Sebab anda mendapat begitu banyak spam Gmail tentang penyejuk Yeti

Sejak beberapa bulan lalu, rakyat Amerika telah menerima e-mel yang menjanjikan mereka penyejuk beg galas Yeti percuma daripada Dick's Sporting Goods — nilai $325.

Tidak, anda belum memenangi penyejuk baharu.

E-mel ini telah mendapat banyak perhatian kerana ia kadangkala dapat mengelak penapis spam yang canggih, seperti yang terbina dalam GoogleGmail, tetapi ia adalah e-mel spam. Mereka direka untuk meminta mangsa memberikan nombor kad kredit mereka, yang akan dicuri.

Kempen spam ialah contoh bagaimana penipu semakin canggih dalam menyasarkan pengguna untuk menyerahkan maklumat peribadi mereka, kata Or Katz, penyelidik keselamatan utama di Akamai, yang diterbitkan baru-baru ini pandangan tentang cara kempen spam baru-baru ini berfungsi.

Walaupun tidak jelas bagaimana sebenarnya e-mel melepasi penapis spam, Katz berkata, kempen pancingan data ini menggunakan beberapa teknik canggih, termasuk penapis IP, hala semula dan pautan diperibadikan untuk mengelakkan lapisan perisian keselamatan yang direka untuk menandakan e-mel pancingan data sebagai berbahaya dan menghalangnya. daripada dihantar kepada pengguna.

Kempen itu juga menggunakan teknik baru untuk membenamkan hashtag, atau simbol paun, di dalam pautan untuk mengaburkan sifat berbahaya mereka, kata Katz.

"Penyelidikan ini menunjukkan penyerang mencipta teknik yang membolehkan mereka menjadikan kempen mereka lebih berkesan, atau malah mengelak beberapa pengesanan," kata Katz. "Dan pada masa yang sama mereka mencipta kempen yang lebih menarik, lebih boleh dipercayai [kelihatan], meletakkan lebih banyak usaha ke dalam butirannya."

Seorang wakil Google memanggil kempen pancingan data "berleluasa" dan "terutamanya agresif."

Kempen spam yang memukul peti masuk pengguna ialah satu lagi peringatan bahawa penipuan dalam talian ialah industri utama, didorong oleh wang, yang terus berkembang. Walaupun ramai pengguna mungkin percaya bahawa mereka akan melihat melalui penipuan yang menawarkan produk berharga secara percuma, sesetengah orang jatuh cinta atau penyerang tidak akan terus mencuba.

Pengguna di AS melaporkan kerugian lebih $5.8 bilion akibat penipuan pada 2021, menurut Suruhanjaya Perdagangan Persekutuan. Orang Amerika yang lebih tua melaporkan kehilangan lebih banyak wang daripada orang yang lebih muda, kata FTC.

Walaupun e-mel pancingan data seperti kempen yang lebih hebat adalah sebahagian kecil daripada jumlah itu, kategori penipuan yang paling biasa dilaporkan kepada FTC termasuk penipuan beli-belah dalam talian dan penipuan cabutan bertuah.

Di sebalik setiap e-mel palsu Yeti adalah seluruh industri penipu yang membangunkan perisian untuk memudahkan pencuri mencuba dan mencuri maklumat peribadi.

Industri spam termasuk orang yang menulis dan mengendalikan perisian spam dan pasaran gelap untuk bukti kelayakan yang dicuri seperti kad kredit.

“Musuh sangat didorong oleh wang. Dan mereka mempunyai kilang dan ekonomi mereka sendiri, seperti yang kita panggil. Kilang-kilang itu ialah kilang-kilang yang mencipta kit alat pancingan data dan menggunakannya, dan ekonomi ialah mereka yang menjualnya atau menjualnya semula dan menggunakannya di alam liar dan mendapatkan wang daripada itu,” kata Katz.

Kit alat pancingan data ialah perisian yang memudahkan untuk mentadbir pelayan spam dan menghantar e-mel. Kit alat di sebalik serangan baru-baru ini adalah agak canggih, dan pembangunnya jelas mengetahui dan bertindak balas terhadap cara penyelidik keselamatan cuba menghapuskan spam, menurut Akamai.

Kit menggunakan kejuruteraan sosial dan beberapa teknik untuk mengelakkan alat pengesanan seperti pengimbas URL atau perangkak keselamatan.

Pautan di dalam e-mel, selalunya tersembunyi dengan perkhidmatan memendekkan URL, menyemak untuk memastikan pengguna berpangkalan di Amerika Utara. Kemudian ia menghantar pengguna melalui satu siri URL yang berbelit-belit, secara automatik mengubah hala pengguna ke tapak penipuan terakhir, supaya penyemak URL automatik tidak boleh membenderakannya sebagai pautan berbahaya.

Pautan ubah hala bersarang juga membenarkan penyerang menukar infrastruktur dengan segera jika sebahagian daripadanya ditemui atau dinyahaktifkan. Kadangkala, ubah hala melalui pembekal awan yang dipercayai, menggunakan reputasi syarikat perkhidmatan web yang sah untuk mengaburkan penipuan.

Selain itu, e-mel dan tapak web yang digunakan bersama kit direka dengan baik berbanding kempen pancingan data yang lain, dengan grafik berkualiti tinggi, testimoni "pelanggan" dan penggunaan haram jenama dan tanda dagangan yang mantap dan boleh dipercayai, meningkatkan peluang ia boleh menipu seorang mangsa.

Akhirnya, syarikat keselamatan perusahaan mengetahui tentang semua teknik spam baharu, dan e-mel spam akhirnya ditambahkan pada senarai hitam atau dibenderakan di dalam sistem sebagai berniat jahat. Tetapi semakin lama masa yang diambil untuk pembekal e-mel dan infrastruktur lain untuk bertindak balas, semakin banyak wang yang dibuat oleh "kilang" dalam masa yang sama.

"Ia adalah sejenis permainan kucing-dan-tikus," kata Katz.

Penyelidikan Akamai melihat tempoh masa antara September hingga akhir Oktober, tetapi kempen itu nampaknya masih menghantar spam, menurut laporan media sosial. Selain itu, penipuan pancingan data yang memfokuskan kepada pengguna cenderung meningkat semasa musim cuti, mengambil kesempatan daripada sentimen percutian dan cuba untuk menggabungkan dengan promosi sebenar, menurut Akamai.

Akhirnya, kempen khusus ini akan hilang. Sementara itu, pengguna boleh melindungi diri mereka dan keluarga serta rakan mereka yang mungkin terdedah.

Pertama, kata Katz, adalah untuk menyedari bahawa jika tawaran terlalu bagus untuk menjadi kenyataan — penyejuk nama jenama percuma, sebagai contoh — ia mungkin benar.

Penyelesaian kedua adalah lebih teknikal: Pengguna harus melihat butiran e-mel, termasuk pengirimnya dan URL tapak web yang akhirnya dibuang pautannya. Pembekal Internet juga mungkin menawarkan perkhidmatan yang boleh membantu menghalang penipuan daripada melaluinya. (Biasanya, e-mel penipu menggunakan rentetan huruf rawak untuk nama domain.)

Jenama juga perlu berhati-hati untuk menghalang penipu daripada merangka reputasi mereka dan mencederakan pelanggan mereka.

Musim luruh ini, Dick's Sporting Goods mengeluarkan amaran keselamatan di tapak webnya yang memberi amaran kepada pelanggannya tentang spam penipuan. "Penipu baru-baru ini telah menghantar e-mel kepada sejumlah besar pengguna AS yang menyamar sebagai syarikat terkenal, termasuk DICK'S," syarikat itu berkata di laman webnya.

“DICK'S tidak meminta maklumat daripada pelanggan kami dengan cara ini. Anda tidak sepatutnya membalas atau mengikuti mana-mana pautan yang terkandung dalam mesej sebegitu,” ia menyambung, sambil menambah bahawa semua e-mel rasmi akan datang daripada nama domain rasmi Dick.

Seorang wakil Yeti tidak segera mempunyai ulasan.

Google berkata bahawa kempen spam tidak terhad kepada peruncit tetapi juga menyamar sebagai syarikat perkapalan dan entiti kerajaan. Seorang wakil memberitahu CNBC bahawa pengirim spam menggunakan "infrastruktur platform lain" untuk mencipta laluan bagi spam, tetapi Gmail pada masa ini menyekat sebahagian besar e-mel berbahaya.

"Walaupun kami melihat jenis kempen ini secara kerap, kempen ini sangat agresif dan kami menjangkakan untuk melihatnya berterusan pada kadar yang tinggi sepanjang musim cuti," kata jurucakap Google dalam satu kenyataan. "Kami menggesa sesiapa sahaja yang menggunakan e-mel untuk terus berhati-hati semasa membuka mesej dan pengguna Gmail boleh memanfaatkan fungsi spam laporan."