711 миллионов адресов электронной почты попали в ловушку спам-бота

711 миллионов адресов электронной почты попали в ловушку спам-бота

711 миллионов адресов электронной почты попали в ловушку спам-бота

Исследователь из Парижа, известный под псевдонимом Benkow, обнаружил открытый и доступный извне веб-сервер, размещенный в Нидерландах, в котором хранится множество текстовых файлов, содержащих огромную партию адресов электронной почты, паролей и почтовых серверов, используемых для отправки спама. В общей сложности было обнаружено 711 миллионов учетных записей электронной почты.

Эти учетные данные имеют решающее значение для крупномасштабной работы спамера, они позволяют обойти фильтры спама, отправляя электронную почту через законные почтовые серверы.

Спамбот, получивший название Onliner, используется для доставки вредоносной программы Ursnif в почтовые ящики по всему миру. По словам Benkow, на сегодняшний день это привело к более чем 100 000 уникальных инфекций по всему миру.

Трой Хант (Troy Hunt), запустивший сайт, уведомляющий взломах «Have I Been Pwned», заявил, что это «ошеломляющий объем данных».

Benkow, опубликовавший свои выводы в блоге, провел месяцы, исследуя вредоносную программу Ursnif. Ursnif представляет собой троян, персональные данные, например, данные для авторизации, пароли и данные кредитных карт. При распространении этого трояна спамер отправлял дроппер в качестве якобы легитимного вложения в электронном письме. Если пользователь запускал этот файл, с сервера загружалась вредоносная программа.

Учитывая популярность использования электронной почты для распространения вредоносных программ, фильтры электронной почты становятся более умными, и многие домены, уличенные в отправке спама, были внесены в черный список. Однако спам-кампания Onliner использует сложную настройку для обхода этих спам-фильтров.

«Для того, чтобы начать рассылать спам, злоумышленнику нужен огромный список учетных данных SMTP. Эти учетные данные аутентифицируют спамера, позволяя отправить то, что кажется абсолютно безобидным электронным письмом. Чем больше SMTP-серверов он найдет, тем больше он сможет распространять кампанию» - пишет в своем блоге Benkow.

Учетные данные были получены злоумышленником благодаря множеству утечек, происходивших в разное время: взлом LinkedIn, взлом Badoo и других известных компаний. По словам исследователя, в списке насчитывается около 80 миллионов учетных записей, каждая строка содержит адрес электронной почты и пароль, а также SMTP-сервер и порт, используемый для отправки электронной почты.

Спамер проверяет каждую запись, подключаясь к серверу, чтобы убедиться, что учетные данные действительны. Неработающие учетные записи игнорируются.

Письма, рассылаемые в этой конкретной кампании, выглядят достаточно безобидно, но они содержат скрытое изображение размером с пиксель. После открытия такого письма на адрес злоумышленника отправляется IP-адрес жертвы, информация о ее user-agent и другая информация об устройстве. Это помогает злоумышленнику узнать, кого он атакует, так как хакеру нужно выбирать Windows-пользователей. Для пользователей iPhone или Android вредонос Ursnif не представляет никакой опасности.

Benkow отметил, что такие таргетированные атаки позволяют злоумышленнику оставаться до определенной степени незаметным, не привлекать к себе излишнего внимания очень масштабными рассылками.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники активизировали атаки на детей и подростков

В первой половине 2025 года количество атак на российских детей и подростков значительно выросло — по сравнению с предыдущими шестью месяцами рост составил около 50%. Об этом сообщают операторы связи и специалисты по информационной безопасности.

В летние месяцы, когда школьники и студенты проводят больше времени в интернете, фиксируется так называемый «высокий сезон» мошеннической активности, нацеленной именно на молодую аудиторию. Атаки становятся всё более разнообразными и хорошо спланированными.

О резком росте мошеннических схем сообщили «Известия» со ссылкой на представителей телеком-компаний и экспертов в сфере ИБ. Преступники используют разные подходы — от выманивания денег у родителей до вовлечения подростков в криминальные схемы, включая передачу данных, дропперство и «угон» аккаунтов в мессенджерах и соцсетях.

«Количество ежедневных мошеннических атак на людей в возрасте от 14 до 20 лет в первом полугодии 2025-го выросло почти на 50% в сравнении со вторым полугодием 2024-го. Так, если в прошлом году в среднем было 1430 таких атак в день, то в 2025-м их стало 2140», — сообщил директор по антифроду «Билайна» Пётр Алферов.

Чаще всего мошенники представляются сотрудниками школ, министерств, экзаменационных комиссий или военкоматов. Жертв просят «зарегистрироваться» на платформе, «подписать» документ или «подтвердить личность» — для этого требуют перейти по ссылке, назвать код из СМС или включить демонстрацию экрана.

При попытках выманить деньги преступники могут сообщать, что с родителями что-то случилось: якобы они попали в больницу или задержаны полицией. Под этим предлогом подростков убеждают передать деньги через «курьера».

Иногда в схему подключаются «сотрудники» Роскомнадзора, МВД или ФСБ России, которые объясняют, что на подростка оформлен кредит или зафиксирована незаконная активность. Далее мошенники предлагают «продекларировать» деньги или ценности и передать их для «хранения» — якобы в целях безопасности.

«15-летней девочке позвонили со шведского номера и выманили у неё код с “Госуслуг”. Затем ей в Telegram написал “сотрудник МВД” и сообщил, что на её имя оформили кредит в пользу ВСУ. В течение нескольких дней через видеосвязь с “МВД и ФСБ” её убеждали закрыть кредит. В итоге она перевела крупную сумму с кредитной карты отца — действуя под руководством мошенников», — рассказал Пётр Алферов.

В другом случае в Telegram поступило сообщение от якобы школьной медсестры с просьбой пройти вакцинацию. Приложенный файл с «анкетой» оказался вредоносной программой удалённого доступа.

«Мы всё чаще фиксируем атаки, нацеленные на детей и подростков, и это неудивительно — они много времени проводят в мессенджерах и соцсетях, где мошенникам проще “спрятаться” под видом учителя, сотрудника госоргана или экзаменационной комиссии», — пояснил Андрей Сиденко, руководитель направления по детской онлайн-безопасности в «Лаборатории Касперского».

По словам основателя компании «Интернет-Розыск» и эксперта рынка НТИ SafeNet Игоря Бедерова, количество атак на детей и подростков за полгода выросло на 30% в годовом выражении. Атаки через поддельные игры — на 60%. Особенно активно атакуют абитуриентов, обещая, например, «ускоренное зачисление».

Руководитель исследовательской группы Positive Technologies Фёдор Чунижеков связывает рост атак с сезонными факторами: вступительной кампанией, активностью военкоматов и началом летних каникул.

Арсений Эпов, директор сервиса Membrana Kids, отметил всплеск вовлечения подростков от 14 лет в дропперство. Преступники манипулируют желанием подростков почувствовать себя значимыми или заработать.

В МегаФоне также подтверждают активизацию схем, в которых детям предлагают сдавать в аренду аккаунты в мессенджерах и соцсетях. Нередко подростков используют как посредников при обналичивании и переводе украденных средств.

По данным исследования агентства «Михайлов и партнёры. Аналитика» совместно с ГК «Солар», 81% подростков за последний год сталкивались с попытками мошенничества. Более половины (56%) получали звонки от имени «банков», 40% — от якобы сотрудников МВД и других ведомств. 53% получали сообщения от незнакомцев, 41% — с аккаунтов знакомых, а 39% переходили по сомнительным ссылкам в телеграм-каналах и соцсетях.

Эксперты советуют объяснять детям, что нельзя передавать личные данные — ни свои, ни родителей — даже если человек представляется учителем, врачом или госслужащим. Лучше переспросить у взрослых, а в сомнительных ситуациях — просто не отвечать.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru