12

Spam farmaceutyczny, czyli skąd się w naszych skrzynkach bierze tyle Viagry?

Autorem tekstu jest Tomasz Potęga, Administrator Poczty WP.PL, Wirtualna Polska. Spam stał się właściwie częścią naszego życia. Bo tam, gdzie pojawia się poczta elektroniczna – prędzej czy później – pojawi się też spam. Niechciany, niezamawiany, marnuje nasz czas i – co za tym idzie – pieniądze. Naturalnie, ze strony WP.PL, jako dostawcą masowej usługi e-mail, […]

Autorem tekstu jest Tomasz Potęga, Administrator Poczty WP.PL, Wirtualna Polska.

Spam stał się właściwie częścią naszego życia. Bo tam, gdzie pojawia się poczta elektroniczna – prędzej czy później – pojawi się też spam. Niechciany, niezamawiany, marnuje nasz czas i – co za tym idzie – pieniądze. Naturalnie, ze strony WP.PL, jako dostawcą masowej usługi e-mail, staramy się z nim walczyć. To sprawia, że nasi użytkownicy są bardziej usatysfakcjonowani, a nasze koszty mniejsze. W tym cyklu artykułów przedstawię reguły rządzące tym biznesem, a także „od kuchni” mechanizmy, którymi staramy się dawać mu odpór. Ta walka jest dla nas o tyle trudna, że działamy nie u źródła, a na samym końcu ścieżki wiadomości. Choćbyśmy zastosowali nieskończenie dobry filtr (właśnie, jesteśmy jeszcze jakiś tydzień od wdrożenia) to niestety nie zatrzymamy nim wypływu spamu.

Czy byłby jednak wysyłany, gdyby nie przynosił zleceniodawcy zysku? W jaki sposób – pardon za nowomowę 2.0 – monetyzować spam? Przyjrzyjmy się jednej z najstarszych jego odmian – spamowi farmaceutycznemu.

Któż z nas nie znalazł w swojej skrzynce oferty okazyjnej sprzedaży różnych medykamentów? Nazwy takie jak Cialis, Viagra czy Levitra kojarzone są przez większość użytkowników poczty. Nie bez powodu – leki, do których się odnoszą, są stosowane przy zaburzeniach erekcji – to bodajże najpopularniejsze ze specyfików reklamowanych przez spamerów. Katalog dostępnych środków jest oczywiście znacznie bardziej obszerny. Nieważne, czy naszym problemem jest depresja (chociaż tu pewnie lepsza będzie oferta „likes for sale, cheap”), nadwaga, dowolna inna choroba cywilizacyjna – jesteśmy tylko o kilka kliknięć od rozwiązania wszelkich problemów!

Wiele osób zastanawia się, czy lądujące w spamie oferty to nie jedna wielka podpucha – okazuje się, że nie. Jest bardzo duża szansa, że dostaniemy zamawiany produkt. Zupełnie możliwe też, że nie zostaniemy obciążeni większą kwotą, niż ta, którą zgodziliśmy się zapłacić. Jeśli dodamy do tego całkiem dobry kontakt – otrzymamy poziom obsługi godny solidnego sklepu internetowego!

Oferowane produkty oznaczone są zwykle przez spamerów jako generyki – by wprost nie napisać „podróbki”. Nie są to leki generyczne w medycznym znaczeniu tego słowa – zbadane, o potwierdzonym składzie i działaniu. Nie oznacza to jednak, że powstają w małych, przydomowych laboratoriach, które możemy czasem obejrzeć w materiałach dokumentujących kolejny sukces policyjnych ekip antynarkotykowych. Chińskie wytwórnie są w stanie dostarczyć dowolną ilość zamówionych środków.

Ile jednak znajdziemy „cukru w cukrze”? W sieci natknąć się można na przestrogi, że produkty te to w najlepszym wypadku kolorowy, prasowany gips, lub – jeśli trafimy gorzej – niebezpieczny koktajl, niemający nic wspólnego z oryginałem. Pracownicy firmy IronPort (aktualnie część Cisco), zajmującej się m.in. zagadnieniami walki ze spamem – przeprowadzili test. Zamówili, a po zrealizowaniu zamówienia przebadali otrzymane tabletki. Co znaleźli w pigułkach? 110% reklamowanej zawartości substancji czynnej.

Co ciekawe, biznes nie całkiem legalnych aptek internetowych przyjął formę franczyzy. Organizatorzy oferują oprogramowanie (różnie: sam interfejs sklepu, gotowe systemy spamujące, itd.), ale przede wszystkim zapewniają kompleksową obsługę zamówień (oraz obsługę posprzedażną). „Franczyzobiorca” ma zazwyczaj zająć się tylko i wyłącznie napędzaniem klientów, za co otrzymuje prowizję od sprzedaży, w wysokości ok. 30-40%.

By dotrzeć do zainteresowanych, konieczne jest wysłanie bardzo wielu wiadomości – w prosty sposób nie zrobimy tego z jednego czy dwóch komputerów. Nie chodzi nawet o niedostatki w przepływności czy braki mocy obliczeniowej – adresy takich maszyn błyskawicznie trafiłyby na szereg „czarnych list” prowadzonych przez organizacje antyspamowe. Jakie jest rozwiązanie? Botnet – sieć przejętych maszyn, w tym wypadku pozostająca pod kontrolą nie-całkiem-magistra farmacji.

Członkowie botnetu to w zdecydowanej większości zwykłe, domowe komputery – w taki czy inny sposób zaatakowane przez złośliwe oprogramowanie. Wektory ataku bywają różne – luki w przeglądarkach zdarzają się często, a i sami użytkownicy zwykle nie odmówią sobie uruchomienia filmu ze słodziutkimi kociakami (na szczęście ktoś dodał kodeki w załączniku!). Jeśli autor malware’u nie przesadził, zaatakowany przez długi czas może nawet nie zauważyć, że z komputerem jest coś nie tak – poza większym obciążeniem łącza (i natrętnie migającymi diodami na modemie).

Gdy już uda się umieścić na komputerach ofiar oprogramowanie, rozpoczyna się wysyłka spamu. Operator botnetu przekazuje zainfekowanym maszynom szablony treści maili oraz listy adresów odbiorców. Maile są zwykle w jakiś sposób personalizowane, adresy bywają też losowane. Spamowanie to jednak nie jedyne zadanie botów.

Wiele z nich staje się też serwerami proxy – to od nich przeglądarka klienta pobiera stronę apteki, zarażone komputery przyjmują i przekazują również zamówienia. Pojawia się tutaj techniczne pytanie – w jaki sposób komputer klienta ma połączyć się z jedną z zainfekowanych maszyn? Adresy domenowe aptek internetowych tłumaczone są często na dziesiątki adresów IP, wskazujących właśnie na boty. Odpowiedzi z serwerów DNS mają przypisany „czas ważności”, który w tym przypadku jest na tyle niski, że umożliwia ciągłą rotację wpisów – zależnie od stanu botnetu. Technika ta znana jest pod angielską nazwą fast-flux.

Wybór dostawcy usług DNS (ale też hostingu) w przypadku aptek ma spore znaczenie – z punktu widzenia spamera najlepiej, aby przymykał oczy na zgłoszenia, które wcześniej czy później się pojawią. Dobrze też, gdy uprości ukrycie danych wskazywanych przez narzędzia typu whois. Dostawcy tacy zwani są bullet-proof providers.

Sieci botów potrafią osiągać naprawdę spore rozmiary – idące w miliony zarażonych maszyn. Głośny polski botnet Virut, unieszkodliwiony na początku roku przez CERT Polska oraz NASK – składał się z kilkuset tysięcy komputerów. Niestety, spamowanie czy przekazywanie ruchu to jedynie ułamek możliwości współczesnych botów – potrafią one też skanować komputery w poszukiwaniu cennych danych (takich jak dane osobowe lub numery kart kredytowych), podsłuchiwać (bądź modyfikować) komunikację z bankami, czy też być wykorzystywane do sterowanych przez zarządcę botnetu ataków na serwisy internetowe.

By apteka mogła działać, konieczny jest jeszcze podmiot przetwarzający transakcje kartowe – i przekazujący wpłaty na rachunki operatorów (raczej nie bezpośrednio). Ten obszar działalności nie jest jeszcze do końca zbadany przez walczących ze spamem – a można uznać, że rokuje bardzo dobrze: celem spamerów jest wszak zarabianie, a pozbawienie ich możliwości obciążania kart uniemożliwi prowadzenie „legalnych” interesów.

Dalsza realizacja zamówienia nie odbiega specjalnie od działania zwykłych sklepów – ot, trochę inny jest towar, trochę inne pakowanie (bo np. pigułki trzeba ukryć w paczce). Do klienta dociera paczka wysłana gdzieś z Chin czy Indii – powodzenia w poszukiwaniu nadawcy…

Kto zyskuje na całym interesie? Poza częścią „odpaloną” np. operatorowi botnetu zysk zostaje u organizatora całego procederu. Kim zaś on jest? Ciężko wskazać konkretnie osoby, bo zwykle dobrze ukrywają swoją prawdziwą tożsamość. Spamhaus prowadzi rejestr firm i osób zaangażowanych w spamowy biznes – ROKSO. Powstała też lista TOP 10 – nie wiadomo jednak, czy osoby na niej się znajdujące to faktycznie koniec „łańcucha pokarmowego”. Prawie pewne za to jest, że zawsze „gdzieś u góry” łączą się różne ścieżki kryminalnej działalności.

Na koniec rzućmy okiem na wygląd „spamowej” apteki – popularnej „Canadian Pharmacy”. Jakich sztuczek używa się, by podnieść zaufanie klienta?

1

2

Trzeba przyznać, że nie wygląda źle. Koszyk, wybór języka i waluty, bestsellery. Szczęśliwa, zadowolona rodzina, kilka promocji. Trochę niżej dumnie prezentowane certyfikaty. Pierwszy – Amerykańskiej Agencji ds. Żywności i Leków (FDA) – link prowadzi jednak do obrazka wyświetlanego ze strony apteki. Dalej – certyfikat kanadyjskiego stowarzyszenia aptek CPA – to niestety znów fałszywka. Stowarzyszenie nosi tak naprawdę nazwę CIPA (Canadian International Pharmacy Association) – może zamiana wynika z troski o odczucia gości z krainy nad Wisłą? Znajdziemy też link mający prowadzić do „porównywarki” aptek – PharmacyChecker.com. Wprawne oko zauważy jednak, że link prowadzi do PharmacyChecker1.com, gdzie od razu trafimy na podłożoną stronę z pozytywnymi opiniami dotyczącymi Canadian Pharmacy.

Co ciekawe, jeśli do tego samego serwera odwołamy się stosując inną nazwę domenową (ale tłumaczoną na ten sam adres IP) – trafimy do apteki „Pharmacy Express”:

3

Też ładnie – i do tego numer jeden! Nie przeszkadzam więc w zakupach…

A w następnym artykule postaram się odpowiedzieć na pytanie, jak można zwiedzić sto różnych krajów w 24h!