Ma kaptam egy spamet, és eleve felhúzott, hogy egy olyan oldal küld spamet, ahova nem is vagyok regisztrálva. Ezért kicsit utánajártam, honnan is jött a levél.

Az email egyébként a szokásos hazai warez spam kategóriába tartozik, valószínűleg egy torrentoldal adta el az email címemet, és azóta küldik az sms regisztrációs “híreket”, seedszerver akciókat.

Ez landolt a gmail-ben:

Ha erdekel seed szerver, akkor: http://webseeder.try.hu/

Olcso, gyors, megbizhato.

Legtöbbször azonnal törlöm ezeket, de most valamiért mégis alaposabban kiveséztem a levelet, így megnéztem a forrását is.

Delivered-To: *@gmail.com
Received: by 10.213.27.71 with SMTP id h7cs547483ebc;
        Thu, 21 Jan 2010 12:02:22 -0800 (PST)
Received: by 10.224.34.75 with SMTP id k11mr1277696qad.346.1264104133471;
        Thu, 21 Jan 2010 12:02:13 -0800 (PST)
Return-Path: <[email protected]>
Received: from srv40.000webhost.com ([66.96.196.245])
        by mx.google.com with ESMTP id 12si4978294qyk.62.2010.01.21.12.01.22;
        Thu, 21 Jan 2010 12:02:13 -0800 (PST)
Received-SPF: neutral (google.com: 66.96.196.245 is neither permitted nor denied
by best guess record for domain of [email protected]) client-ip=66.96.196.245;
Authentication-Results: mx.google.com; spf=neutral (google.com: 66.96.196.245 is
neither permitted nor denied by best guess record for domain of [email protected])
[email protected]
Received: from nobody by srv40.000webhost.com with local (Exim 4.69)
	(envelope-from <[email protected]>)
	id 1NY39t-0003Ak-Tq; Thu, 21 Jan 2010 14:57:37 -0500
To:
Subject: SMS Seed
X-PHP-Script: *cenzored*.site11.com/mail.php for 192.251.226.206
From: [email protected]
X-Sender: [email protected]
Reply-To: [email protected]
X-Mailer: PHP/5.2.11
Message-Id: <[email protected]>
Date: Thu, 21 Jan 2010 14:57:37 -0500
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - srv40.000webhost.com
X-AntiAbuse: Original Domain - gmail.com
X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain - srv40.000webhost.com

Ha erdekel seed szerver, akkor: http://webseeder.try.hu/

Olcso, gyors, megbizhato.

Nézzük is, mit tudhatunk meg. Az első, ami beszédes, az a Return-Path és a Received mezők. Ezekből kiolvashatjuk, hogy a levelet a srv40.000webhost.com címen elérhető szerverről küldték. Ne keressük a magyar szolgáltatók között, ez egy külföldi, viszonylag nagy, ingyenes szolgáltató, akit úgy látom, egyre többször warez spamre használnak a magyar ifjak.

A második, ami feltűnhet, az az X-PHP-Script mező, amely megmondja nekünk, hogy mivel küldték a levelet. Mivel a PHP már benne van, sejthető, hogy valami scripttel küldték ki a leveleket, vagy valami weboldal formból. A mező tartalma még beszédesebb: *cenzored*.site11.com/mail.php for 192.251.226.206. Igen, igen ez bizony az a weboldal, ahonnan küldték a levelet nekünk. Nosza, meg is néztem műküdik-e még. És tádám:

spam_fail

A weboldal még elérhető, a címét inkább kitakartam.

Amint látható, a form fel van készítve arra, hogy igazából bármilyen e-mail címet odahazudjunk a küldéshez. Sajnos ez az email protokoll nagy hiányossága, hogy könnyen lehet hamisítani a feladót. Itt jelzem, hogy jelen esetben nem is biztos, hogy a BitSite-hoz tartozik a spam (létezik azaz oldal még?!), előfordulhat, hogy valaki csak egy jól bejáratott spames cím mögé igyekszik elbújni. A form gazdái egyébként még az üzenetet is bent hagyták. Így nem kérdés, hogy kinek, miért készült ez a cucc.

Ezek után felkerestem a weboldalt, ha már ennyire reklámoznák. Ismerős volt már, biztos kaptam már tőlük levelet. A “design” az alap TBdevre hasonlít, nagyon ötletes…

webseeder

A weboldal informatív, szinte minden fontos dolgot közölnek velünk, akció van, bannert is cserélhetünk, minden szuper.

Rendszerünk, lényege, hogy torrentezők pár SMS -ért cserébe kaphassanak minőségi seed szerverszolgáltatást.

Itt el is mondom, hogy legyünk mindig bizalmatlanok, ha ilyen SMS-es dologhoz folyamadunk – egyébként meg inkább kerüljük el messzire az ilyen hárombetűs – SMS – site-okat, legyen az torrentoldal vagy seederszerver bérlés. Egyik sem éri meg, ez biztos.

Kicsit még tovább kutakodtam, megnéztem, hol is működik ez a csodás szolgáltatás:

host -a webseeder.try.hu
webseeder.try.hu        A       62.112.194.92

Az ip ENTERNET hálózatába tartozik, ezt a RIPE nyilvános adatbázisából tudtam meg. Itt lehet talán megfogni őket, ha az NHH-nak bejelentést akarunk tenni. A spamküldő hosting cég külföldi, tehát nem hinném, hogy nagyon foglalkoznának az én vagy egy magyar hatóság levelével, ráadásul ingyenesen és névtelen a felhasználói fiók, bármikor csinálnak egy újat a spammerek.

Konklúzió

Ha nehezen is, de látható hogy utána lehet járni, hogy mi a spam igazi (vagy annak vélt) forrása. Viszont a siker már nem garantált. Bár a RIPE infónál megtudhatjuk a szolgáltatót, nem garantált, hogy reagálnak az abuse címre érkező levelekre (főleg dzsunga, warez hosting cégeknél ált.). De ha szerencsénk van, ránéznek a rendetlenkedő ügyfélre. Hosszútávon az ő érdekük is az, hogy korrekt ügyfelbázissal tudjanak dolgozni, és ne legyenek a spammerek szégyenfalán. Ennél még hatásosabb lehetne az NHH-nak küldött bejelentés, de ahogy azt a Fikablogon olvashattuk már, a bejelentési procedúra koránt sem olyan egyszerű, mint ahogy azt gondolnánk. Az “ártatlannak” tűnő webes form eleve elkéri a személyes adatainkat, viszont az ellenőrzések után átirányít az ügyfélkapu oldalára, ahol már tényleg szó szerint tudni fogják, hogy ki tett bejelentést.

Egy újabb fél órás procedúra – javas program, digitális aláírás – után máris megvan a tájékoztató pdf, amelyben az NHH nyomatékosan közli, hogy a bejelentést először csak mérlegeli, után jöhet bármi más. Ahogy az itthoni viszonylatokból sejteni lehet, ha véletlenül is átmenne a bejelentésünk a mérlegelésen, könnyen előfordulhat, hogy a weboldalak már máshol, más néven pörögnek tovább, és okádják a spam leveleket a postaládánkba.