Что такое спам бот
Ботом данный: как пользователей заваливают спамом
Пара назойливых звонков в день и лишнее уведомление в мессенджере — еще не повод сердиться на спам. Некоторые пользователи получают сотни сообщений от компаний, которым даже не отправляли запросы. SMS-бомберы «натравливают» на юзера массу абонентов и делают это либо бесплатно, либо за копеечную плату. Однако на просторах мессенджеров и соцсетей существует угроза и посерьезней. На что способны интернет-боты — разбирались «Известия».
Как устроен спам-бот
SMS-бомбер — это программа или сервис, предназначенный для массовой рассылки сообщений на заданный номер. Фактически пользователь неожиданно получает тонну входящих. Многие компании присылают SMS с кодом подтверждения, который абонент, разумеется, не запрашивал.
Обычно такая услуга подается под видом розыгрыша. Однако пользователи применяют бомбер и в более коварных целях. К примеру, житель микрорайона неправильно поставил машину, после чего в домовой чат прилетает идея заспамить горе-парковщика.
Механизм данных сервисов можно проследить на примере одного из популярных спам-ботов в Telegram. Для бомбинга доступно несколько режимов: обычно спаминг продолжается от 5 до 40 минут. Самый мощный режим запускает отправку 1,2 тыс. сообщений. Также в течение 10 минут жертву могут донимать спам-звонки. Причем если отклонить входящие, они продолжат поступать определенное количество раз автоматически.
Но как получается, что SMS и звонки приходят от имени брендов? Эту деталь пояснил эксперт по кибербезопасности Сергей Вакулин.
— Разработчики создают определенный скрипт, посредством которого отправляется запрос различным компаниям. Это подобно тому, как если вы попробуете зарегистрироваться, например, на сайте доставки каких-либо товаров. В этом случае после ввода номера телефона вам придет код подтверждения. Таким образом, в скрипт можно заложить адресацию к множеству сайтов, а также установить цикличность отправления запросов, — рассказал он.
Окупается бомбинг либо встроенной рекламой, либо минимальной пользовательской платой, например 25 рублей за одну рассылку. В профиле одного из ботов сообщается, что меньше чем за год подписчикам уже удалось проспамить 360 683 номера.
Шутники вряд ли задумываются — помимо того что долгая рассылка банально раздражает, она может быть опасна для немощных смартфонов.
— Такой поток сообщений способен превратить смартфон в болото, поскольку будет загрязнять оперативную память и активировать множества функций, вследствие чего телефон начнет зависать, — предупредил Вакулин.
Правда, в ответ на это SMS-бомбер предлагает услугу антиспам. За 500 рублей пользователь может добавить свой номер в белый список и тем самым миновать назойливую рассылку.
Спам-боты присутствуют не только в Telegram, но и в других социальных сетях и на просторах «белого» интернета, отметил собеседник «Известий». Кроме SMS-бомберов, он также выделил краш-ботов для бесед. Раньше их использовали для массовой отправки сообщений в общий чат. Усовершенствованные краш-боты способны забанить участников беседы, изменить название и аватарку чата, сгенерировать огромное количество смайликов. Все эти действия также дают ощутимую нагрузку на телефон.
Опасные боты
При всей зловредности указанных ботов они создают лишь временное неудобство для пользователя. Между тем в Сети попадаются куда более опасные программы. В 2020-м пользователей переполошил Telegram-бот, «раздевающий» фотографии женщин. Основой бота стало приложение DeepNude, которое использует нейронные сети и «убирает» одежду за 30 секунд. Тогда эксперты выразили опасение, что фейковые нюдсы в будущем могут использоваться для шантажа и дискредитации девушек. К счастью, существующая версия обработки оказалась не столь реалистичной.
Telegram-боты используются злоумышленниками, не только чтобы спамить или развлекаться, но и чтобы перехватывать одноразовые пароли (OTP). Примером такого бота является SMSRanger — он позволяет совершать автоматические звонки и отправлять сообщения пользователям, побуждая их прислать одноразовый пароль вместе с другой критичной информацией об учетной записи.
— В случае успеха хакер может обойти систему проверки OTP банка, захватить учетную запись пользователя и вывести средства. При этом злоумышленники не ограничиваются одноразовыми паролями — например, бот SMS Buster использует ту же схему с автоматическими звонками от легальных финансовых организаций и может собирать еще более подробную информацию об учетной записи: номера карт и коды CVV, — рассказал аналитик центра мониторинга и реагирования на инциденты компании «Инфосистемы Джет» Игорь Фиц.
По мнению гендиректора производителя DeviceLock DLP Юрия Томашко, наибольшую опасность представляют боты-пробивщики, которые применяются для продажи «в розницу» украденных баз данных и используются разного рода мелкими мошенниками для получения информации о жертвах. Telegram по запросу правоохранительных органов периодически блокирует этих ботов, однако на их месте появляются новые.
По словам эксперта, на рынке незаконной торговли персональными данными Telegram занимает промежуточное положение между сайтами в обычном интернете и даркнетом, которым пользуются профессиональные преступники. Его удобство обусловлено относительно высоким уровнем анонимности, позволяющим обнаружить местоположение бота только с помощью администрации соцсети. При этом Telegram проще и распространен шире, чем клиенты даркнета.
— Но более важную роль Telegram играет в организации связи между мошенниками, — подчеркнул Томашко. — Большое число закрытых и полузакрытых каналов служит для координации между членами преступных группировок, публикации криминальных «лидов», содержимого взломанных баз и другой информации, а также вербовки потенциальных участников — например, «воркеров» в мошеннических схемах на ресурсах объявлений.
«Известия» направили запрос в службу поддержки Telegram с просьбой прокомментировать распространение вредоносных ботов. На момент публикации ответ не пришел.
В остальном любая популярная площадка может привлекать внимание самых разных злоумышленников, уверен эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
— Недавно мы анализировали распространение фишинговых атак через мессенджеры. Выяснилось, что фишинговые ссылки в России распространялись чаще всего вс` же через WhatsApp — в 83% случаев. На втором месте оказался Viber: на него пришлась каждая десятая подобная атака. Доля таких инцидентов в Telegram составила 7%, — поделился эксперт.
Полезные боты
Разумеется, не нужно демонизировать всех интернет-ботов. Стоит понимать, что сами по себе чат-боты не бывают ни плохими, ни хорошими. При желании создать бота для самых разных целей может любой пользователь. Важно то, с какой целью он это делает, считает Дмитрий Галов.
—Те же боты, которые предлагают услуги по пробиву, по сути, представляют собой канал «поставки» уже собранных данных. Поэтому здесь важнее другой вопрос — откуда злоумышленники берут эти данные, — отметил эксперт.
Между тем, наравне с SMS-бомберами существуют сервисы, способные изгнать спам из чата. Например, daysandbox_bot реагирует на время присутствия юзера в беседе. Если человек зашел в чат и провел в нем менее суток, то любые ссылки или сообщения от этого пользователя удаляются. Другой помощник, SpamKillerRobot, может очистить все нежелательные сообщения, если поступит жалоба от трех человек.
Помимо этого, боты дают возможность бесплатно учить английский, «переводить» голосовые сообщения в текстовые, собирать статистику подписчиков, конвертировать видео в GIF, транслировать балет и многое другое.
Спам-боты: вскрытие и борьба
Злобные программисты не спят ночами и не отдыхают днями, пытаясь засадить очередного спам-бота в компьютер честного пользователя. Они зарабатывают деньги на нашем трафике, засвечивая нас в блеклистах и выставляя в дурном свете перед начальством. В этой статье мы взглянем на спам-боты с позиции защитника добра и справедливости, проведем вскрытие и научимся их убивать.
Капля истории
Исторически методики рассылки спама пережили три базовых этапа:
Схема работы типового спам-бота
Во-первых, для построения сети троянских прокси или ботов необходимо каким-либо образом заразить множество компьютеров этим самым ботом. Достигнуть этого можно при помощи эксплойтов, Trojan-Downloader, почтовых или сетевых червей. Наиболее простая схема – это Trojan-Downloader, который после запуска доверчивым пользователем затаскивает на пораженный компьютер все остальные компоненты.
Далее, после установки и запуска, спам-бот связывается с сервером владельцев. Несложно догадаться, что для работы ему необходим список email-адресов, по которым следует рассылать спам, параметры рассылки и шаблоны самих писем. Чаще всего получение этой информации ведется по многоступенчатой схеме – на первом этапе спам-бот посылает своим хозяевам информацию о том, что он запущен (с указанием IP-адреса пораженной машины, ее характеристиками и неким уникальным идентификатором – шаг 1 на схеме), в ответ получает конфигурацию (шаг 2), содержащую, в частности, URL серверов, с которых ему следует загружать списки адресов и шаблоны спама. Далее спам-бот загружает базу адресов (шаг 3) и шаблоны (шаг
4), после чего приступает к рассылке. Важной особенностью является то, что спам-бот вместо тупой рассылки заданной текстовки по списку адресов может модифицировать текст, дополнять его картинками или представлять в виде графики в соответствии с заданным алгоритмом и шаблоном. После завершения рассылки порции писем многие спам-боты посылают отчет о проделанной работе (шаг 5). Отчет может содержать статистические данные (количество успешных рассылок и ошибок) и список адресов, по которым не удалось разослать спам.
Для пользователя появление на компьютере спам-бота является крайне неприятным событием. Во-первых, он накрутит ему десятки мегабайт трафика. А во-вторых, IP пораженной машины с высокой степенью вероятности попадет в черные списки, и в дальнейшем возникнут проблемы с отправкой нормальной почты. Это особенно важно для фирм, имеющих свой почтовый сервер и статический IP-адрес – всего один юзер со спам-ботом может причинить массу головной боли админам.
Построение сетей из спам-ботов является прибыльным бизнесом – объектом торгов может быть сам спам-бот, готовая сеть из таких ботов или платная рассылка спама, осуществляемая ботами. Бороться с рассылаемым при помощи ботов спамом намного сложнее – фильтрация по IP не эффективна, а модификация писем затрудняет отсев по контексту при помощи байесовских фильтров или сигнатурных анализаторов.
Помимо спам-ботов существует еще одна методика рассылки спама, основанная на применении так называемых троянских прокси (Trojan-Proxy), которые позволяют злоумышленнику работать в сети от имени пораженной машины. Типовой алгоритм работы троянского прокси состоит в открытии на прослушивание некоторого TCP-порта (иногда номер порта статический, но чаще произвольный – для затруднения обнаружения путем сканированием портов), после чего он связывается с владельцами и передает им IP и порт. Далее он работает как обычный прокси-сервер. Многие троянские прокси умеют размножаться по принципу сетевых червей или при помощи уязвимостей.
Важно отметить, что существует множество гибридов – например, спам-бот может обладать функцией Trojan-Downloader для загрузки своих обновлений или установки дополнительных компонентов.
Рассмотрим реальный пример – зловреда Trojan.Win32.Spabot.ai. Его установка начинается с загрузки из интернета дроппера размером около 29 Кб. Запустившись, дроппер создает на диске файл C:\WINDOWS\system32\rpcc.dll и регистрирует себя в автозапуск в качестве расширения Winlogon (ключик HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc). Далее он внедряет троянский код в процесс winlogon.exe и запускает его через CreateRemoteThread – в результате деятельности троянского кода происходит подгрузка библиотеки rpcc.dll (это классическая методика инжекта библиотек в процесс «по Рихтеру»). Работает библиотека по описанному выше алгоритму – получает задание и начинает методичную
рассылку спама. В качестве лирического отступления следует заметить, что среди троянских прокси и спам-ботов метод автозапуска в качестве расширения Winlogon весьма популярен. Его плюс в том, что работа идет из контекста winlogon.exe, отдельного процесса у зловреда нет, а библиотеку с «системным» именем типа rpcc.dll не всякий юзер решится удалить. Если еще добавить руткит-маскировку, восстановление ключей реестра и монопольное открытие файла, то получим труднообнаруживаемого и трудноудаляемого зловреда.
Теперь посмотрим на спам-бота с точки зрения защиты. Конечно, для борьбы с ними можно посоветовать антивирусы, Firewall и проактивную защиту. Но на самом деле детектировать наличие спам-бота очень несложно и без них. Дело в том, что даже в случае идеальной руткит-маскировки, спам-бота выдает рассылка спама – достаточно вооружиться сниффером и посмотреть, что твориться в сети. Выбор сниффера в данном случае не важен, но желательно, чтобы он умел реконструировать TCP-сессии и накапливать статистику. Мне для таких опытов нравится использовать CommView, очень неплох Ethereal. Обнаружив в сети зараженную спам-ботом машину, мы увидим примерно такую статистику (на рисунке 2 показан трафик
сегмента сети из двух компьютеров: на одном сниффер, на втором – спам-бот).
Статистика обмена с сетью зараженного спам-ботом ПК за 30 секунд
Фрагмент обмена с SMTP-сервером
Аналогичным способом, кстати, можно ловить почтовых червей – разница с точки зрения трафика лишь в том, что червь рассылает свои копии вместо спама.
Однако у сниффера есть один большой минус – он слишком громоздкий для оперативной проверки компьютера и требует инсталляции. Для исследования локального компьютера выходом из положения является утилита TDIMon, которая поможет не только обнаружить «нездоровую» сетевую активность, но и вычислить порождающее ее приложение.
Кроме того, не сложно изготовить собственный детектор спам-ботов при помощи C на основе анализа сетевого трафика. Рассмотрим его исходник:
#include
#include
#include
// Буфер для приема данных
#define MAX_PACKET_SIZE 65535
static BYTE Buffer[MAX_PACKET_SIZE];
int _tmain(int argc, _TCHAR* argv[])
<
WSADATA wsadata; // Инициализация WinSock
SOCKET RawSocket; // Слушающий сокет
int res = 0;
// Инициализация WS2_32
WSAStartup(MAKEWORD(2,2), &wsadata);
// Создание RAW-сокета
RawSocket = socket( AF_INET, SOCK_RAW, IPPROTO_IP );
// Определение имени хоста для нашего ПК
char HostName[256] =»localhost»;
gethostname(HostName, sizeof(HostName));
printf(«HostName = %s \n», HostName);
// Определение информации по имени хоста
PHOSTENT pLocalHostEnt;
pLocalHostEnt = gethostbyname(HostName);
// П Подготовка структуры SockAddr с адресом нашего хоста
SOCKADDR_IN SockAddr;
ZeroMemory(&SockAddr, sizeof(SockAddr));
SockAddr.sin_family = AF_INET;
SockAddr.sin_addr.s_addr = ((in_addr *)pLocalHostEnt->h_addr_list[0])->s_addr;
/*
// Если на ПК несколько сетевых карт, то вместо определения IP его нужно задать вручную
SockAddr.sin_addr.s_addr = inet_addr(«x.x.x.x»);
*/
printf(«Host IP = %s \n», inet_ntoa(SockAddr.sin_addr));
// Переключение сетевой карты в «promiscuous mode» для захвата всех пакетов
unsigned long flag = 1;
res = ioctlsocket(RawSocket, SIO_RCVALL, &flag);
Принцип действия данного детектора крайне прост – в его основе лежит сниффер на базе RAW-сокетов. Приведенный выше код инициализирует библиотеку WS2_32, затем определяет имя хоста и его IP (в реальной утилите стоит предусмотреть возможность указания IP через командную строку – пригодится для запуска на компьютере с несколькими сетевыми картами). Далее сетевая карта переключается в promiscuous mode для приема всех пакетов. Данную фичу тоже можно сделать опциональной – тогда появится возможность анализировать трафик только того компьютера, на котором запущена утилита. Прием и анализ пакетов организован в цикле: ожидаем приема очередного пакета и анализируем его заголовки. Для каждого принятого
пакета мы определяем тип по его заголовку – нас интересуют только пакеты TCP/IP v4. Если это так, то далее проверяем номер порта – для отлова спам-бота нам интересен порт 25, соответствующий SMTP-протоколу. При обнаружении таких пакетов на экран выводятся IP-адреса источника и получателя пакета. Для уменьшения протокола в данном исходнике предусмотрен еще один уровень фильтрации – утилита реагирует только на пакеты с установленными флагами SYN + ACK. Если запустить такую утилиту на зараженном спам-ботом компьютере (или такой компьютер будет в одном сегменте сети с тем, на котором запущена утилита), то зафиксируется бурный обмен по порту 25.
Полную версию статьи ты можешь
прочитать в январском
номере
«Спеца»
Плохой бот, ботнет и спам-бот — как от них защититься?
Общий знаменатель опасных типов интернет-ботов — автоматические атаки. Однако вы можете распознать активность ботов в своем веб-приложении и защитить его, выполнив несколько шагов. Мы покажем вам, как это сделать.
Интернет-боты выполняют простые операции с большей частотой, чем обычно может произвести человек. Поэтому они законно используются, например, для индексации интернет-контента в поисковых системах (так называемые «хорошие» боты). Однако их способность также может быть очень хорошо использована для поиска уязвимостей приложений, распространения фейковых новостей или наводнения серверов большим количеством запросов. Такую активность проявляют «плохие» боты.
Количество интернет-ботов растет, и мы должны рассчитывать на их определенный трафик в приложении. Однако важно обращать внимание на необычные действия и хорошо знать поведение реальных пользователей, чтобы мы могли идентифицировать опасных ботов.
Виды плохих ботов и их активность
Плохие боты чаще всего атакуют веб-приложения в разных отраслях. Они ищут личные данные, которые мы вводим в больших объемах как на мобильные устройства, так и на устройства Интернета. В последнем случае, кроме того, часто используется устройство с низким уровнем защиты. Мы также забываем в достаточной степени защитить интерфейс API и, таким образом, предоставляем злоумышленникам простой способ доступа — например, к банковским данным и базам данных.
Углубленный анализ и защита приложений
Radware Bot Manager — это инструмент, который можно развернуть за считанные минуты. Он будет отслеживать посещаемость вашего сайта, оценивать его и распознавать даже очень сложные типы ботов. Кроме того, он включает частичную защиту API и инструмент для защиты от DDoS-атак.
Radware, как и некоторые другие, в этом году выпустил относительно большой отчет, отражающий проблему плохой загрузки в Интернет-трафике. Из своих наблюдений она выделила четыре поколения плохих ботов:
Для DDoS-атак, создания случайно сгенерированных сообщений или создания поддельных учетных записей и распространения спама (спам-ботов) наиболее эффективным является создание ботнета. Это сеть взломанных устройств конечных пользователей. Плохие боты используют различные типы вредоносных программ для создания такой сети. Благодаря ботнету боты могут незаметно выполнять масштабные атаки (аналогично тому, как это делают боты 4-го поколения).
Плохой бот в действии: как происходит атака
Представьте себе несуществующий веб-сайт www.imaginarniweb.ru, который работает, например, на WordPress. Плохой бот попытается получить доступ к форме заявки. Ему удается найти его, просканировав URL-адрес, например, на www.imaginarniweb.ru/wp-admin (один из наиболее вероятных URL-адресов).
Мы рекомендуем защитить такой URL-адрес — например, ограничить доступ к нему только для пользователей во внутренней сети. Запускает создание учетных данных и в конечном итоге также будет успешным в этом случае. Он выполняет SQL-инъекцию (взлом уровня базы данных, который часто связан с веб-приложением) через необработанную форму или файл cookie и получает доступ ко всем данным, хранящимся в базе данных.
Вовремя определять ботов, отслеживать посещаемость на сайте
Самый простой способ — наблюдать за происходящим в сети. Плохая ботовая активность чаще всего проявляется аномальным увеличением или уменьшением посещений в необычные периоды времени с высоким уровнем немедленного отказа. Это связано с внезапной сменой IP.
Следите за тем, откуда приходит пользователь, в первую очередь для плохих ботов это обычно прямое посещение веб-сайта (путем ввода URL-адреса в адресной строке). Также настораживает снижение производительности сервера, подозрительные IP-адреса или посещения с сайтов, которые обычно не отображаются в вашей статистике. Станьте еще умнее, если увидите огромное количество посещений с одного определенного IP. Реальные пользователи обычно посещают лишь несколько страниц на определенном сайте. Также обратите внимание на требования к языкам, которые ваши клиенты обычно не используют.
Сравните любую необычность со стандартной работой и поведением реальных пользователей.
4 совета по ограничению активности ботов в Интернете
Чтобы продвинуть борьбу с онлайн-ботами в Интернете, попробуйте объединить хотя бы несколько из приведенных выше передовых практик. Это увеличит ваши шансы на успех. Но в первую очередь обратите внимание на хорошую безопасность. Для ботов это немного усложнит движение в приложении, и это именно то, что мы желаем добиться.
SMS-бомбер (флудер): отправка неограниченного количества смс на один номер
С помощью приведенного ниже SMS Bomber или SMS Flooder вы можете легко отправить 1000 смс за один раз бесплатно онлайн на номер мобильного телефона ваших друзей. Все, что вам нужно, это просто ввести номер мобильного телефона ниже, а остальные будут интеллектуально автоматизированы.
Служба Text Blaster также упоминается ниже и хорошо работает со всеми странами, включая США, Великобританию, Канаду и т. д. Сценарий, полностью разработанный компанией TECHTRICKSEO, позволяет вам отправлять неограниченное количество бесплатных SMS-сообщений своему другу, указав его / ее номер мобильного телефона на сайте SMS-бомбардировщика.
Techtrickseo предоставляет вам несколько специальных сценариев, которые отличаются от других. SMS Blast будет работать, даже если на этом мобильном номере активирована служба DND (не беспокоить). Работает все операторы и сервис провайдеры.
Вопросы на которые стоит ответить до начала пользования
Что такое Sms Bombing?
Пользователи сотовых телефонов всегда используют службу коротких сообщений или SMS для отправки текстовых сообщений. Как правило, пользователи мобильных телефонов отправляют одно сообщение за раз.
Бомбардировщик SMS — это программа, которая дублирует одно и то же сообщение несколько раз и отправляет все сообщения другу в шутку. Вы загружаете программное обеспечение онлайн и отправляете SMS-бомбы, используя функцию обмена текстовыми сообщениями вашего телефона.
Безопасно ли использовать SMS-бомбардировщик?
Вариант 1: Массовая СМС рассылка онлайн Онлайн
Это сообщение Bomber специально сделано для мобильного номера. 100% работает нормально, без каких-либо проблем.
Скрипт будет работать, если DND активирован на мобильном телефоне ваших друзей. Это круто или нет, пожалуйста, выпишите ваш комментарий.
Как использовать сервисы
Шаг 1: Просто прокрутите вниз, и вы можете найти поле для ввода номера. Введите номер, который вы хотите бомбить.
Шаг 2: После ввода номера нажмите кнопку «Начать бомбардировку». Бомбардировка начнется сразу же.
Шаг 3: Просто нажмите кнопку «Остановить бомбу», если вы хотите остановить бомбардировку.
Помните: После нажатия кнопок «Начать» и «Остановить» может потребоваться 1-2 минуты, чтобы остановить бомбардировку. Потому что серверу нужно время, чтобы выполнить задачу. Так что, если вы хотите прекратить бомбардировки, пожалуйста, остановите это раньше.
Особенности SMS Bomber онлайн:
Онлайн сервисы для массовой отправки СМС-сообщений
smsbomber.biz
Сервис предлагает 2 варианта смс-бомбинга:
smsbomber.online
Аналог предыдущего сервиса, те же самые функции.
www.bombitup.net
Еще один аналогичный сервис.
Вариант 2: Приложение SMS Bomber
— Добавлена поддержка международного номера мобильного телефона