Wielu spamerów decyduje się atakować strony internetowe i serwery pocztowe, aby móc wykorzystać ich infrastrukturę do wysyłania spamu, ponieważ ma ona większe szanse dotrzeć do skrzynki odbiorczej, jeśli zostanie dostarczona z legalnego źródła. Spamerzy realizują te działania na różne sposoby: jednym z nich jest nadużywanie stron internetowych połączonych z infrastrukturą SMTP, innym jest wykorzystanie skradzionych danych logowania (e-mail/hasło) do prób zalogowania się na konta pocztowe, z których mogą wysyłać spam. Grupa Cisco Talos postanowiła przyjrzeć się tego typu atakom.
Jedną z metod spamowania jest wykorzystywanie formularzy na stronach internetowych, które wysyłają wiadomości e-mail np. w przypadku potwierdzenia rejestracji. Brak odpowiedniej walidacji danych wejściowych sprawił, że wiele z tych formularzy jest podatnych na manipulacje. Z czasem te ataki stały się bardziej zaawansowane, wykorzystując cross-site scripting (XSS) lub SQL injection.
Cyberprzestępcy mogą manipulować danymi, wprowadzając złośliwe linki i teksty w pola formularzy, co powoduje, że wysłane do użytkowników wiadomości zawierają treści generowane przez atakujących. Spamerzy korzystają także z popularnych narzędzi Google, aby rozsyłać spam. Choć Google aktywnie walczy z nadużyciami, spamerzy wykorzystują różnice w ustawieniach regionalnych oraz luki w zabezpieczeniach, aby uniknąć wykrycia.
Poszkodowani mają niewiele możliwości ochrony przed tego rodzaju wiadomościami spamowymi. Większość e-maili wysyłanych przez formularze kontaktowe jest legalna, więc złośliwe wiadomości wtapiają się w standardowy ruch.
Bardzo częstą praktyką jest stosowanie tych samych haseł do wielu kont. Niestety, ale stanowi to ułatwienie przede wszystkim dla przestępców, którzy po wykradzeniu hasła będą próbować zalogować się na różne konta, licząc na to, że użytkownicy używają tych samych danych logowania na wielu stronach. Metoda ta, nazywana credential stuffing, umożliwia dostęp do legalnych serwerów pocztowych, które rzadko są blokowane przez filtry antyspamowe.
Skradzione dane logowania, które działają na różnych stronach i serwisach, są szczególnie wartościowe dla spamerów. Przestępcy testują te dane na serwerach SMTP, a po znalezieniu działających poświadczeń mogą uruchomić masową wysyłkę spamu. Narzędzia open-source, takie jak MadCat czy MailRip, umożliwiają automatyzację tego procesu. Atakujący korzystają także z własnych narzędzi, często szyfrując lub kodując treści wiadomości, aby utrudnić ich wykrycie. W momencie, gdy spamerzy uznają, że znaleźli działający serwer SMTP, rozpoczynają wysyłkę spamu na dużą skalę, co powoduje, że wykrycie i blokowanie tych wiadomości staje się wyzwaniem.
Jednym ze sposobów, w jaki Cisco Talos stara się powstrzymać tego rodzaju ataki, jest sprawienie, aby atakujący uwierzyli, że znaleźli aktywne konto e-mailowe. Aby to osiągnąć, Specjaliści Cisco Talos skonfigurowali pułapki spamowe, które umożliwiają zgłoszenie wszystkich adresów, z których wysyłany jest spam.
Jednym z najskuteczniejszych sposobów walki ze spamem jest edukowanie użytkowników, by byli ostrożni wobec nieoczekiwanych wiadomości e-mail. Użytkownicy powinni korzystać z unikalnych haseł do każdej usługi oraz regularnie je zmieniać.
