Email spam destinato a un paio di utenti

2

Due utenti del mio dominio ricevono e-mail di spam che hanno entrambe le loro e-mail nei campi A: e / o CC :. Ci sono molti altri utenti nel dominio, ma solo questi due stanno ricevendo email di spam. I due account non sono esclusivamente collegati o associati (ad esempio solo due di loro appartengono allo stesso gruppo)

Negli ultimi giorni, entrambi hanno ricevuto centinaia di messaggi (essenzialmente gli stessi messaggi). C'è un filtro antispam sul server di posta in atto ma è il fatto che entrambi stanno ricevendo gli stessi messaggi spam di cui mi sto chiedendo.

Le intestazioni indicano che provengono da server di spam in tutto il mondo. Ogni email è diversa (campione copiato di seguito, sostituito informazione privata con mail.mydomain.com ecc.)

Received: from max (5.178.191.234) by --mail.mydomain.com--
 (X.X.X.X) with Microsoft SMTP Server id X.X.X.X; Fri, 27 Sep 2013
 04:48:43 -0700
Received: (from root@localhost) by mail0.wiktionary.org (8.11.3/8.11.3) id
 k8V5OhN08473; Fri, 27 Sep 2013 11:48:43 -0300 (PDT envelope-from root)
Date: Fri, 27 Sep 2013 10:55:07 -0300
Message-ID: <80252799905272.ZBiaUKfUeG@smithereens>
X-Mailer: phpmailer [version 1.41]
X-BeenThere: [email protected]
X-Kaspersky: Checking 
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
To: <[email protected]>, <[email protected]>
From: Get BIGGER with Free trial <[email protected]>
Subject: Disappointed at your lack of performance?
MIME-Version: 1.0
Return-Path: [email protected]
X-MS-Exchange-Organization-AuthSource: --mail.mydomain.com--
X-MS-Exchange-Organization-AuthAs: Anonymous

La mia domanda è qual è la spiegazione più ragionevole per entrambi gli utenti nei campi A: e CC: spam?

All'inizio pensavo che l'attacco al dominio, ma poi perché solo due utenti? Oppure, se un singolo utente viene compromesso, perché spammare solo un altro utente quando ha un'intera rubrica? Un'altra idea è che questo è un attacco mirato contro i due, ma è possibile? C'è qualche macchina spam che qualcuno potrebbe schiacciare due nomi e essere messo in una lista da spammare insieme ? Potrei capire che entrambi sono sulla stessa lista e lo spamming individualmente, ma insieme? Sembra incredibilmente bizzarro.

    
posta user31326 27.09.2013 - 20:56
fonte

2 risposte

6

Un'ipotesi plausibile è la seguente:

  • Lo spammer ottimizza il suo invio di spam raggruppando i bersagli dello stesso dominio: quando uno spam deve essere inviato a [email protected] , [email protected] e [email protected] , il software spam invia una singola email al server SMTP in arrivo di example.com , con i tre indirizzi come destinatari. Il raggruppamento delle e-mail fa bene alla larghezza di banda, e questo avvantaggia anche lo spammer.

  • Gli stessi spam vengono inviati tramite una botnet , quindi sembrano provenire da "tutto il pianeta" senza una singola fonte.

  • Lo spammer ha raccolto molti indirizzi, inclusi gli indirizzi di questi due utenti, ma nessun altro. Perché ? Perché nessuno dei due utenti ha compromesso la sua macchina in alcun modo. È qualcun altro , completamente fuori dalla tua organizzazione, che ha installato malware sulla sua macchina; e quella terza persona, che non conosci e su cui non hai alcun controllo, aveva gli indirizzi email dei due utenti nella sua rubrica.

    È una sfortunata proprietà dello spamming che ti spamming a causa del comportamento sciatto di altre persone.

Non dimenticare, inoltre, che gli spammer non sono necessariamente bravi in quello che fanno. Ricevo regolarmente spam strani: messaggi vuoti, spam il cui contenuto del testo è " %INSERT_RANDOM_CONTENT ", centinaia di copie di un singolo spam ... Un sacco di aspiranti spammer sembrano avere difficoltà a utilizzare i propri strumenti di spamming. Come al solito, l'incompetenza è una forza trainante dell'Universo e spiega molte delle stranezze osservate.

    
risposta data 27.09.2013 - 21:22
fonte
1

Potrebbe essere il risultato del modo in cui lo spammer ha raccolto gli indirizzi email delle due vittime in primo luogo. Gli spammer amano ricevere lettere a catena inviate per e-mail, in quanto forniscono una lunga lista di indirizzi pre-validati. È anche possibile che entrambi i dipendenti siano stati registrati sullo stesso server Web che è stato successivamente compromesso.

Indipendentemente da come è successo, il tracciamento degli indirizzi fino alla fonte originale della perdita raramente è in grado di produrre risultati perseguibili. Il massimo vantaggio che potresti ottenere sarebbe quello di fornire un esempio di cautela per il resto dei tuoi dipendenti.

    
risposta data 28.09.2013 - 06:48
fonte

Leggi altre domande sui tag