Igencsak komoly aktivitást mutató, régóta működő bűnbanda nyomára bukkant a Guardio Labs két szakértője, amikor a biztonsági cég levelezést védő rendszere szokatlan mintákat azonosított az e-mailek metaadataiban, többek között a feladó hitelesítéséről gondoskodó elemeknél.
Az ezt követő átfogó nyomozás közben rajzolódott ki az a szerteágazó és szofisztikált levelezési csaláskampány, amelynek részleteit, működési mechanizmusát egy terjedelmes bejegyzésben hozták tegnap nyilvánosságra a biztonsági labor munkatársai.
Nagyüzemi csalás
A SubdoMailing néven hivatkozott kampány üzemeltetői összesen több mint 8000 legitim internetes domain és mintegy 13 ezer aldomain mögé bújva indítanak útra naponta több mint 5 millió e-mailt, amelyek jó eséllyel átcsúsznak a védelmi vonalakon, köszöhetően a bevetett trükkököknek és összetett álcázási megoldásoknak.
A fenti adatoknál az sem kevésbé riasztó, hogy ez a csalássorozat a jelek szerint már 2022-ben elkezdődött, miközben a bűnözők olyan ismert cégek, szervezetek és márkák "háta mögé bújva" ébresztenek bizalmat, mint amilyen például a McAfee, a CBS, a PwC, a Pearson, a Symantec, vagy éppen az Unicef.
A legfőbb trükk az, hogy a banda folyamatosan pásztázza a valódi vállalatok által korábban birtokolt, de egy ideje már nem használt domaineket. Ezekre az elhagyott tartományokra lecsapva egy sor átirányítás bevetésével térítik el sikeresen a levelezéseket, átjátszva ezzel a hagyományos spamszűrési technikákat.
A naponta kiküldött sok millió levél egyrészt reklámokkal teletömött hirdetési oldalakra navigálja az óvatlanokat, de a csalók hirdetési bevételeinek gyarapítása mellett akár további átverések áldozatai is lehetnek azok, akik bedőlnek a levélnek. Például nem létező nyereményjátékok és egyéb adatlopási csalások formájában.
Példák a csalók által küldött preparált levelekre (Forrás: Guardio Labs)
Az egész művelet mögött a ResurrecAds nevű bandát sejtik, akik kampányuk fenntartásához folyamatosan és szisztematikusan vizsgálják a netet sebezhető domainek után kutatva. A biztonsági kutatók becslése szerint a SubdoMailing közel 22 egyedi IP-címet használ a kártékony tartalmú levelek terjesztésére.
A Guardio Labs egyébként az eset kapcsán létrehozott egy ellenőrző felületet is, ahol a cégek és szervezetek ellenőrizhetik, hogy a hozzájuk tartozó elnevezések és márkák érintettek-e a csalássorozatban.
EGY NAPBA SŰRÍTÜNK MINDENT, AMIT A PROJEKTMENEDZSMENTRŐL TUDNI KELL!
Ütős esettanulmányok AI-ról, agilitásról, hibrid működésről, elosztott csapatokról, kulturális gapek kezeléséről. Exkluzív információk képzésekről, munkaerőpiacról, kereseti és karrierlehetőségekről.
2025.03.18. Symbol Budapest
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak