Spamer w pułapce

Przeżyj niebieski cud! Po zażyciu jednej z pigułek uda ci się z gorącą sąsiadką. Tak brzmi typowy email reklamujący viagrę, który każdy na pewno miał już nie raz w swojej skrzynce – dokuczliwe molestowanie, do którego przywyka się z czasem. Jednak zamiast poddać się rezygnacji, CHIP postanowił zbadać sedno problemu: gdzie znajduje się źródło spamu, który stanowi aż 98 proc. wszystkich emaili na kuli ziemskiej. Kto wysyła wiadomości, a przede wszystkim czy rzeczywiście ktoś kupuje w ten sposób viagrę albo akcje na giełdzie.

Aby to ustalić, musieliśmy przyłapać nadawcę na gorącym uczynku i pociągnąć do odpowiedzialności. Dlatego przygotowaliśmy na niego pułapkę – tzw. garnek z miodem. W tym celu zmodyfikowaliśmy prywatną stronę domową jednego z naszych autorów, umieszczając w niej skrypt generujący nowe adresy email, za każdym razem, gdy ktoś tę stronę ładował. Przygotowana skrzynka pocztowa bez filtra antyspamowego odbierała wszystkie wiadomości, które zostały na te adresy wysłane. W taką pułapkę powinni wpaść spamerzy stosujący harvester – narzędzie systematycznie przetrząsające Sieć w poszukiwaniu adresów.

Zawodowcy: Najwięcej spamu pochodzi od tego samego nadawcy

Rezultat: w ciągu tygodnia do naszej skrzynki pocztowej trafiło grubo ponad 20 000 spamerskich listów. Oprócz emaili oferujących viagrę otrzymywaliśmy propozycje zakupu oprogramowania w szokująco niskich cenach oraz mnóstwo wiadomości, których autorzy próbowali nas oszukać, dopuszczając się klasycznego nigeryjskiego szwindlu: afrykański biznesmen albo zamożna wdowa obiecują prowizję za pomoc w przetransferowaniu ich wartych miliony dolarów majątków na europejskie konto. Osoby, które wchodzą w to, na początek ponoszą niewielką w porównaniu ze spodziewanymi zyskami opłatę i… oczywiście ją tracą.

Zaczęliśmy od ujawnienia, kto kryje się za tymi emailami, ponieważ najczęściej nadawca maskował swoją tożsamość. Okazało się, że lwia część spamu wychodzi spod pióra rosyjsko-amerykańskiego spamera Leo Kuvayeva. Na liście Spamhaus.org, międzynarodowego projektu, którego celem jest walka ze spamem, Kuvayev figuruje jako jeden z największych na świecie rozsyłaczy wiadomości-śmieci – on i pozostałe osoby z listy „10 najlepszych” odpowiadają za 80 proc. światowego spamu.

Dotąd jednak jakiekolwiek próby ukrócenia aktywności Kuvayeva kończyły się całkowitym niepowodzeniem: w 2002 roku został on, co prawda, postawiony w stan oskarżenia przez amerykański sąd za spowodowanie szkód w wysokości 37 milionów dolarów, ale w odpowiednim czasie zdołał zbiec do Rosji i dalej prowadzi interes – nie niepokojony przez rosyjskie władze. Beznadziejna sprawa!

W każdym razie zdaliśmy sobie sprawę, że musimy trafić na spamera z Polski, którego tożsamość uda nam się odkryć. I mieliśmy szczęście. Pewnego ranka do naszej skrzynki trafił email: „Zarejestruj się w Naszym Portalu, znajdź przyjaciół i bądź z nimi w kontakcie”. Podpis w wiadomości sugerował nadawcę z Polski, a spersonalizowany nagłówek pozdrawiał odbiorcę, naszego autora: „Drogi Eryku”.

Na pierwszy rzut oka przesyłka wyglądała jak typowy email informacyjny –  zaopatrzono ją nawet w link, za pomocą którego można zatrzymać wysyłanie kolejnych wiadomości. Jednak gdy wzięliśmy pod lupę adres odbiorcy, stało się jasne, że to robota spamera. Oto jak wyglądał adres: »ea-4582fa9-3e4bf443@jadam_spam.erykalgo.com«. Wygenerował go nasz garnek z miodem, czyli specjalnie spreparowany kod umieszczony na stronie domowej naszego redakcyjnego kolegi. Co ważne, przypadkowi goście tej witryny nigdy nie zobaczyliby takiego wpisu, ponieważ widoczny jest on jedynie w kodzie źródłowym strony, w której harvester szuka znaków @.

Szczególna cecha tego adresu to jego unikatowość – to, co wygląda jak przypadkowy ciąg znaków, w rzeczywistości jest charakterystyczną etykietą, która zdradza dwie rzeczy: czas, w którym spamer odwiedził naszą stronę, oraz używany przez niego adres IP. Tyle że dzięki nim nie da się stwierdzić, kto jest nadawcą. Można tego dokonać inaczej – pytając go w emailu zwrotnym, skąd ma nasze namiary. Jeśli traktuje nas jak potencjalnego klienta, powinien grzecznie odpowiedzieć. Tak też się stało. Już następnego dnia przyszedł kolejny email.

„Szanowny Panie Algo (...) Pragniemy szczerze przeprosić, jeśli odebrał Pan poprzedni email jako natręctwo. Oczywiście natychmiast usuniemy Pana adres z bazy danych Naszego Portalu, jeśli Pan sobie tego życzy (...)”

Ta wymijająca odpowiedź nas nie zadowoliła, więc pytaliśmy dalej. Ostatecznie chcieliśmy ustalić, jak „ich Portal” wpadł na trop naszych danych, i przyłapać ich na kłamstwie. Nie udało się. W jednym z kolejnych emaili autor otwarcie wyznał, że użyli harvestera, który przeczesywał polski Internet, zbierając na stronach WWW dostępne adresy email i dopisując je do bazy. Powód, dla którego to robił, wyszedł na jaw w którymś z kolejnych emaili.