют существующие почтовые ящики. А третьи, назовем их элитными, хотя это слово для спаммеров не примлемо, собирают базу реальных, живых людей, которые получают и читают спам.

Сначала спаммер выбирает несколько доменов-жертв, как правило, сервисов бесплатной почты локальных интернет-провайдеров, многие из которых имеют недостаточные средства для фильтрации спама. Причем выбирают как правило по регионам, чтоб сразу получить региональную базу потенциальных жертв.
Затем, пользуясь особенностью провайдеров, которые так или иначе «засвечивают» логины своих клиентов, генерирует список email-адресов вида логин@почтовый.сервер.isp.

Как именно ISP могут подсказать спаммеру логины своих клиентов?
Например, многие создают бесплатный хостинг для своих клиентов в виде логин.сервер.isp или сервер.isp/~логин. У многих логины на форуме ISP совпадают с их реальными логинами почтовых ящиков. И наконец, если ISP выдает реальный IP, то он очень часто имеет реверсивную запись DNS PTR в виде логин.сервер.isp

Итак, сначала спаммер находит недорогие хостинги, на которых открыты исходящие соединения от скриптов на 25-й порт удаленных серверов и c помощью скрипта dm.cgi начинает рассылку писем, причем каждое письмо снабжается уникальной ссылкой, по которой надо кликнуть, якобы для отписки от рассылки.
Нечего и говорить, что кликая по таким ссылкам, человек подтверждает то, что у него этот ящик рабочий и более того — на нем не фильтруется спам. Следовательно, такой человек будет получать и читать спам-письма, особенно если их содержимое как-то причастно к его региону.

Однако, как обычно, любая элитная технология, попавшая в руки ~~школьников~~ малограмотных спаммеров, становится большой проблемой.
Неужели конкурент может нанять школьника и это поможет?

+51

7 октября 2009, 11:53

Andrey_Rogovsky 54,5

комментарии (38)

ferrari 7 октября 2009, 12:49 #

А я думаю, какие вежливые — даже возможность отписки от рассылки предусматривают… как оказалось не всегда.

hrumcraft 7 октября 2009, 12:50 # ↑

Отписка — это для того, чтобы понять доходит почта до адресата или нет.
Один раз отпишешься… И кранты!

woodoo 7 октября 2009, 13:49 # ↑

Есть и другой способ проверить читается ли спам. Создать html письмо, вставить в него картинку с уникальным урлом, содержащим айди email жертвы в базе спамера. Картинку запросили => письмо прочитано.
С учётом того, что у большинства включен режим отображения html писем, этот способ получше для проверки «живых» адресов.

mgyk 7 октября 2009, 14:32 # ↑

Thunderbird и Gmail по-умолчанию не отображают картинки в html письмах, если они не приаттачены.

LuckyCrusky 7 октября 2009, 16:42 # ↑

Outlook 2003 по умолчанию не отображает картинки.

oe24 7 октября 2009, 12:50 #

Картинка к топику — прям шедевр!

Somewan 7 октября 2009, 12:53 # ↑

не устою повторять, что для себя проблему спама решил, отключив в веб-интерфейсе гмейла отображение папки «спам».

gag_fenix 7 октября 2009, 13:06 # ↑

а я ее бегло просматриваю изредка, потому что в нее очень редко (наверное, раз в полгода) попадают вполне легальные письма
непонятно, чем они провинились, тема есть, текст есть

Somewan 7 октября 2009, 13:29 # ↑

мне как-то лениво просматривать сотни писем в поисках ошибочно отмеченных.
если человеку надо — отправит еще раз или позвонит с вопросом о доставке.

kozyabozya 7 октября 2009, 14:43 # ↑

в папке спам можно быстро и удобно искать письма, вот так:
in:spam text

text — логин или емайл, или фамилия, или важное слово

очень удобно и не надо просматривать тысячи

–2

Somewan 7 октября 2009, 15:27 # ↑

я как бы в курсе, но мне это не надо.

romanoza 7 октября 2009, 13:12 # ↑

я тоже решил, просто отключил реакцию глаз на эту папку :)

handymade 7 октября 2009, 14:37 # ↑

шедевр клипартов 90х годов

Somewan 7 октября 2009, 12:52 #

Действительно ли, что некоторые провайдеры сниффят смтп-трафик и тем самым получают базу реальных адресов, которую затем благополучно могут продать? каковы примерные цена на такие базы? (просто любопытство, не более).

–5

ferrari 7 октября 2009, 13:04 # ↑

и вы действительно наивно ждете, что вам назовут цену? Каникулы скоро? :)

Somewan 7 октября 2009, 13:27 # ↑

я действительно наивно жду, что через 1,5 недели у меня отпуск.
а ваш намек на школоту неуместен чуть более, чем абсолютно.

ecl 8 октября 2009, 00:38 # ↑

ну и как? ответ получили? поделитесь.

Somewan 8 октября 2009, 00:44 # ↑

буквально одним комментарием ниже
habrahabr.ru/blogs/infosecurity/71725/?reply_to=2056246#comment_2055812

spycom 7 октября 2009, 21:52 # ↑

никакие провайдеры таким не занимаются! ) им это просто не выгодно, гораздо большие деньги можно получать просто барыжа интернетом… не верьте росказням всяких параноиков

Somewan 7 октября 2009, 21:58 # ↑

ок, не буду. Просто читал года 4 назад, что группа товарищей провела эксперимент — создала несколько ящиков на разных ресурсах с рандомными именами не из словаря, после чего начали в рабочем режиме гонять по ним траффик. Нигде эти адреса не светились, сливаяющих адрес-буки вирусов не было. Как они написали, примерно через месяц на эти ящики посыпался спам, лавинообразно нарастая. Ничего более логичного, чем слив провайдеров, объяснений не нашлось.

Andrey_Rogovsky 7 октября 2009, 23:00 # ↑

Ящики просто подобрали бутфорсом по домену. Вероятно 4-е года назад, о такой диковинке мало кто знал.

Somewan 7 октября 2009, 23:02 # ↑

хорошо, не зная всех подробностей, не буду гадать на кофейной гуще
спасибо за статью!

Lux_In_Tenebris 9 октября 2009, 00:04 # ↑

Почему вы исключаете вариант, что с любого ресурса (не считая конечно таких монстров как Gmail или Yahoo) база пользователей может быть похищена целиком?

Somewan 9 октября 2009, 00:07 # ↑

не зная всех подробностей, я предпочитаю не высказывать каких-либо предположений и доводов.

НЛО прилетело и опубликовало эту надпись здесь

Somewan 12 октября 2009, 11:32 # ↑

все может быть, но, повторюсь, не зная всех подробностей, я предпочитаю не высказывать каких-либо предположений и доводов.

valyard 7 октября 2009, 13:03 #

Честно говоря, в ваших статьях бОльшую часть занимает инструкция по проведению атак, чем способы борьбы с ними. И статьи больше полезны как раз таким нечестным конкурентам.

akamev 7 октября 2009, 13:32 # ↑

Товарищ показал где можно упасть, солому стелить уже ваша задача.

AlexeyK 7 октября 2009, 14:28 # ↑

А как вы предполагаете бороться, если не знаете с чем? :)

НЛО прилетело и опубликовало эту надпись здесь

seleko 7 октября 2009, 13:29 #

статья как раз пример технологий в руках школьника, имо.

НЛО прилетело и опубликовало эту надпись здесь

lol2Fast4U 7 октября 2009, 13:57 #

Вот поэтому в правильны компаниях (да в том же Twitter. историю с паролем помните? вот.) используют Google Apps. Резиновый канал, спам-фильтр, всё красиво.

Anton_Shevtsov 7 октября 2009, 14:10 #

Стоит поставить ASSP в качестве почтового прокси и, думается, все это будет неактуальным.

Wott 7 октября 2009, 16:19 #

Мне кажется что спам с чужим reply-to уже года два как не актуален, поскольку это стало правилом для детектирования. По крайней мере я уже давно не вижу пачек системных сообщений об отсутствии адресатов, спамящих мой ящик.

HEDO 12 октября 2009, 11:52 # ↑

Аналогично

shaman007 7 октября 2009, 22:54 #

Как-то раз в reply-to и from спамеры прописали support@ самых разных антивирусных компаний, Микрософта, Хьюлета, Делла и т.п. Было прикольно.

HEDO 12 октября 2009, 12:00 #

Несколько лет назад, я лениво просмтаривал файлы на сервере провайдера Арбатек. Ну те, которые видны любому, имеющему аккаунт.

Однако удивился, когда нашел файл под 5 мегов, полностью забитый адресами электронной почты. Причем, пополняющийся в реалтайм. Немного разобрался — оказалось не троян, а их «антиспамсистема», которая сечет ваши списки «белых адресов», т.е. тех, которые вы пометили как надежные, без спама. Но только список этот не один на каждого пользователя — а общий на весь сервер. И лежит он в общем, в открытом доступе. Не слишком очевидном, но открытом.

Боюсь возвести напраслину, но кажись SpamAsassin так криво настроен был. Но не уверен уже за давностью лет.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.