Спам с форума "ПОЛУЧИТЕ ВЫПЛАТУ"

[polym0rph]

С 11 февраля с наших серверов с адреса no-reply@bits.media мог приходить спам на почтовые ящики.

Спам письма имели заголовок "ПОЛУЧИТЕ ВЫПЛАТУ" и выглядели примерно так:

 

Когда нам поступили жалобы от пользователей, начали расследовать инцидент, поняли, что действительно письма уходят из форума.

Оказалось, что данный инструмент для спама был заботливо оставлен разработчиками движка. У каждого топика внизу есть кнопки шаринга. Там же была кнопка отправить на емейл:

 

И если для просто посетителей сайта там была хотя бы капча, то для зарегистрированных пользователей была просто форма отправки письма, в которой можно было поменять вообще все поля, вписав свой текст, и отправлять на любую почту:

 

 

Собственно, написать скрипт для отправки спама с помощью такого шикарного инструмента проблем не составляет, что злоумышленник и сделал, разослав около двух миллионов писем.

Нас уже заблокировали многие почтовые сервисы, придется сейчас с ними объясняться. Кстати в данном случае есть следы и вполне реальные шансы получить злоумышленнику 272-ую статью УК, случаи такие уже были, изучил вопрос. Вот думаю обращаться в органы или как. Если кто-либо пострадал из-за мошеннических сервисов, рекламируемых в спам письмах, напишите мне на admin@bits.media

 

Прошу прощения у всех, кто получил подобный спам с нашего сервиса.

Данную возможность отправки писем, используя наш форум, мы перекрыли. Никаких иных следов взлома или чего-то подобного не выявлено.

 

[alzov]

Мутная тема, а что там по ссылке было? Вредонос? Т.е пострадавшие есть? Или просто спам зазывание в лохотрон?

 

По поводу УК, Де-Юре и де-факто спамил почтовый ящик форума, тут при обращении в органы как бы самим не отмазываться от 272 ибо злоумышленник не использовал подмену почты или фейк почту, именно с вашего ящика слали, он не взламывал форум и не выгружал вам эксплойты, пользовался штатными средствами форума, фактически как доказать его вину? Там какие-то логи ведутся в этом движке? Что именно через шаринг темы он отправлял? Или просто опытным путём выяснили когда искали как такое могло произойти?

 

Ну и второе, вроде крупный ресурс и постоянно какая-то работа ведётся ( внешне ничего не происходит ) вроде и люди компетентные, а ШТАТНЫЙ функционал движка спустя 2 года ни Админ ни команда не знают и не владеют вообще что за кнопочки, вот это странно....

Успели отправить аж 2млн!!!!! Писем!!!! Ни нагрузку на сервер/канал никто не смотрит? Трафик?( зато вахта бдит)

Если есть пострадавшие они могут обратиться в полицию не уведомляя форум. 
 

Думаю стоит указать что было по ссылке в теме и какие последствия могут быть! Вот это действительно серьезно и важный этап! Т.е есть ли смысл менять пароли,  могли ли быть скомпроментированы кошельки и так далее или просто спам зазывание куда-то.

 

Следы то какие человек оставил? Если РУ сегмент IP  то может чего и найдут( если человек со своего компа делал(хотя долбить 2 млн писем скриптом думаю с дедика работал) если не РУ то наверное без вариантов.

 

Раз Администрации не хватает сил/людей, можно объявить награду за баг хантинг это нормальная практика на западе. За не критичный баг чисто символическую сумму, за баг угрожающий безопасности форума/данных форумчан что-то по серьезнее, людей компетентных полно, так сказать аудит проведут безопасности.

[polym0rph]

59 минут назад, alzov сказал:

По поводу УК, Де-Юре и де-факто спамил почтовый ящик форума, тут при обращении в органы как бы самим не отмазываться от 272 ибо злоумышленник не использовал подмену почты или фейк почту, именно с вашего ящика слали, он не взламывал форум и не выгружал вам эксплойты, пользовался штатными средствами форума, фактически как доказать его вину?

Нет такого, что спамил ящик. Есть действия человека, которые можно классифицировать как противозаконные. В том числе с помощью законных инструментов. Легальная ножка от табуретки в случае фигурирования в деле о пробития ей головы, будет описана как примененная как холодное оружие дробящего действия, а сядет человек, который ее собственно применил. Хотя сама по себе ножка это легальный хоз.быт. предмет.

 

Форма отправки писем была применена не по назначению, не для отправки себе письма о топике, а для массовой рассылки нежелательно корреспонденции людям, которые на это согласия не давали, для чего дополнительно использовались средства автоматизации, его отправленные POST запросы залогированы и сохранены. Действия совершали не мы, т.е. нашей вины нет, но кто хочет - может написать заявление. Все равно в начале будем привлекаться как свидетели и дадим показания о реальном положении дел.

 

59 минут назад, alzov сказал:

Ну и второе, вроде крупный ресурс и постоянно какая-то работа ведётся ( внешне ничего не происходит ) вроде и люди компетентные, а ШТАТНЫЙ функционал движка спустя 2 года ни Админ ни команда не знают и не владеют вообще что за кнопочки, вот это странно....

Работа ведется каждый день. И огромное количество косяков, в том числе в безопасности, закрыто. Думаю досконально весь код и функциональность IPS полностью на данный момент не знает ни один человек, включая любого из их разработчиков.

 

59 минут назад, alzov сказал:

Успели отправить аж 2млн!!!!! Писем!!!! Ни нагрузку на сервер/канал никто не смотрит? Трафик?

Что по трафику, что по нагрузке на серверы это мелочь для такого ресурса как наш. Мониторинг сейчас допиливаем по этой части. Мониторингом так-то много чего обложено, но пока какой-нибудь факап не произойдет, все равно чаще всего не узнаешь, какие именно показатели и на что стоит мониторить.

 

59 минут назад, alzov сказал:

Думаю стоит указать что было по ссылке в теме и какие последствия могут быть! Вот это действительно серьезно и важный этап! Т.е есть ли смысл менять пароли,  могли ли быть скомпроментированы кошельки и так далее или просто спам зазывание куда-то.

Рекламировался мошеннический сервис scompblogiumburse20.icu который якобы помогает получить компенсацию за утекшие данные с социальных сетей. Разводка тупая до безобразия

 

Потом конечно надо указать карту, на которую якобы должен уйти платеж.

 

 

Но вот беда, SSN номера у не американцев нет, так что надо купить временный SSN номер социального страхования

 

 

Конечно, нам любезно дают возможность оплатить рублями на сайте as-payform.xyz, чего собственно мошенники добиваются, собирают данные по платежным картам.
 

 

Разводка не новая, есть подобные "сервисы" и русскоязычные типа "Объединенный Компенсационный Фонд", но смысл тот же.

Дополнительно на сайте есть видео, как нужно этим мошенническимсервисом пользоваться youtube.com/watch?v=tPml2-KM8mk абузу по этому видео в ютуб уже направил.

[YoshCat]

5 часов назад, polym0rph сказал:

С 11 февраля с наших серверов с адреса no-reply@bits.media мог приходить спам на почтовые ящики.

Спам письма имели заголовок "ПОЛУЧИТЕ ВЫПЛАТУ" и выглядели примерно так:

 

Парам-пам-пам!

 

[Ainz]

Я уж подумал, что это "получите выплату" уже давно сдохло. А нет, оказывается есть олени, которые ведутся. Что за персонажи с отрицательным IQ, интересно?

[DevCat]

18 минут назад, Balthazar сказал:

Я уж подумал, что это "получите выплату" уже давно сдохло. А нет, оказывается есть олени, которые ведутся. Что за персонажи с отрицательным IQ, интересно?

в основном это дедушки, бабушки.... 

[alzov]

2 часа назад, Balthazar сказал:

Я уж подумал, что это "получите выплату" уже давно сдохло. А нет, оказывается есть олени, которые ведутся. Что за персонажи с отрицательным IQ, интересно?

Странно что там все на английском, т.е целевая аудитория не поймет че там написано и закроет, а кто знает английский тоже закроет?

[polym0rph]

44 минуты назад, alzov сказал:

Странно что там все на английском, т.е целевая аудитория не поймет че там написано и закроет, а кто знает английский тоже закроет?

Ссылка ведет на якобы блог на русском, который объясняет, как этим лохотроном пользоваться -scompblogiumburse20.icu/blog/ Блог собственно на том же сайте, просто отдельной страницей оформлен.

Ютуб на две абузы так и не отреагировал на данный момент.

[HolodGLD]

17 часов назад, polym0rph сказал:

Вот думаю обращаться в органы или как.

Я бы посоветовал "или как".

Вопрос репутации же.

Если ничего не делать, то другую дыру найдут.

Edited 13 Feb 2020, 18:47 by HolodGLD