Mivel a spamszűrők gyakran feketelistákkal dolgoznak, és a domainnevek alapján próbálják kiszűrni a kéretlen küldeményeket, a spammerek gyakran váltogatják azokat a domainneveket, ahonnan a kampányaikat indítják. A közelmúltban biztonsági kutatók olyan kampányokkal találkoztak, melyek még jobban megnehezítik a spamszűrők dolgát. Az új módszerhez a spamküldők a DNS-ek (domain name server) és a Google egyes szolgáltatásait is bevetik – írja a Biztonságportál.

Speciális HTML, spéci tulajdonságokkal

Maga a folyamat úgyanúgy zaljik, mint eddig. A felhasználó fiókjába beérkezik egy mail például "Delivery [véletlenszerű számsor]" tárggyal, amihez illeszkedve az üzenet törzsében egy logisztikai szolgáltató értesíti a címzettet, hogy jóváhagyta a szállítást, és a mellékletben található a számla. A levélben van egy .html kiterjesztésű csatolmány, ami a címzett várakozásai szerint ezek után egy számla kellene legyen.

Csakhogy valójában az nem számla, hanem egy olyan preparált HTML állomány, amely az alapértelmezett böngészőben jelenik meg, és egyből átirányítja a felhasználót egy nemkívánatos weboldalra. A MyOnlineSecurity.com szakértői (ők fedezték fel az új típusú spamet) egy olyan weboldalt találtak, amely azt ígéri az oda irányított felhasználónak, hogy ha szoftvertesztelést vállal, óránként 237 dollárt tud keresni. Az oldalon vannak reklámok, de a lényeg az adatbekérő űrlap, ahol a tesztelő különböző adatai megadásával jelentkezhet az álommunkára. És ha kitölti az űrlapot, az adatok értelemszerűen a spamkapmányt indító adathalászok kezébe kerülnek.

Ez a folyamat eddig elég általános. A melléklet HTML viselkedése azonban közel sem az. A fájl ugyanis nem tartalmazza közvetlenül annak a weboldalnak a címét, ahová a támadó át akarja irányítani a felhasználót, hanem csupán egy látszólag zagyva JavaScript kódot. És ebben a kódban van elrejtve a trükk.

A háttérben ugyanis a kód meghívja a Google DNS-szolgáltatását például egy ilyen URL-lel:

https://dns.google.com/resolve?name=fetch.vxpapub.[domain név]&type=TXT.

A Google visszaadja a domain névhez tartozó DNS TXT-rekordját JSON formátumban. A TXT-rekordban pedig már ott szerepel egy window.location.replace("...") kód. Voltaképpen a háttérben ez a kód fut le, és végzi el az átirányítást.

Egy fogódzóval kevesebb

Ezzel a módszerrel a spammerek két legyet ütnek egy csapásra. Mivel a levélmellékletben (s)em szerepel annak a weboldanak az URL-je, ahova a támadó át akarja irányítani a felhasználót, a spamszűrőnek eggyel kevesebb fogódzója van a spam azonosítására. A másik előny a terjesztésnél jelentkezik: bármikor egyszerűen és rugalmasan lehet módosítani az átirányítás célját: csupán módosítani kell a DNS-rekordban a TXT-rekord értékét, magához a spamhez sehol máshol nem kell hozzányúlni.

Így ha egy kampány valamiért nem működik, villámgyorsan indítható egy másik anélkül, hogy az a spammertől különösebb erőfeszítést igényelne.