新的垃圾邮件活动俘获了超过10万人

据Statista ，平均而言，我们发送和接收每天 280个多十亿电子邮件。对这种天文数量的信息进行任何形式的分析都很困难，但尽管如此，研究人员估计这些电子邮件中大约有一半可归类为垃圾邮件。

我们大多数人都喜欢相信我们在区分垃圾邮件和真实垃圾邮件方面没有问题，事实上，可以肯定地说，经验丰富的用户已经学会忽略来自尼日利亚王子的信息以及宣传产品的信息。和服务，据说可以改善你的爱情生活。

话虽这么说，一些垃圾邮件更聪明。例如，安全研究员Bob Diachenko和TechCrunch的Zack Whittaker最近研究了针对英国用户的垃圾邮件活动。他们发现，在3月8日到3月18日之间，垃圾邮件发送者设法愚弄了超过10万人劫持诱饵并点击进入。

你如何欺骗10万人点击垃圾邮件中的链接？

关于该活动的真正巧妙之处在于它从社会工程角度和技术角度来看都相对简单。这是它的工作原理。

首先，垃圾邮件发送者会使用窃取的登录凭据登录无辜受害者的电子邮件帐户。然后他们会抓取一些最近发送的消息，并将它们提供给自己的服务器。自动脚本将接收收件人电子邮件和主题行，并将撰写一条看似来自受感染帐户所有者的新邮件。通过由连接到互联网的多个移动电话组成的代理服务器路由连接，垃圾邮件发送者将再次使用被盗的用户名和密码登录发件人的电子邮件服务器，并将自动生成的消息发送给收件人。

共计300万个电子邮件帐户遭到入侵，尽管Diachenko和Whittaker无法估计发送邮件的确切数量，但他们表示上述操作重复“每秒数百次”。

Diachenko和Whittaker设法接收了其中一封电子邮件，他们立即看到了为什么有这么多人为骗局而堕落。这封电子邮件似乎来自收件人知道的一个人，它包含了他们的名字，主题一致表明这是以前沟通的延续。没有任何迹象表明单击该链接存在风险。

值得庆幸的是，也没有令人讨厌的有效载荷。链接会将用户重定向到几个网站，并确定其地理位置。美国公民将登陆一个宣传虚假健康补救措施的网页，来自英国的人们将被发送到一个虚假的BBC页面，最终导致他们陷入比特币骗局。正如我们已经提到的，大多数收件人来自英国。

虽然这绝对是成功的，但我们并不是在谈论世界上最大或最具影响力的活动。尽管如此，Bob Diachenko和Zack Whittaker的考试确实让我们对真正的垃圾邮件操作有了很好的了解。但他们是如何设法获取所有信息的呢？

垃圾邮件发送者无法保护自己的数据

我们新闻文章的定期读者可能知道Bob Diachenko是谁. 2018年9月，他发现数据管理解决方案提供商Veeam 已将其部分客户的数据保存在可从世界任何地方访问的数据库中。 1月份，他发现了另一个未受保护的数据库 ，这次包含了超过2亿中国求职者的简历。几天后，Diachenko与Zack Whittaker联手分析了另一台面向互联网的服务器并没有被密码锁定。暴露的服务器包含名称，地址，社会安全号码和属于未知数量的个人的信用信息的“ 金矿 ”。

正如您所看到的，Bob Diachenko在查找数据库安装和服务器方面非常专业，这些服务器放在互联网上并且不受任何保护。这也是他发现上述垃圾邮件活动的方式。

垃圾邮件发送者使用Elasticsearch数据库来跟踪他们的数据，并且这些机制都有详细记录，这让Diachenko和Whittaker有机会了解它是如何展开的。甚至还有一个仪表板告诉他们有多少垃圾邮件成功发送，有多少反弹，以及有多少用户点击了这些链接。除此之外，未受保护的服务器还拥有被盗用户名和密码，这些用户名和密码允许垃圾邮件发送者破坏超过300万个电子邮件帐户。任何知道去哪里的人都可以获得所有这些数据。

妥协的凭据被提供给Troy Hunt，后者将他们加载到Have I Been Pwned中 。虽然违规通知服务有近80亿个帐户，但高达55％的电子邮件地址对它来说是全新的。至少现在，没有人能说出用户名和密码是如何被盗的。

可悲的是，当Diachenko第一次偶然发现垃圾邮件发送者的服务器时，该活动已经结束。然而，托管服务提供商被告知，服务器已脱机。

配置错误的服务器和数据库对于负责处理人员数据的合法组织来说是一个真正的问题。 最近的一项4iQ调查显示，在线交易的暴露个人信息中有近三分之二是从任何有互联网连接的人可以访问的设备中窃取的，Bob Diachenko的最新发现表明即使是骗子也没有免疫力从犯下愚蠢的错误。