Az egész úgy indult számomra, hogy 2021.10.07-én körbejárt a hír a világban, hogy a Google figyelmeztetést küldött a levelezőrendszerüket érintő állami aktivitásról egyes felhasználóknak. Egy nappal később pedig egy másik folyamat is elindult, amelynek nyomán furcsa email-ek jutottak át a Gmail és a Protonmail spam szűrőin.
A kéretlen leveleknek több érdekes tulajdonsága van, erről írnék egy kicsit bővebben. A levelet ugyanis én is megkaptam (egyből három verzióban), és számomra is meglehetősen furcsa volt, hogy a levél nem akadt fent a Google szűrőin. Ahogy a 24.hu is megírta: a levélnek nincs tárgya, tartalma pedig két értelmezhetetlen karakterlánc, valamint egy html csatolmány.
A html csatolmány elnevezése az esetemben, és más, általam elért nemzetközi esetekben „Government Alert” szavakat is tartalmazta. Kis képzelőerővel könnyedén asszociál erről a felhasználó az éppen aktuális hírekre, a COVID riasztásokra, de a leveleknek egyébként részben eltérő volt a csatolmány elnevezése.
A törzsszöveg valószínűleg Bayes(ian)-mérgezés (amikor megpróbálják kivédeni azt a védelmi mechanizmust, hogy a spamekben szereplő tipikus szavakat vizsgáló algoritmus veszélyt érezzen), egyesek szerint pedig olyan mint egy METAR kód (meteorológiai adatsor), noha – a véleményem szerint – formailag nem felel meg annak (az adatsor általában 13 elemű: mindig két karakterrel kezdődik, majd felváltva tartalmaz mindig 6 betűből és maximum 5 karakterszámú számból álló blokkokat, amit végül mindig egy 4 betűből álló blokk zár), továbbá az egyik levélben eleve rövidebb volt mindkét karakterlánc (A-B teszt?).
A html pedig az onerror=”document.location.href=window.atob(‘XYZ’) trükköt alkalmazva próbál egy BASE64-el elkódolt, .info domain alá tartozó weboldalra irányítani, amely legjobb tudomásom szerint jelenleg is aktív (persze már 404-et ad), a szerver IP címe alapján pedig Moszkvában található, de egy cseh szolgáltató is kötődik hozzá, a névszerverek Kínában vannak. Az átirányítás célpontját jelentő weboldalt 2021.10.07-én, vagyis a támadás napján jegyezték be. A levelek feladóinak Gmail-es email címének azonosítója egyébként úgy tűnik, hogy véletlenszerű karakterhalmazból áll.
A spam-támadásnak tehát egy különlegessége már van: egyáltalán nem akadt fenn sem a Gmail, sem a Protonmail spam szűrőjén. A másik érdekesség pedig a címzettek kérdése. Ahogy a 24.hu utalt rá: „a támadás a megszokottnál célzottabban érinti a magyar felhasználókat.”
Ez az esetemben egészen jól nyomon követhető: az egyik levél (hármat kaptam) 16 Gmail-es címzettje közül 3 – velem együtt – egészen biztosan magyar emberhez kötődik. Megpróbáltam egy kicsit utánanézni a többi címzettnek és a valódi arány ennél is érdekesebb. A címzettek között 2 cím valójában nem létezik (véletlenszerű karakterhalmaz), ebből az egyik eleve sérti a Google, felhasználónévre vonatkozó szabályait, vagyis létre sem jöhetett soha.
Marad tehát 14 cím. Ebből 6 cím különböző .xyz domain-on elérhető email listákon terjedő „bóvli” email cím, amik bár élnek, de valójában szinte biztos, hogy nincs mögöttük valódi személy. A maradék nyolc email cím viszont épp ellenkezőleg: nagyon is beszédes email cím, általában konkrétan beazonosítható személyeké.
– egy szlovák származású, ausztrál IT biztonsági szakember,
– egy kínai származású amerikai IT fejlesztő,
– egyértelműen magyar név, vélhetően a Nemzeti Közszolgálati Egyetem egyik munkatársa
– egy svájci határ melletti francia ajándékbolt tulajdonosa,
– egy brazil mérnök, egyetemi oktató,
– egyértelműen magyar név, vélhetően egy magyar egyetem közszolgálati tanszékén végzett szakember,
– egy litván név, névazonosság alapján üzletember, gimnáziumi tanár és IT szakértő is a lehetséges körben,
– egyértelműen magyar név, az én email címem.
Tehát a nyolc „értékes” email címből 3 magyar személyt célzott, ami mindenképp felülreprezentált, vélhetően a 24.hu is ilyen, vagy nagyobb arányt tapasztalt. Sőt, egy másik, általam kapott emailben, 18-ból 12 címzett egészen biztosan magyar volt. Mindazonáltal a támadott kör eleve lehetett szegmentált, vagyis pl. egy kiszivárgott magyar adatbázist hígítottak fel bóvli emailekkel, de nagyjából egyben tartották a címzetteket (olyannyira, hogy én mindjárt háromban is szerepelek).
Elképzelhető azonban, hogy más adatbázisoknál is így jártak el, vagyis máshol más rendező elv szerint voltak hasonlók a címzettek, és nem magyar specifikus a támadás. Mindenesetre nem használták ki a geolokációs egyezést a címzetteknél, például nem próbáltak meg magyar elnevezésű feladót és magyar elnevezésű csatolmányt alkalmazni. Egyébként pár nappal korábban nagyon hasonló spamek már terjedtek, ott a kód és a törzsszöveg szinte, a módszer teljesen azonos volt.
Hogy mennyi értelme van ennyire nyilvánvalóan kártékony spam-nek látszó spam-el támadni: nem tudom, mint ahogy azt sem, hogy mi vár(t) az óvatlanokra a célzott weboldalon. Egy biztos: érdemes ébernek maradni, és minden hasonló levelet potenciális veszélyforrásként kezelni,
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
