Freelosophy. Free Minds.
Credo di averlo già scritto altre volte: mi piace di tanto in tanto dare un’occhiata allo spam.
Se sei un addetto ai lavori vedi tendenze, novità, affinamenti, nuove tecniche e nuove sfide, non solo messaggi di spam.
Questa, ad esempio
è semplice e geniale (sì, qualche gonzo che clicca ci sarà di sicuro ma solo per fare unsubscribe, ovviamente 
).
Joomla è un CMS open che non ha bisogno di presentazioni. Attualmente è stata appena rilasciata la versione 1.5.20 e continua a presentare una limitazione by design: le registrazioni al portale possono essere abilitate o disabilitate, abilitate con spedizione di link di attivazione o senza necessità di conferma. Nativamente però non offre la possibilità di un controllo sulla bontà della mail specificata nel modulo di registrazione né di consentire agli amministratori di sistema di moderare le nuove iscrizioni.
Oltre ad installare suite molto avanzate come jomsocial o Community Builder, poter contare su un workflow che consentisse queste verifiche non è cosa banale.
Dopo l’ultimo attacco di spambot (si sono registrati in centinaia, hanno confermato l’iscrizione e persino pubblicato il loro messaggio di spam sul forum) ho deciso di approfondire.
Questa volta vi scrivo con il duplice cappello di addetto ai lavori e di vittima.
Vi ricordate qualche mese fa quanti account erano stati bucati? La driatriba con il presunto ruolo della Cina?
Bene. Stanotte hanno violato il mio account google e hanno spedito questo messaggio a tutta la mia rubrica, ovviamente.
Dear friend,
How are you doing now?
I bought a notebook from the website last week www.krrshop.com
I have received the product in time.
Not only its quality is very good,but alsoits price is very low.
They also sell phone,TV,handheld game player,motorcycle and
musical instruments.
They import products from USA, Japan and South Korea,and they import
the bestsellers.
They have a good reputation,and offer the good suggest to the
customers for the purchasing.
If you want to buy any product,it is the good choice to browse the website.
It is conviced that you will get benefits and joys.
Greetings!
Per quanto poco credibile mi scuso con tutti per l’intrusione involontaria.
Se avevo dubbi, mi son passati guardando il log delle connessioni a gmail:
Connessioni dalla cina (clicca per ingrandire)
Cambiata la password, ovviamente.
NOTA ALLARMANTE: la password era stata cambiata recentemente e successivamente a quando vi fu la prima ondata di account bucati. Pertanto, suppongo che non ero rimasto in lista nella to-do ma che abbiano sfruttato una nuova vulnerabilità. Che è peggio.
****Aggiornamento 1 ****
Dopo 2 giorni, 2 mail e diversi contatti via moduli e forum, anche google ha notato qualcosa di anomalo:
Rovisto sempre tra i commenti ritenuti spam alla ricerca di eventuali falsi positivi e di nuove tipologie, frequenze e modalità di attacco distribuito.
Nel primo caso, riscontro solo 1-2% di falsi positivi. Per quanto riguarda l’analisi, nonostante sia solo un rapido sguardo e controllo di IP, provenienza e contenuti spesso è sufficiente per avere evidenza di botnet al lavoro, flooding e tecniche per bypassare i controlli antispam.
L’ultima (per quanto mi riguarda) in ordine cronologico e particolare come tecnica è quella di ricopiare più o meno alla lettera un commento esistente già approvato: linguaggio attendibile e contestuale al blog ed al post.
Spam Michelle (clicca per ingrandire)
Dalla Croazia all’Indonesia (IP rimossi dallo screenshot), stesso “autore”, stessa mail e sito web di riferimento, stessa tecnica su differente post: tutto fa pensare a botnet assoldate appositamente.
E’ il quinto tentativo in due giorni: che sia un nuovo trend?
offline
Commenti spam: nice try. Try again
Ne cancello a centinaia ogni giorno.
Sarò masochista ma mi piace scorrerli anche molto rapidamente ma non elimino mai senza dare prima un’occhiata.
Il motivo è chiaro: osservare tendenze, affinamenti e cambiamenti.
Ultimamente si notano i commenti in risposta ad altri commenti che citano alcune frasi del post originale.
Ultima chicca è la signature “Sent via my [Android|iPhone| BlackBerry] device” (scegli tu un apparato a piacere).
Sono tornati in voga i finti trackback, per non farci mancare nulla.
Interessante il tentativo di localizzazione:
Bastava non eccedere…
Stay tuned.