Valér
4 °C
8 °C

Benéztünk a nemzetközi spammaffiához

2014.11.20. 12:27
Látott már spamet? És spamküldőt? Előbbit biztos rengeteget. Utóbbi körülbelül Columbo feleségének felel meg: tudjuk, hogy rettentő sok levélszemét árad valakitől, de még nem nagyon láttunk Magyarországon olyat, aki megnyomná a „ küldés” gombot ezekhez. Most sem, de legalább a gombig eljutottunk, és az otthagyott cuccokig. Három szerver, hat ország, több millió emailcím és egy védtelen irányítópult. A cikk írása közben lekapcsolták a szervert, de a bizonyítékok megmaradtak.

Egy spam levél ip-címét követte vissza egy olvasónk, és egy felhasználónévvel, jelszóval egyáltalán nem védett vezérlőszerverre bukkant. Az infói nyomán mi is benéztünk, és valóban: a böngészőből könnyedén elérhető szerverekről irányították a magyar és régiós spamforgalom jelentős részét. A szervereket mostanra lekapcsolták, ami m ég valószínűbb: egy másik ip-címre költöztették. Ez jól mutatja azt is, miért nagyon nehéz fellépni a spamküldők ellen: elég egy újabb fertőzött, feltört gép vagy egy olcsó, erre specializálódott tárhelyszolgáltató, és máris záporozhatnak újra a kéretlen reklámlevelek.

Szükségük is van erre a rugalmasságra: a spam elleni küzdelem fő fegyvere az úgynevezett feketelista. Ha erre rákerül egy szerver, a listát használó szolgáltatók (gyakorlatilag mindenki, aki számít) blokkolja az onnan érkező leveleket. Az ilyen szerverek ezért tiszavirág-életűek.

Kicsit spamtelenkedtem

Olvasónk visszakövetett oldalával az volt a szerencsénk, hogy semmi nem védte. Hiába ismertük volna valahonnan a bejutáshoz szükséges felhasználónevet és jelszót, ha így beléptünk volna a szerverre, bűncselekményt követtünk volna el, hiszen a számítógépes rendszerbe történő jogosulatlan behatolást ez is kimeríti. Így viszont csak betöltött a weboldal, mintha az index.hu címét írtuk volna be a böngészőnkbe.  

A címen egy Finjector nevű felület jelentkezett, ez alapján önmagában nem sok mindent sikerült kideríteni, a név egy jackdugókat gyártó cég márkaneve, valószínűleg nincs közük a spamszerver szoftveréhez. Többet segített a PMTA rövidítés: ennek feloldása PowerMTA, ami egy felturbózott SMTP-szerver: levelek küldésére való, nagy mennyiségben. Legyünk jóindulatúak: hírlevek is készülhetnek így, az azonban tény, hogy spam küldésére ugyanúgy alkalmas. A weboldalon talált felület nem hasonlított a közismert PowerMTA-ra, vagy egy obskúrus verzióról van szó, vagy kapott egy személyre szabott felületet maga elé az egész rendszer.

 

Éljenek a spamerlisták, és a nemzetköziség!

Ha már ott jártam, becsülettel végigkattintgattam az összes menüpontot. Az összes gombot már nem, mert akkor szépen leállítottam volna a szervert, amit nem akartam, elvégre nem vagyok én hatóság (ők viszont a cikket nyugodtan vehetik bejelentésnek bűncselekményről). 

Ami elsőre kiderült: nemcsak a magyar spammaffiába botlottam bele, hanem egyenesen nemzetközibe. Az egész régióból találtam kampányokat, küldtek

  • magyar;
  • cseh;
  • szlovák;
  • lengyel;
  • olasz;
  • és amerikai emailcímlistákra is kéretlen hirdetési kampányokat.

Jól látszik, hogy ugyanazokat a kampányokat több országban is ellövik, hiába, kicsi ország, kicsi piac, kicsi pénz – Magyarországon valószínűleg azért nincs olyan sok embernek szüksége postán rendelhető potencianövelőre, hogy egy töredékszázalékos hatékonyságú emailkampány behozza a költségeket.

A kampányok neve beszédes, nézzük csak a magyarokat: 

  • BoxthornCardiovascDiafort;
  • Energy Saver;
  • ErosFullfixHairtonicMenoconfortNidoraRaspberry;
  • ReumaflexStandUpZeloit.

Ismerős? Ha már nem, a levelezője spam könyvtárában már valószínűleg találkozott néhányukkal. Az Energy Saverrel akár Index-cikkben is: tavaly megírtuk, hogy az áramfogyasztás csökkenését ígérő, konnektorba dugható kütyü szimpla átverés . Valójában mindegyik cég megérne némi nyomozást, de hatósági kivizsgálást mindenképpen. Nehezen hihető, hogy nem ők voltak a megrendelők, ha már az ő termékeikről küldenek ki spamet. Ez akkor is büntetendő, ha maga a termék rendben van. Pedig általában az sincs.

Az áltudományos kütyük, állítólagos gyógykészítmények mellett azért találni valódi dolgokat is, nem fogják kitalálni mit:

Viagrát.
 

Persze ebben a bizniszben is bőven van áltudomány, az egyik spam üzenet szövege például azt mondja, hogy

Sok kutatások és tesztelések külonbozo vegyuletekre, fel fedezték, mi az, ami segít radikálisan javítani a szexuális életedben. Egy interjúban Dr. Cuddy elmond néhány titkot a felfedezésről.

Ha egy orvos nevével akarnak valamit eladni, rossz magyarsággal, hol ékezettel, hol ékezet nélkül, az eleve gyanús, de azért jó látni, hogy a levélszemét küldőinek legalább humoruk van: Dr. Cuddy ugyanis nem létezik. Nagy valószínűséggel a Dr. House tévésorozat egyik karakteréről van szó.

A többi spam szövegezése is hasonló, ami azt mutatja, hogy a leveleket nem nézi át senki, nem is írják meg magyarul, csak valamilyen programmal lefordítják, aztán hadd szóljon. Aki nagyban űzi az ipart, annak mindegy, a spam hatékonysága úgyis extrém alacsony, azoknál pedig, akik egyáltalán bedőlnek ezeknek a hirdetéseknek, valószínűleg teljesen mindegy, hogy irodalmi nyelven írták meg, vagy tele van élő által el nem követhető hibákkal a szöveg. 

400 ezerből 40

Megnéztem az egyik magyar kampányhoz tartozó emailcímlistát: 422 019 emailcím volt rajta, csak a sikeres küldéseket beleszámolva, tehát kihagytuk a meg sem érkező leveleket.

Ez a rengeteg címzett mindössze:

  • 1982 megnyitást produkált;
  • ebből 1692 volt különböző cím
  • akik összesen 39-et kattintottak a levélben levő linkre;
  • és ez még nem jelent vásárlást.

Akkor már inkább a lottó. 

Pedig a címzettek között van bőven működő emailcím is. Magamat szerencsére nem találtam meg, de több indexes kolléga (köztük a főszerkesztő) és a sportrovat közös listája is ott volt, ahogy néhány, ma már máshol dolgozó exkollégánk már nem élő címe is. Persze valószínűleg nem a frissesség a cél, csak a gyűjtögetés. A teszt után a letöltött listát természetesen visszaállíthatatlanul megsemmisítettük.

Porig rombolhattam volna

A cikk elején említettem, hogy nem ész nélkül nyomkodtam a gombokat, nem véletlenül:

  • Kiküldhettem volna bármelyik listára bármilyen tartalmú levelet, összesen több millió címre;
  • Újraküldhettem volna a régi kampányokat;
  • Bármelyik kampányt törölhettem volna;

És valójában az egész szervert is felszánthattam volna, és a helyét behinthettem volna sóval, mivel a webes felületen elérhető volt az SSH-hozzáférés, felhasználónév, jelszó. (Az SSH egy szöveges távoli kapcsolat, hasonló a windowsos távoli asztalhoz, csak itt kattintás helyett parancsokkal navigálhatunk.) Mindehhez ráadásul a root felhasználó hozzáférését tették fel a webre, vagyis egyetlen jól irányzott paranccsal letörölhettem volna mindhárom szerver teljes tartalmát. 

Sokra azonban nem mentem volna vele: biztos vagyok benne, hogy ez a szerver egyrészt csak csepp a tengerben, másrészt a terjesztőket kell elkapni, a gép lekapcsolása itt mit sem ér. Öt perc múlva máshonnan kezdik újra, a listákat tárolni és költöztetni gyerekjáték. Csak ehhez a szerverhez körülbelül tíz különböző ip-cím és domén tartozott, amíg működött, ráadásul nem mindegyik volt aktív, tartalékoltak is, ha valamelyik feketelistára került volna.

Törvény van, de minek

Az elsődleges gyakorlati fegyver a spam ellen a feketelista. Ezek nem tökéletesen hatékonyak, mivel a szerverek mozgékonyak. A cikkírás idején lefuttatott vizsgálat szerint a spamküldőkhöz tartozó fastenemail.info domén ip-címe csak a Spam Eating Monkey és a Spamhaus adatbázisában volt feketelistán, a több tucat hasonlón simán átment. 

A másik a hatósági fellépés lenne: a többször módosított 2001. évi CVIII. törvény több pontban szabályozza az elektronikus hirdetések küldését. A törvény egyértelmű: tömegesen csak azoknak lehet levelet küldeni, akik kifejezetten kérik (vagyis feliratkoztak), és bár sokan ezt hiszik, valójában ehhez engedélyt kérő körleveleket is tilos kiküldeni.

A büntetés figyelmeztetés vagy pénzbírság lehet. Személyes adatokkal való visszaélés miatt az új Btk. 219. paragrafusa szerint egy év járhat az ilyen listákért, és két év is adható, ha a címekhez különleges adatokat is társítanak. Elrettentő hatása valószínűleg nem sok van, ha ilyen hatékonyság mellett is naponta szemetelik tele a postaládánkat.