Ma kaptam egy spamet, és eleve felhúzott, hogy egy olyan oldal küld spamet, ahova nem is vagyok regisztrálva. Ezért kicsit utánajártam, honnan is jött a levél.
Az email egyébként a szokásos hazai warez spam kategóriába tartozik, valószínűleg egy torrentoldal adta el az email címemet, és azóta küldik az sms regisztrációs “híreket”, seedszerver akciókat.
Ez landolt a gmail-ben:
Ha erdekel seed szerver, akkor: http://webseeder.try.hu/ Olcso, gyors, megbizhato.
Legtöbbször azonnal törlöm ezeket, de most valamiért mégis alaposabban kiveséztem a levelet, így megnéztem a forrását is.
Delivered-To: *@gmail.com Received: by 10.213.27.71 with SMTP id h7cs547483ebc; Thu, 21 Jan 2010 12:02:22 -0800 (PST) Received: by 10.224.34.75 with SMTP id k11mr1277696qad.346.1264104133471; Thu, 21 Jan 2010 12:02:13 -0800 (PST) Return-Path: <nobody@srv40.000webhost.com> Received: from srv40.000webhost.com ([66.96.196.245]) by mx.google.com with ESMTP id 12si4978294qyk.62.2010.01.21.12.01.22; Thu, 21 Jan 2010 12:02:13 -0800 (PST) Received-SPF: neutral (google.com: 66.96.196.245 is neither permitted nor denied by best guess record for domain of nobody@srv40.000webhost.com) client-ip=66.96.196.245; Authentication-Results: mx.google.com; spf=neutral (google.com: 66.96.196.245 is neither permitted nor denied by best guess record for domain of nobody@srv40.000webhost.com) smtp.mail=nobody@srv40.000webhost.com Received: from nobody by srv40.000webhost.com with local (Exim 4.69) (envelope-from <nobody@srv40.000webhost.com>) id 1NY39t-0003Ak-Tq; Thu, 21 Jan 2010 14:57:37 -0500 To: Subject: SMS Seed X-PHP-Script: *cenzored*.site11.com/mail.php for 192.251.226.206 From: info@bitsite.hu X-Sender: info@bitsite.hu Reply-To: info@bitsite.hu X-Mailer: PHP/5.2.11 Message-Id: <E1NY39t-0003Ak-Tq@srv40.000webhost.com> Date: Thu, 21 Jan 2010 14:57:37 -0500 X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - srv40.000webhost.com X-AntiAbuse: Original Domain - gmail.com X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12] X-AntiAbuse: Sender Address Domain - srv40.000webhost.com Ha erdekel seed szerver, akkor: http://webseeder.try.hu/ Olcso, gyors, megbizhato.
Nézzük is, mit tudhatunk meg. Az első, ami beszédes, az a Return-Path és a Received mezők. Ezekből kiolvashatjuk, hogy a levelet a srv40.000webhost.com címen elérhető szerverről küldték. Ne keressük a magyar szolgáltatók között, ez egy külföldi, viszonylag nagy, ingyenes szolgáltató, akit úgy látom, egyre többször warez spamre használnak a magyar ifjak.
A második, ami feltűnhet, az az X-PHP-Script mező, amely megmondja nekünk, hogy mivel küldték a levelet. Mivel a PHP már benne van, sejthető, hogy valami scripttel küldték ki a leveleket, vagy valami weboldal formból. A mező tartalma még beszédesebb: *cenzored*.site11.com/mail.php for 192.251.226.206. Igen, igen ez bizony az a weboldal, ahonnan küldték a levelet nekünk. Nosza, meg is néztem műküdik-e még. És tádám:
A weboldal még elérhető, a címét inkább kitakartam.
Amint látható, a form fel van készítve arra, hogy igazából bármilyen e-mail címet odahazudjunk a küldéshez. Sajnos ez az email protokoll nagy hiányossága, hogy könnyen lehet hamisítani a feladót. Itt jelzem, hogy jelen esetben nem is biztos, hogy a BitSite-hoz tartozik a spam (létezik azaz oldal még?!), előfordulhat, hogy valaki csak egy jól bejáratott spames cím mögé igyekszik elbújni. A form gazdái egyébként még az üzenetet is bent hagyták. Így nem kérdés, hogy kinek, miért készült ez a cucc.
Ezek után felkerestem a weboldalt, ha már ennyire reklámoznák. Ismerős volt már, biztos kaptam már tőlük levelet. A “design” az alap TBdevre hasonlít, nagyon ötletes…
A weboldal informatív, szinte minden fontos dolgot közölnek velünk, akció van, bannert is cserélhetünk, minden szuper.
Rendszerünk, lényege, hogy torrentezők pár SMS -ért cserébe kaphassanak minőségi seed szerverszolgáltatást.
Itt el is mondom, hogy legyünk mindig bizalmatlanok, ha ilyen SMS-es dologhoz folyamadunk – egyébként meg inkább kerüljük el messzire az ilyen hárombetűs – SMS – site-okat, legyen az torrentoldal vagy seederszerver bérlés. Egyik sem éri meg, ez biztos.
Kicsit még tovább kutakodtam, megnéztem, hol is működik ez a csodás szolgáltatás:
host -a webseeder.try.hu
webseeder.try.hu A 62.112.194.92
Az ip ENTERNET hálózatába tartozik, ezt a RIPE nyilvános adatbázisából tudtam meg. Itt lehet talán megfogni őket, ha az NHH-nak bejelentést akarunk tenni. A spamküldő hosting cég külföldi, tehát nem hinném, hogy nagyon foglalkoznának az én vagy egy magyar hatóság levelével, ráadásul ingyenesen és névtelen a felhasználói fiók, bármikor csinálnak egy újat a spammerek.
Konklúzió
Ha nehezen is, de látható hogy utána lehet járni, hogy mi a spam igazi (vagy annak vélt) forrása. Viszont a siker már nem garantált. Bár a RIPE infónál megtudhatjuk a szolgáltatót, nem garantált, hogy reagálnak az abuse címre érkező levelekre (főleg dzsunga, warez hosting cégeknél ált.). De ha szerencsénk van, ránéznek a rendetlenkedő ügyfélre. Hosszútávon az ő érdekük is az, hogy korrekt ügyfelbázissal tudjanak dolgozni, és ne legyenek a spammerek szégyenfalán. Ennél még hatásosabb lehetne az NHH-nak küldött bejelentés, de ahogy azt a Fikablogon olvashattuk már, a bejelentési procedúra koránt sem olyan egyszerű, mint ahogy azt gondolnánk. Az “ártatlannak” tűnő webes form eleve elkéri a személyes adatainkat, viszont az ellenőrzések után átirányít az ügyfélkapu oldalára, ahol már tényleg szó szerint tudni fogják, hogy ki tett bejelentést.
Egy újabb fél órás procedúra – javas program, digitális aláírás – után máris megvan a tájékoztató pdf, amelyben az NHH nyomatékosan közli, hogy a bejelentést először csak mérlegeli, után jöhet bármi más. Ahogy az itthoni viszonylatokból sejteni lehet, ha véletlenül is átmenne a bejelentésünk a mérlegelésen, könnyen előfordulhat, hogy a weboldalak már máshol, más néven pörögnek tovább, és okádják a spam leveleket a postaládánkba.