新的垃圾郵件活動俘獲了超過10萬人

據Statista ，平均而言，我們發送和接收每天 280多十億電子郵件。對這種天文數量的信息進行任何形式的分析都很困難，但儘管如此，研究人員估計這些電子郵件中大約有一半可歸類為垃圾郵件。

我們大多數人都喜歡相信我們在區分垃圾郵件和真實垃圾郵件方面沒有問題，事實上，可以肯定地說，經驗豐富的用戶已經學會忽略來自尼日利亞王子的信息以及宣傳產品的信息。和服務，據說可以改善你的愛情生活。

話雖這麼說，一些垃圾郵件更聰明。例如，安全研究員Bob Diachenko和TechCrunch的Zack Whittaker最近研究了針對英國用戶的垃圾郵件活動。他們發現，在3月8日到3月18日之間，垃圾郵件發送者設法愚弄了超過10萬人劫持誘餌並點擊進入。

你如何欺騙10萬人點擊垃圾郵件中的鏈接？

關於該活動的真正巧妙之處在於它從社會工程角度和技術角度來看都相對簡單。這是它的工作原理。

首先，垃圾郵件發送者會使用竊取的登錄憑據登錄無辜受害者的電子郵件帳戶。然後他們會抓取一些最近發送的消息，並將它們提供給自己的服務器。自動腳本將接收收件人電子郵件和主題行，並將撰寫一條看似來自受感染帳戶所有者的新郵件。通過由連接到互聯網的多個移動電話組成的代理服務器路由連接，垃圾郵件發送者將再次使用被盜的用戶名和密碼登錄發件人的電子郵件服務器，並將自動生成的消息發送給收件人。

共計300萬個電子郵件帳戶遭到入侵，儘管Diachenko和Whittaker無法估計發送郵件的確切數量，但他們表示上述操作重複“每秒數百次”。

Diachenko和Whittaker設法接收了其中一封電子郵件，他們立即看到了為什麼有這麼多人為騙局而墮落。這封電子郵件似乎來自收件人知道的一個人，它包含了他們的名字，主題一致表明這是以前溝通的延續。沒有任何跡象表明單擊該鏈接存在風險。

值得慶幸的是，也沒有令人討厭的有效載荷。鏈接會將用戶重定向到幾個網站，並確定其地理位置。美國公民將登陸宣傳虛假健康補救措施的網頁，來自英國的人們將被發送到一個虛假的BBC頁面，最終導致他們陷入比特幣騙局。正如我們已經提到的，大多數收件人來自英國。

雖然這絕對是成功的，但我們並不是在談論世界上最大或最具影響力的活動。儘管如此，Bob Diachenko和Zack Whittaker的考試確實讓我們對真正的垃圾郵件操作有了很好的了解。但他們是如何設法獲取所有信息的呢？

垃圾郵件發送者無法保護自己的數據

我們新聞文章的定期讀者可能知道Bob Diachenko是誰. 2018年9月，他發現數據管理解決方案提供商Veeam 已將其部分客戶的數據保存在可從世界任何地方訪問的數據庫中。 1月份，他發現了另一個未受保護的數據庫 ，這次包含了超過2億中國求職者的簡歷。幾天后，Diachenko與Zack Whittaker聯手分析了另一檯面向互聯網的服務器並沒有被密碼鎖定。暴露的服務器包含名稱，地址，社會安全號碼和屬於未知數量的個人的信用信息的“ 金礦 ”。

正如您所看到的，Bob Diachenko在查找數據庫安裝和服務器方面非常專業，這些服務器放在互聯網上並且不受任何保護。這也是他發現上述垃圾郵件活動的方式。

垃圾郵件發送者使用Elasticsearch數據庫來跟踪他們的數據，並且這些機制都有詳細記錄，這讓Diachenko和Whittaker有機會了解它是如何展開的。甚至還有一個儀表板告訴他們有多少垃圾郵件成功發送，有多少反彈，以及有多少用戶點擊了這些鏈接。除此之外，未受保護的服務器還擁有被盜用戶名和密碼，這些用戶名和密碼允許垃圾郵件發送者破壞超過300萬個電子郵件帳戶。任何知道去哪裡的人都可以獲得所有這些數據。

妥協的憑據被提供給Troy Hunt，後者將他們加載到Have I Been Pwned中 。雖然違規通知服務有近80億個帳戶，但高達55％的電子郵件地址對它來說是全新的。至少現在，沒有人能說出用戶名和密碼是如何被盜的。

可悲的是，當Diachenko第一次偶然發現垃圾郵件發送者的服務器時，該活動已經結束。然而，託管服務提供商被告知，服務器已脫機。

配置錯誤的服務器和數據庫對於負責處理人員數據的合法組織來說是一個真正的問題。 最近的一項4iQ調查顯示，在線交易的暴露個人信息中有近三分之二是從任何有互聯網連接的人可以訪問的設備中竊取的，Bob Diachenko的最新發現表明即使是騙子也沒有免疫力從犯下愚蠢的錯誤。