Спамеры обходят фильтры почтовых сервисов с помощью преобразования URL

Все, кто хоть раз занимался массовой рассылкой писем, знают, как сложно обойти спам-фильтры почтовых сервисов. Однако методы обхода также не стоят на месте. Так, компания по кибербезопасности Thrustwave недавно обнаружила простой способ обхода систем обнаружения спама с помощью маскировки URL-адресов. Для этого спамеры использовали шестнадцатеричный формат IP-адреса по стандарту RFC 791. 

Технически IP-адрес может быть представлен в нескольких форматах и, следовательно, может использоваться в URL-адресе следующим образом (в этом примере используется IP-адрес google.com):

• Десятичный IP-адрес, разделенный точками: https://216.58.199.78 
• Восьмеричный IP-адрес: https://0330.0072.0307.0116 
• Шестнадцатеричный IP-адрес: https://0xD83AC74E 
• DWORD IP-адрес: https://3627730766 

Хотя веб-браузеры «привыкли» принимать в адресной строке доменные имена или IP-адреса с разделителями в десятичном формате, нажатие на любую из приведенных выше ссылок направит вас на Google.com. Браузер автоматически преобразует шестнадцатеричный или другой IP-формат в десятичный IP-адрес с точками и перейдет на последнюю страницу с этим IP-адресом.

Таким образом, любой желающий может создать непонятно выглядящий URL-адрес, подобный показанным выше, отправить его по электронной почте и обмануть фильтры email-сервисов.

Thrustwave  в качестве примера привела бот-сеть, которая рассылала спам в огромных объемах, продавая противогрибковые, антивозрастные, противовоспалительные средства и лекарства для здоровья мозга, обмена веществ, похудения и т. д. 

При нажатии на любую из вставленных ссылок браузер преобразует шестнадцатеричный IP-адрес в десятичный и перенаправляет пользователя на лендинг с офферами, в данном случае от Clickbank. 

Спам-ботнет начал использовать шестнадцатеричные IP-адреса в URL-адресах с середины июля 2020 года. С тех пор он ежедневно отправлял около 20 000-25 000 писем. Данный способ, как сообщает Thrustwave, помогла спамерам доставить в inbox большее количество писем, чем раньше, что видно на графике выше (начало использования этого способа отмечена красной линией).