Roskapostin väärinkäyttö .gov URL-lyhentämispalvelu työssäkäyvien huijausten yhteydessä

Roskapostin lähettäjät ovat löytäneet tavan käyttää väärin URL-lyhentämispalvelua, joka on tarkoitettu Yhdysvaltojen hallituksen sosiaalisen median toimintoihin, jotta veneet rogue.gov URL-osoitteita työpaikkakysymyksissä.

Symantecin turvallisuustieteilijät ovat havainneet uuden sähköpostin roskapostikampanjan, joka yrittää huijata käyttäjiä vieraileviksi URL-osoitteiksi 1.usa.gov-verkkotunnuksella. Tämä verkkotunnus on luotu USA: n hallituksen, Yhdysvaltain hallituksen virallisen verkkosivuston ja Bitly URL shortening -palvelun välisen kumppanuuden tuloksena.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Mukaan kun käyttäjä käyttää Bitly.comia lyhentämään URL-osoitteita, jotka lopettavat.gov tai.mil-palvelun, palvelu luo shortsit URL-osoitteen 1.usa.gov-verkkotunnuksen alle.

"Lyhyt URL-osoite voi viedä käyttäjän luotettavaan sivustoon tai roskapostiviestiin, mutta käyttäjä ei voi millään tavoin tietää ennen kuin napsauttaa. Siksi USA.gov on helpottanut ihmisten luomaan lyhyitä, luotettavia URL-osoitteita, jotka vain viittaavat Yhdysvaltojen virallisiin virallisiin tietoihin. "

Näyttävät kuitenkin siltä, ​​että roskapostittajat ovat selvittäneet tapaa käyttää väärinkäytöksiä palvelun ja luodun luottamuksen, joka liittyy.gov-URL-osoitteisiin hyödyntämällä joidenkin.gov-sivustojen löytämiä avoimia uudelleenohjauskäsikirjoituksia.

WWW-sivuston omistajat käyttävät uudelleenohjauskäsikirjoituksia, jotta he voivat seurata sivustoissaan lueteltujen kolmansien osapuolten URL-osoitteiden napsautuksia ja näyttää varoituksia että he lähtevät verkkosivuilta tai muille tarkoituksille. Nämä komentosarjat jätetään kuitenkin suojaamattomiksi ja ovat avoimia kaikille kohteille, mikä johtaa ns. Avoimiin uudelleenohjausleikkauksiin.

"Käyttämällä avoimen uudelleenohjauksen haavoittuvuutta, roskapostittajat pystyivät määrittämään 1.usa.gov-URL-osoitteen, joka johtaa roskapostin verkkosivuille ", Symantec-tutkija Eric Park sanoi perjantaina blogikirjoituksessa. Erityisesti roskapostittajat käyttivät avoimen redirect-komentosarjan Vermontin työministeriön viraston verkkosivustolta - lab.vermont.gov, hän sanoi.

Ensinnäkin tämän kampanjan takana olevat roskapostittajat loivat huijausverkkoja, jotka naamioituivat talousuutisivustoina, jotka sisältävät artikkeleita työmahdollisuuksista kotona. Tämäntyyppinen huijaus on ollut jo vuosia, ja sen tavoitteena on saada käyttäjiä maksamaan aloituspakkauksia tai palveluiden tilauksia, jotka väittävät, että he voivat aloittaa rahaa Internetissä työskentelemällä kotitietokoneellaan.

tässä kampanjassa isännöi verkkotunnuksia, kuten consumeroption.net, consumerbiz.net, workforprofit.net, consumerneeds.net, consumerbailout.net ja muut.

Roskapostin lähettäjät käyttivät avoimen uudelleenohjauksen haavoittuvuutta labor.vermont.gov-sivustossa luomaan URL-osoitteet lomakkeen lab.vermont.gov/LinkClick.aspx?link=[scam-sivustosta]. Nämä URL-osoitteet kulkivat sitten Bitly-sivuston avulla 1.usa.gov-lyhyen URL-osoitteen luomiseksi, jolloin luotiin kaksivaiheinen uudelleenohjausketju.

"Käyttämällä URL-lyhenteitä tai avoimen uudelleenohjauksen haavoittuvuutta ei ole uusi taktiikka, se, että roskapostittajat voivat käyttää.gov-palvelua omien linkkiensa tekemiseen, on huolestuttava. "

Tässä roskapostikampanjassa käytettyjen Bitly for the Rogue 1.usa.gov -tietokannan julkiset tilastot osoittavat, että linkit olivat on napsauttanut 43 049 kertaa lokakuun 12. ja lokakuun 18. päivän välillä, ja merkittävä napsautusluku on 18. lokakuuta.

"Neljä ensimmäistä maata päivittäin olivat Yhdysvallat, Kanada, Australia ja Iso-Britannia, "Park sanoi. "Yhdessä Yhdysvalloissa suurin osa oli 61,7 prosenttia klikkauksista."

Googlen URL-osoitteet saattavat innostaa suurempaa luottamusta. Käyttäjät pitävät kuitenkin aina varovaisuutta, kun avaavat linkkejä, riippumatta siitä, missä he näyttävät osoittavan, Park sanoi.