Manapság, a körbetartozások korában kivel is ne fordulna elő, hogy tartoznak neki? Kész szerencse, hogy van nekünk egy olyan spammerünk, aki a weboldalán csak “Egyedi Ügyviteli Megoldások” néven fut. A spam alapján azonban kiderül, hogy Nagy Tamás nevű illetőről van szó.

A kéretlen levelében amúgy egy könyvet reklámoz, amelyik az adósságbehajtásról szól, és a spamben nem kevesebbet ígér, mint pénzbehajtást, de azonnal, és 100% garanciával.

Az egyik látogatói élménybeszámoló úgy kezdődik, hogy “Egészen véletlenül akadtam erre az oldalra”. Gondolom, Nagy Tamás eldöntötte, hogy ezen változtatni kell, és spamben szórja meg az Internetet, így tornázva fel a könyve eladásait.

Hogy ne zsákbamacskát akarj venni, egy demo anyagot is le lehet tölteni, amiben három tanács szerepel:

1. Ne sodródj az árral, irányítsd te az eseményeket!
2. Ne hallgass az érzelmeidre, ne akarj azonnali elégtételt, mert lesz még rá lehetőséged bőven.
3. Ne gondold, hogy csak az adós a hibás, keresd a rendszered gyenge pontjait.

Valljuk be, ez azért nagyon komoly.

Az email címemet pedig egy direkt marketing cégen (directmail) keresztül szerezték meg, ill. nem is ők szerezték meg, hanem rábízták a spammelés technikai részét az előbb említett bandára.

A kéretlen levél amúgy így nézett ki:

From: Egyedi Ügyviteli Megoldások <office@tanacsos.hu>
To: elegbaja@van.igy.is
Subject: Pénzbehajtás Azonnal – 100% garanciával

4500 Ft helyett 4050 Ft
A feltüntetett árak Bruttó árak.
Postaköltség 0 Ft

A fenti címen jelent meg egy írás az ITBN honlapján.

A cikk az elején tudatosítja, hogy “a legtöbb kártékony email azért érkezik meg hozzánk, mert valamire szüksége van tőlünk. Valamire, ami a miénk. Ez lehet a bankszámlaszámunk, a személyes adataink, a számítógépünkön tárolt adatok vagy éppen maga a számítógépünk távoli irányíthatósága. Minden beérkező emailt ilyen szemmel kell kezelnünk.”

Azt is jó tudni, hogy az emaileket könnyű hamisítani (noha ez ellen védekezni is lehet, pl. SPF, DomainKeys, ill. digitális aláírás). A javaslat az, hogy “minden levél megnyitása előtt alaposan nézzük meg a feladót és a tárgyat.” Ez mindenképpen hasznos, de sokszor nem elég. Főleg, ha a támadó úgy jutott hozzá az email címünkhöz, hogy ellopta az egyik levelezőpatnerünk címlistáját. Ezért, ha megnézzük a levél feladóját és tárgyát, akkor nézzük meg a levél útját (Received: sorok), ami még biztosabban jelzi, ha a levél szokatlan helyről jött.

A következő jó tanács, hogy “gondolkodjunk el, hogy életszerű-e a szituáció.” Ha valaki csak ezt az egyet megfogadja, már nem fog pénzt utalni, hogy megkaphassa a sok millió Eurós spanyol lottó nyereményét.

Az adathalászok gyakran manipulálják a HTML mellékletben szereplő linkeket. Ez ellen azt szokták tanácsolni, hogy ne kattintsunk rá a linkre, hanem gépeljük be mi a címet a böngészőbe. Noha ez biztonságos, de ki az, aki egy hoszú, jól felparaméterezett weboldal címet kézzel bepötyög? Az sajnos nem elég, amit a cikk állít, hogy “az egérrel a szöveg fölé állunk és leolvassuk az aktuális levélolvasó alkalmazás (pl. Outlook) által kiírt VALÓDI kapcsolat címét.” Úgy hallottam, hogy még ezt is manipulálni lehet.

További árulkodó jel a levél nyelvezete, nyelvtani hibái. Jó, ha ezekre is figyelünk. Csak az a kár, hogy az “újmagyarul” beszélő emberek nem túl erősek ebben.

Megfontolandó az a tanács is, hogy az “otthoni gépeken friss vírusvédelmi szoftvert, adathalász és kártékony programok elleni szoftvert valamint személyi tűzfalat mindenképpen üzemeltessünk.”

Még sok jó tanács van a cikkben, amit érdemes elolvasni, de egy fájó módon hiányzik: használj egy jó tartalomszűrő alkalmazást a levelezőszerveren, ami véd a vírusok, spamek és adathalász levelek (nagy része) ellen.

Ennek az a praktikus oka, hogy hiába a sok jó tanács, ha a felhasználóknak (és a biztonsági szakembereknek is) maga a felhasználó a legnagyobb ellensége, mert figyelmetlen, óvatlan, és sokszor irracionálisan viselkedik. Ezért jobb az, ha mi védjük meg a felhasználót attól, hogy a veszélyes levelekkel találkozva valami nagy hülyeséget csináljon. Persze, ettől függetlenül jó, ha észnél van.

Majdnem egy éve már, hogy megírtam a BMFH avagy a ‘bastard marketer from hell’ című blogot a Balázs Péter néven bemutatkozó spammerről. Ma azonban ismét hallatott magáról, de nem túl eredeti, mert a mai spam szó szerint megegyezik a 2009-es eredeti levéllel. De jó hír, hogy a címlista ára nem emelkedett, még mindig 17000 forint.

Az IP-cím alapján ez a cicafiú fut Hajdú László néven is, ld. a Hajdú László linktárak – linképítés címmel kínál adatbázist című írást.

Szóval ennyi is bőven elég, hogy rájöjjünk: átverésről van szó, hiszen nyilvánvalóan hazudik ez a román fiúcska. Kerüld el, amihez elég annyit tenni, hogy a spamszűröd blokkolja a 188.173.128.203-as IP-címet.

Legalábbis ez volt egy spamnek a címe. De kaptam ilyet több híresség nevével is, pl. Brad Pitt, Johnny Depp, Tiger Woods, stb. A spam levélben 2 melléklet van. Az egyik szöveges, és kb. így hangzik:

“Alicia Keys died along with 34 other people when the Air Force CT-43 “Bobcat” passenger plane carrying the group on a trip crashed into a mountainside while approaching the Dubrovnik airport in Croatia during heavy rain and poor visibility.”

A másik pedig egy nagyon trükkös, base64 kódolt HTML melléklet, amely a http://paniplus.com.mx/1.html címre akar elvinni, és amely viszont a http://cetogilco.cz.cc/scanner10/?afid=24 címre küld tovább + egy kis iframe-es nyalánkság is van benne.

Külön érdekes a HTML mellékletben lévő javascript átirányítás, amely egy eddig (általam) nem látott obfuscation technikát használ, íme:

Jól látható, hogy a spammer feldarabolta az url-t, ill. a this.document.location.href változót, majd töltelékbe keverte, és a substr() függvénnyel állítja össze a címet, ahova elküldi a felhasználót. A védekezés egyszerű: le kell tiltani a javascriptet a levelekben, ill. kell egy jó spamszűrő, amely képes a javascript elemeket, pl. “function”, “var” spamként megtanulni, de az is elég lehet, ha eldobod az ukrán telekom dinamikus pool-jából közvetlenül küldött leveleket. A clapf zombidetektora szépen fogta ezt is.

A turizmusnak egy ideje nem megy túl jól. Mit lehet hát tenni, amikor pedig még tart a nyár? Növeljük a bevételt spammel! Így tett a Kizman Travel is, akik – ahogyan azt a spam levelük végén állítják – “egy nyilvánosan megvásárolható, illetve elérhető marketing adatbázisban rögzített, vagy az interneten elhelyezett, bárki számára hozzáférhető, nyilvános adatbázisból” emelték ki/el az email címemet.

Ez amolyan standard magyarázkodás a kéretlen levél végén. Ha nem tetszik, hogy megspammeltünk, akkor az a hibás, akitől vettük. Ha mégsem ő, akkor az, aki a ‘nyilvános marketing adatbázist’ összeállította. Egyébként szerintem ilyet még senki nem látott. Egy nyilvános marketing adatbázis… ez túl szép, hogy igaz legyen.

Viszont elég ostobák voltak ahhoz, hogy ne a “szokásos” (sic!) info@ címet bombázzák, hanem ezúttal tényleg a privát, személyes címemre küldték a spamet. Ezt a ziccert pedig nem hagyom ki, és továbbítom az incidenst az NHH utódhivatalnak.

Ha pedig utazni akarnál, én pl. tervezem a közeljövőben, akkor válassz egy olyan vállalkozást, amelyik tisztességes és törvényesen működik. A Kizman Travel azonban nem ilyen.

Úgy tűnik, hogy esik az eladásra kínált adatbázisok ára, mert a Hajdú László néven bemutatkozó illető már csak 20 Eurot vagy 5990 forintot kér érte. Az ár persze a minőséggel arányos, mert itt csak alig 600 linktár elérhetőségéről van szó. Amit egyébként te is kigyűjthetsz az Internetről – ingyen.

Hajdú teljesen jól hangzó horgot dob be a lúzerek közé: “Gondoljon bele: pár nap, és már ötszáz helyen szerepel honlapjának linkje!” Ez egyébként igaz: kapsz 5-600 webcímet, ahova el kell menned magadnak, és a kicsi kezeddel kiválasztani a megfelelő kategóriákat, majd bepötyögni a céged webcímét. Ami szerintem már az ötödik után elég unalmas lesz.

Elgondolkoztam azon, hogy valóban lenne több száz magyar nyelvű linktár? Csak azért ez a dilemma, mert nekem jó, ha 3-4 az eszembe jut. Ha pedig te sem ismersz többet, akkor jó eséllyel olyan marginális lehet a többi, hogy egyrészt tán még a Google sem ismeri. Akkor pedig mekkora lehet az esélye, hogy a felhasználók oda tévednek? Egyáltalán: mennyivel ad ez egy vállalkozás számára többet, mintha a CEO készíttet (persze nem ilyen gagyi Hajdú Lászlókkal) egy korrekt weboldalt, amit a Google is értékel? Mert a linktárakkal szemben (ahová a madár sem jár) annak valóban lenne értéke.

Azon is érdemes elgondolkozni, hogy melyik a valószínűbb: a vállalkozásod potenciális ügyfelei a talán sosem létezett, de legjobb esetben is pár száz címet tartalmazó kézzel felépített linktárakon keresik az őket érdeklő szolgáltatókat, vagy a de facto szabvány keresőkben, pl. Google, Yahoo! vagy bing?

A spam pedig így nézett ki:

Tisztelt Címzett!

Az adatbázis ára most: 5.990 Forint, Paypal fizetés esetén: 20 euró. Más nyelvű weboldalai is vannak? Vannak idegen nyelvű adatbázisaink, többek között a szomszédos országokból, valamint más Uniós tagállamokból is rendelkezünk hasonló linktárakkal. Állok rendelkezésére,
Hajdú László

Noha magyar nyelvű a spam, de nem itthon adták fel, hanem a Romtelecom hálózatából, valószínűleg Erdélyből. Ha ennek a Hajdú nevű spammernek maradt volna a szemedben bármi becsülete (az enyémben biztos nem), akkor érdemes azt is tudni róla, hogy első szándékkal a backup MX szerverre küldte a levelet (ami a spammerek szokása). Valószínűleg egy gépi programmal küldte a levelet, mert pont olyan ügyetlen és elrontott a kódolása, mint a Google fordítót használó Mr. Patrick Chan-é. A hitele is kb. ennyi lehet.

A fazon egyébként a PTR nélküli 188.173.128.203-as IP-címről küldte el a spam leveleit, így ha szűröd az ilyen feladókat, akkor jóeséllyel elkerülted a Hajdú nevű férgecskét. Az illető egyébként a gmail ill. yahoo mail-ről levelezik. Nagyon bizalomgerjesztő, hogy ha valaki mégis elutalná neki az összeget, akkor valaha is kapna tőle egy címlistát…

Amíg pár éve a különféle képes spamek hódítottak, addig mára feljött a magyar nyelvű spam (köszönjük, Mr. Patrick Chan), és az idei nyár hazai slágere vitathatatlanul a céges adatbázisok reklámozása.

Most éppen a Magyar Ép-Kontroll Kft. az elkövető, akik építőipari beruházásokat szerveznek. Köztudott, hogy az építőiparra nehéz idők járnak, és ők most úgy próbálnak egy kis mellékeshez jutni, hogy az ő partnereiket dobják a spammerek elé.

Az is kiderült, hogy a Zarka Zoltán, meg a CID Céginfo esetleg Pongrácz András gagyi listájával szemben ez ellenörzött lista, amin jellemzően _nem_ info@ címek vannak, hanem pl. az ügyvezetőneve@cégnév.hu alakú címek. A szerencsétlenek ugyanis amikor az Ép-Kontrollhoz regisztráltak, akkor hozzájárultak (nem tudták, mit cselekszenek), hogy reklám anyagokat kapjanak. Akár harmadik féltől, azaz tőled is.

Az áldozat szerepét eljátszó vállalkozások jellemzően kicsik, akár egészen az egyéni vállalkozói szintig. Az is érdekes, hogy a dolgozóneve@cégnév formátumú címeket az Ép-Kontroll cégesnek, azaz nem személyhez köthetőnek értékeli. Nem biztos, hogy ez azért összhangban van a magyar törvényekkel.

Közöttük van a bűnös?

A spam pedig így nézett ki, és a kis drágák még szoftvert is adnak hozzá.

Cégünk a Magyar Ép-Kontroll Kft. és előcége 2004 óta foglalkozik építőipari beruházások szervezésével. Ez valószínűleg nem túl érdekes az Ön számára. Viszont ez alatt a 6 év alatt sikerült egy közel 39.000 céget tartalmazó adatbázist létrehoznunk, mely folyamatos karbantartásban részesül. Az adatbázisban cégnévvel, cégvezető nevével, és mobil telefonszámával, e-mail címével ellátott adatok vannak. Ilyen specializált adatbázist, mely ennyi személyes adatot tartalmaz, nem igazán találhat.

Üdvözlettel:
Ferovics Bea
Magyar Ép-Kontroll Kft.
70/357-0875

Ha egy üzlet “beindul”, sosem lesz vége. Úgy tűnik, ez a helyzet az eladásra kínált cégadatbázisokkal is. Hogy az előző post-ban leírt összeesküvéselmélet igaz lehet (=ugyanaz az adatbázis forog közkézen), mi sem jobb bizonyíték, hogy itt is egészen véletlenül 90000 db cég adatait kínálják eladásra.

Pongrácz András azonban annyival szofisztikáltabb a többinél, és egy flash video segítségével végig lehet pörgetni a megvenni szándékozott címlistát.

Ebből kiderül, hogy amit ő az emailben “központi” email címnek gondol (azaz info@, sales@, …) az finoman szólva nem állja meg a helyét. A mellékelt ábra alapján ugyanis ez egyszerűen nem igaz, mert magánszemélyek email címei is szerepelnek rajta, mint pl. név@freemail.hu, név@axelero.hu, egy csomó @gmail.com-os cím, stb. Arról nem is beszélve, hogy vajon érvényes email cím az, amiben szerepel a ‘&’ jel?

Az való igaz, hogy egy nagy rakás info@ cím is van benne, de a lista minősége (ó, milyen meglepő is) finoman szólva kétes. Amikor ezt a tényt közöltem vele, akkor elismerte, hogy “hát, igen”, ennyi pénzért [csak] ennyi jár. Így már nem is csodálkozom, hogy amikor rákérdeztem rögtön az elején, hogy miért választaná bárki is pont az ő címlistáját (amikor egy csomó balek keres más balekot), akkor azt mondta, hogy nem jobb az ő címlistája, mint a többieké.

Legalább igazat mondott, amit meg kell becsülni. Abban viszont nem mondott igazat, hogy jutott hozzá az én info@ címemhez, mert az nem köthető céghez, és sehol nincs regisztrálva, nyilvántartva, hanem a szokásos “írd az info@ címet az összes domain elejére” alapon küldték el.

Alig létezik olyan spammer, aki ne árulna céglistákat. Ilyen a XIII. kerület Petneházy 50-52. alatti CID Cég-Info Kft is. Fel is hívtam hát őket, hadd ismerkedjünk jobban össze. Egy női hang vette fel, akit nevezzünk most Gizikének.

Mondom neki, hogy ki vagyok, és hogy Szabó Józseffel szeretnék beszélni, aki a spammer kompánia ügyvezetője. Első kérdés: miért? Hivatkozom a spamben említett CD-kre, a kedvezményre (mégiscsak válság van, szóval minden forint számít). Rendben, Gizike elslattyog, hallom a telefonban a lépteit, majd rövid idő múlva vissza: “Nem tudom adni, és ma már nem is lesz”. Felhívom akkor a mobilján. Sajnos azonban Gizike “nem tud” mobil számot adni. Amikor megjegyzem, hogy biztos nem azért, mert nincs neki mobilja, akkor megint a kérdés: “De hát mi a baj?”. Nincs baj, nyugtatom meg, majd közlöm vele, hogy akkor majd beszélek vele héftőn.

“De mi a probléma? Miért akar vele beszélni?” Éreztem a hangján, hogy nem örülnek annak, hogy én személyesen magával az ügyvezetővel akarok beszélni. Biztos sokan hívták már őket a kéretlen levelük miatt… Végül annyiban maradtunk, hogy keres valakit, aki ez ügyben illetékes (megint léptek hallatszanak. Gizike átment egy másik asztalhoz, majd vissza). Most az az ember sincs ott, aki illetékes, de 2 óra múlva visszahívnak.

A telefonbeszélgetés aztán létrejött, és kiderült, hogy a cégek listája az APEH ill. a KSH által kiszivárogtatott, tehát nyilvánossá tett adatbázisából áll elő, tehát amúgy bárki ingyen hozzáférhet, ha képes azt kigyűjteni. A CD-n ugyanazok az adatok vannak, amit Zarka Zoltán is árul: név, cím + elérhetőség.

Rákérdeztem, hogy melyiket érdemes megvenni? Stolcz Tamás azt mondta, hogy leginkább a top (=évi 50M HUF fölötti árbevétel) cégeket keresik, de pl. a mikrovállalkozásokat nem annyira. A “mire lehet használni?” kérdésre pedig az volt a válasz, hogy el lehet rá küldeni a saját vállalkozás marketing anyagait, akcióit. De megnyugtatott, hogy ez amúgy törvényes dolog, hiába szokott az lenni, hogy páran mindig morognak a címzettek közül. Hát ez van, ha az ember fűnek-fának küldi a reklámjait: utálják a címzettek.

Végül már csak egy kérdés maradt: hogyan állították össze azt a címlistát, amire ők küldték a reklámot? Nem fogod kitalálni: ugyanerre a címlistára…

Az persze csak hab a tortán, hogy annak az info@ címnek a domaine, amire a spamet kaptam, nem köthető vállalkozáshoz, tehát a “legálisan” begyűjtött email címek mellett az Internetről összevadászott email címeket is tartalmaz. Ami viszont a spammerek szokásos munkamódszere.

Nem tudom, hogy a KSH publikálta cégadatbázis konkrétan hány rekordot tartalmaz, de nem lennék meglepődve, ha az is fel lenne turbózva Internetről lopott email címekkel. Hiszen a több rekordot több pénzért lehet a lúzerekre rásózni.

A fentebb említett Zarka Zoltán esete pedig szép példája annak, hogyan éledt újra egy régi pilótajáték. Jó 20 éve apróhirdetéseket adtak fel a csalók, amelyben munkát ajánlanak némi aprópénz ellenében. Az aprópénz kipengetése után pedig elmondják, hogy ők hogyan csinálják a bizniszt, amit neked is csinálnod kell. Így aztán te is kérhetsz másoktól némi aprópénzt munkával kecsegtetéssel.

Az Internet mindennapjaink részéve válásával már nem postai leveleket kell címezni meg apróhirdetést feladni, hanem cégadatbázist lehet árulni. Még mielőtt azonban rohannál megvenni az n+1. céges adatbázist, gondold át, hány olyan marha lehet, akinél még mindig el lehet sütni ezt a poént, _és_ még nincs céges adatbázisa…

Egy korábbi blogban már megemlékeztünk egy Steve Terence néven bemutatkozó szélhámosról, aki az online kaszinók világába próbálja becsábítani az embereket.

Úgy tűnik, hogy az emberek már nem dőlnek be, mert ez a rossz gyerek Steve megemelte a tétet, és már nem vacak pár száz Eurot, hanem kerek 10.000 Euro ígéretével szédíti az embereket. Ti azonban ne higgyetek ennek a csalónak sem, aki minden bizonnyal az egyik online kaszinó strómanja lehet, aki nem kap jutalékot, ha nem tud elég hülyét összeszedni a neten.

Hogyan lehet ellene védekezni? Egyszerűen blokkolni kell a Telenor (meg a többi hazai mobilszolgáltató) dinamikus pool-ját, és voila! volt Steve, nincs Steve. Az ex-Pannon részéről pedig nagyon eljött már az ideje annak, hogy blokkolják a kimenő 25/tcp forgalmat, hogy a Steve Terence álnevű vírusok ne bombázhassák az Internetet gagyi átverés levelekkel.

Érdekes az is, hogy az előző spam kampányban használt weboldal (www.penzeso.com) más címen van, mint az aktuális (www.penzkereses.biz). Lehet, hogy Steve meg az online kaszinókkal szemben is trükközik?

Maga a levél így nézett ki:

From: penzkereses.biz <penzkereses@penzkereses.biz>
To: eleg@baja.van.igy.is
Subject: Akár 10.000 Euró egy hónap alatt!

Üdvözlettel:
Steve

A levelében írt 10000 Euro persze akár igaz is lehet. Főleg ha ez azt a jutalékot jelenti, amit a pénzüket online kaszinókban elbukó vesztesek (=loser) után kapott…