Come hanno fatto gli spammer a ottenere questo indirizzo?

Naviga le tue risposte
11

Alcuni mesi fa ho configurato un server di posta di prova su Amazon AWS, tutto legittimo. Ho usato un nuovo indirizzo nel mio dominio catchall (qualcosa di simile a, ma non esattamente, [email protected]) .

Ora ho iniziato a ricevere posta spam proprio a quell'indirizzo. È altamente improbabile che uno spammer abbia "indovinato" quell'indirizzo. In che modo lo spammer ha ottenuto quell'indirizzo?

Si noti che ho usato la macchina virtuale standard LTS di Ubuntu Server 12.04 come fornita da Amazon. Il server si trovava su uno speciale Security Group di test (come un firewall hardware in Amazon Web Services) che consente l'accesso mondiale alle porte 25 (legacy SMTP), 80, 443, 465 (SSL SMTP) e 587 (SMTP) ma non altre. Nello specifico, le porte 22 (SSH), 993 (SSL IMAP) e tutto il resto sono accessibili solo dall'indirizzo IP del nostro ufficio .

Inoltre, il computer utilizzato per inviare e ricevere dal server di prova è una macchina Kubunu Linux, quindi dubito che la macchina stessa sia stata infettata da malware. Tutta la posta è stata inviata e ricevuta in Thunderbird, quindi un plugin del browser compromesso sembra improbabile.

Suppongo che la posta potrebbe essere stata intercettata in transito. Sebbene la maggior parte dei test sia stata eseguita su SSL, c'erano almeno due email scaricate su IMAP sulla porta 143 senza SSL. Questa è la superficie di attacco più probabile? Sto ignorando altre potenziali superfici di attacco?

EDIT: aggiungendo alcune informazioni per rispondere ai commenti.

  1. Il server (in realtà la macchina virtuale in esecuzione nel cloud AWS di Amazon) è stato creato, testato e dismesso tutto in un solo giorno lavorativo, da immagini (appliance virtuali) di Amazon. Trovo altamente improbabile che l'immagine del server sia stata compromessa dal momento che utilizzo la stessa immagine su altri server, ed è una delle più comuni immagini di server Amazon (Ubuntu Server 12.04 64-bit).

  2. L'indirizzo email non è mai stato esposto tramite Apache. In effetti, non ricordo di avere installato Apache sulla scatola, anche se è possibile che l'abbia fatto. In ogni caso, ho certamente non eseguire alcuna configurazione di Apache come l'impostazione dell'indirizzo email per "admin di contatto".

  3. L'unica e-mail inviata tramite la macchina erano alcune e-mail di prova per l'account in questione dal mio normale account di posta elettronica in Thunderbird e alcune risposte a tali e-mail (anch'esse fatte in Thunderbird). Le e-mail sono state inviate e ricevute sia tramite connessioni protette da SSL che non protette (SMTP e IMAP).

posta dotancohen 27.01.2014 - 10:14
fonte

3 risposte

9

Se si tratta di un indirizzo catch-all, non è necessario l'indirizzo effettivo. L'intero punto di un indirizzo e-mail catch-all è che cattura tutta la posta che altrimenti non sarebbe possibile recapitare. Se si dispone di [email protected] impostato come catch-all, quindi se ho inviato un'e-mail a [email protected], si otterrebbe il messaggio nella cassetta postale super segreta a meno che non si sia verificato un bob e-mail account.

Gli indirizzi catch-all in genere non devono essere utilizzati come indirizzo di posta principale. Il punto di tutti gli indirizzi è quello di vedere se le persone stanno cercando di ottenere di te da qualche altro indirizzo (buono per trovare persone che cercano di connettersi a account dead per esempio), tuttavia sono sempre inondati da spammer che regolarmente inviano spam indirizzi e-mail comuni a qualsiasi nome di dominio registrato.

Se inviano specificamente a quell'indirizzo, è possibile che il tuo server di posta stia rivelando l'indirizzo generale nel modo in cui risponde ai server che stanno tentando di inviare posta.

    
risposta data 27.01.2014 - 16:11
fonte
0

Vorrei controllare la tua workstation per il malware. Ovunque dove quell'indirizzo era un mittente o il destinatario è un candidato.

È comune che il malware sulla tua stazione di lavoro raccolga gli indirizzi email per lo spam, che include la scansione di documenti, rubriche, messaggi di posta salvati e il monitoraggio del traffico di posta.

    
risposta data 28.01.2014 - 05:52
fonte
-2

Ecco alcuni metodi usati da uno spammer per estrarre l'indirizzo email di un utente reale:

  • Scansione del Web per @ sign con l'aiuto della raccolta programmi / applicazioni.
  • Comprare illegalmente l'indirizzo email dai fornitori di ISP tramite dishonest
    dipendenti.
  • Utilizza un dizionario o programmi di forza bruta come quello utilizzato da hacker.
  • Raccoglie l'ID e-mail dalle piattaforme di registrazione / iscrizione gratuite
  • Usando virus / worm backdoor.
  • Tramite canali social.

In breve, ogni piattaforma in cui è possibile registrare il proprio ID di posta viene utilizzata dagli spammer per raccogliere l'indirizzo di posta elettronica di aziende, utenti, ecc. Quindi è consigliabile utilizzare Words (nome dot Gmail Dot Com) o Images per visualizzare l'indirizzo email . La maggior parte dei raccoglitori / virus o programmi creati per raccogliere indirizzi e-mail non possono leggere questi formati mentre cercano il segno "@". Gli spammer raggiungono la maggior parte degli utenti di computer tramite posta indesiderata e si può finire per avere una grave infezione. Pertanto, è importante per i webmaster, le aziende, le piccole e grandi aziende di e-business utilizzare software / servizi di prevenzione dello spam come Scrapesentry ( link ) , Akismet ( link ), Proofpoint, ecc. Sulle loro piattaforme social / professionali.

    
risposta data 30.01.2014 - 11:01
fonte

Leggi altre domande sui tag

Qual è la differenza tra HSM e Key Server? Interruzione sandbox del codice eval PHP