09/08/2019

Spam dostarczany za pośrednictwem strony internetowej Twojej firmy

Biznes MŚP

Spamerzy ciągle szukają nowych sposobów rozprzestrzeniania wiadomości spamowych, które mogą ominąć filtry. Starają się oni przygotować wiadomość tak, aby wyglądała, jakby została wysłana od źródła, które nie jest na celowniku filtrów spamu. Na przykład próbują oni wysyłać spam z adresów firmowych, poprzez firmowe strony internetowe. poniżej opisujemy metody, które zyskują na popularności.

Dziś niemal każda firma chce poznać opinię swoich klientów, aby np. móc ulepszać swoje usługi czy zatrzymać klientów. W tym celu przedsiębiorstwa zwykle udostępniają na swoich stronach specjalne formularze. Dzięki nim użytkownicy mogą zadać pytanie, podzielić się swoimi sugestiami, zapisać się na firmowe wydarzenie, subskrybować otrzymywanie newslettera czy otrzymywanie wiadomości. Tymczasem osoby o złych zamiarach próbują wykorzystać wspomniany mechanizm do rozsyłania spamu wśród całkowicie niepowiązanych osób lub firm.

W jaki sposób atakujący mogą użyć Twojej strony internetowej do wysyłania wiadomości

Mechanizm ataku jest bardzo prosty. Z reguły zanim użytkownik może skorzystać z serwisu online, zapisać się na listę mailingową czy zadać pytanie za pośrednictwem firmowej strony internetowej, musi najpierw się zarejestrować. Oznacza to, że musi podać przynajmniej swoje imię i nazwisko, jak również adres e-mail. Po przejściu pierwszego etapu rejestracji firma wysyła pocztą e-mail wiadomość potwierdzającą. Tymczasem spamerzy wymyślili, jak dodać do takich wiadomości własne informacje.

Jako adres rejestracyjny podają oni adres e-mail ofiary, a w polu przeznaczonym na podanie imienia wprowadzają swoją wiadomość reklamową — na przykład „Trwa wyprzedaż arkuszy żelaza. Wejdź na http://sheetiron.su”. Mechanizm rejestracyjny wysyła wiadomość potwierdzającą do ofiary. Wiadomość zaczyna się sympatycznie: „Witaj, trwa wyprzedaż arkuszy żelaza. Wejdź na http://sheetiron.su! Potwierdź swoją chęć rejestracji…”. Jeśli sztuczka z użyciem formularza rejestracyjnego pojawia się na stronie firmy budowlanej, sytuacja wygląda bardzo wiarygodnie.

Ewolucja szkodliwego wykorzystywania formularzy kontaktowych

To niesamowite, że to nowe narzędzie spamerów powstało w celu walki ze spamem. Kiedyś, na początku ery internetu, narzędzia do wyrażania swojej opinii na stronie internetowej wyglądały jak księga gości, w której każda osoba mogła coś napisać — więc zaczęli z nich korzystać także dowcipnisie i spamerzy. Wtedy eksperci ds. bezpieczeństwa stron postanowili, że goście muszą najpierw obowiązkowo się zarejestrować. W odpowiedzi atakujący zaczęli tworzyć programy, które automatycznie rejestrowały użytkowników na fikcyjne adresy e-mail, co umożliwiło im dalsze spamowanie firmy, do której należała strona.

Autorzy stron zaczęli wymagać od użytkowników potwierdzania swoich adresów e-mail. I to właśnie ten mechanizm wykorzystują teraz spamerzy do rozsyłania wiadomości. W takiej sytuacji na firmowy adres e-mail nie trafia nic; dane użytkownika, które zostały zebrane podczas procesu rejestracji, są rejestrowane w bazie danych, a ofiary otrzymują coś takiego:

Korzyści dostarczania spamu przez firmowe strony internetowe cieszące się dobrą opinią

Niemal każda firma, która chce zwiększyć liczbę nowych klientów poprzez internet i utrzymać istniejących użytkowników, przykłada dużą uwagę do swojej strony internetowej. Duże znaczenie ma wygląd strony, znajdują się na niej treści i łatwość użytkowania. Zwykle firmy dokładnie monitorują reputację swoich stron internetowych. Jednak uwagę atakujących przyciąga ich nienaganna reputacja.

Wiadomości, które są wysyłane z wiarygodnego zasobu, zwykle przechodzą przez filtry antyspamowe; mają one status oficjalnych wiadomości z wiarygodnej strony. Wszystkie techniczne nagłówki w wiadomości są całkowicie uzasadnione. Ponadto ilość rzeczywistych treści o charakterze spamowym w wiadomości (na które mogłyby zareagować filtry) jest stosunkowo niewielka. Proces klasyfikowania jako spam uwzględnia wiele różnych czynników, a ponieważ w tej sytuacji przeważa autentyczność wiadomości, bez problemu przechodzi ona przez filtry.

Taka metoda dostarczania spamu staje się ostatnio coraz popularniejsza wśród oszustów. Zaczęli oni nawet oferować ją jako usługę: dostarczenie Twojej reklamy poprzez formularze kontaktowe.

Spam wysyłany poprzez Twoja stronę zagraża Twojej firmie

W takich okolicznościach na szwank narażona jest nie tylko reputacja Twojej firmy, ale również odczucia Twoich klientów. Po pierwsze, jeśli w Twoim imieniu wysyłane są powiadomienia o rejestracji zawierające jakieś natrętne reklamy, ich odbiorcy (którzy wiedzą, że nie wypełniali formularza rejestracyjnego na Twojej stronie) mogą pomyśleć, że Twoja firma należy do tych, które trudnią się wysyłaniem spamu.

Po drugie, czasami spamerzy dodatkowo kompromitują Twoją firmę, wprowadzając w polu przeznaczonym na podanie imienia łącza phishingowe prowadzące do oszukańczych treści, a nawet szkodliwy kod — co może mieć dla ofiary jeszcze gorsze konsekwencje.

Czasami oszuści mogą celowo podawać nazwę firmy, rujnując w ten sposób jej reputację. Na przykład metoda ta może zostać użyta do wysyłania wiadomości do klientów firmy, w których informuje się o nieistniejących promocjach i nagrodach. Ponieważ takie oszukańcze wiadomości pochodzą z legalnego źródła, wiele osób jest w stanie uwierzyć w nie.

Jak sprawić, aby strona internetowa nie stała się narzędziem do spamowania?

Najpierw sprawdź, jak działają formularze kontaktowe na Twojej stronie. W tym celu przeprowadź prosty test. Przejdź do odpowiedniego formularza na stronie i zarejestruj się, podając prywatny adres e-mail. W polu imienia wprowadź następującą wiadomość: „Sprzedaję swój garaż…”. Dołącz adres strony internetowej i numer telefonu. Następnie sprawdź, co dokładnie zostało wysłane na Twoją skrzynkę pocztową, aby dowiedzieć się, czy istnieją jakieś mechanizmy weryfikacyjne dla tego rodzaju informacji.

Jeśli otrzymasz wiadomość, która zaczyna się zwrotem „Dzień dobry, sprzedaję swój garaż…”, skontaktuj się z osobami odpowiedzialnymi za techniczne oblicze strony i przypomnij im, że imiona prawdziwych, żyjących osób nie mogą zawierać cyfr, średników, ciągów typu http:// oraz innych podobnych symboli. Dlatego muszą oni wdrożyć proste mechanizmy wprowadzanego tekstu, które wygenerują błąd, gdy użytkownik spróbuje zarejestrować się pod nazwą zawierającą niedopuszczalne znaki lub elementy. Programiści mogą z łatwością wprowadzić takie narzędzia kontroli na Twojej stronie lub w mechanizmie wysyłania e-maili.

A gdyby programiści coś jeszcze przegapili, zastanów się nad przeprowadzeniem audytu swojej strony, którego celem jest wyszukanie luk.