- PVSM.RU - https://www.pvsm.ru -
В профильных сообществах e-mail—маркетологов, на форумах, посвященных поддержке CMS, на конференциях — везде сейчас активно обсуждается проблема спам-атак, устойчивым вектором которых является инъекция текста в формы на сайтах. Такой способ используется для отправки спама, а также для проведения узконаправленных атак, парализующих работу с отдельными ящиками.
Приведу самый банальный пример отправки спама через форму. Есть сайт example.com, на нём есть форма подписки на новости. Спамер из своей базы берет ящик «жертвы», например, i.ivanov@mail.example, и вставляет его в поле «Адрес электронной почты», а поле «Имя» заполняет текстом подобного содержания: «аренда квартир в Москве недорого goo.gl/arendakvartirdaom [1]», и нажимает «Подписаться». Конечно, всё это делает не сам спамер, а его скрипт, который при этом еще и капчу проходит. Через секунду Иван Иванов получает письмо с текстом: «Здравствуйте, аренда квартир в Москве недорого goo.gl/arendakvartirdarom [2]! Вы подписались на новости портала example.com!»…
Команда Антиспама Mail.Ru сталкивается с такими атаками ежедневно, у нас накопился богатый опыт фильтрации, и мы хотим поделиться с вами рекомендациями, а также сравнить эффективность разных методов, описание которых можно встретить в интернете. Ниже я приведу самые распространенные векторы атак, расскажу, какие формы наиболее чувствительны к спаму, какие риски вас подстерегают, если ничего не предпринять. Ну и, конечно, что с этим делать e-mail—маркетологам, владельцам и администраторам сайтов.
Спам — как один из видов рекламы — существует и будет существовать, пока он экономически целесообразен. Гораздо реже спам используется для продвижения товаров и услуг, которым заказан вход в легальные каналы продаж, практически весь такой нелегитимный трафик перекочевал в баннерные сети. Но вернемся к e-mail—каналу. Всегда найдется «бизнес», которому безразличен репутационный вред от спам-рассылки, но для которого принципиальна стоимость.
Поэтому спамеры также стремятся минимизировать затраты. И формы на существующих сайтах подходят для такой цели идеально — чужой домен, чужой IP, чужая верстка письма — всё чужое. Нужен только скрипт, причём не самый сложный в реализации. Дешевизна — первая из двух ключевых причин паразитирования спамеров на чужих сайтах.
Вторая важная причина — доставляемость. Беда в том, что, используя чужую форму, злоумышленник получает не только бесплатные ресурсы, но и репутацию этого сайта/IP у MBP (Mail Box Provider). Спам идет с вашего домена, с вашего IP, с валидным SPF, DKIM, и даже строгая политика DMARC [3] — столько раз спасавшая вашу рассылку от спуфинга — в данном случае не помогает.
Понятно, что в случае реализации атаки через форму проблемы свалятся на голову администратора сайта и/или e-mail—маркетолога сервиса, но риски несет именно бизнес. Риски эти измеряются:
И чем крупнее сервис, тем выше стоимость этих рисков. В каком случае вам обязательно нужно дочитать этот материал до конца:
Если отбросить множество вторичных факторов, спам попадает в письмо через UGC (User Generated Content), который используется при формировании письма. Такой контент может попасть в:
Более детальное рассмотрение начну с самого распространенного варианта.
To: %username% <%useremail%>
Subject: %username%, подтвердите Ваш email
Здравствуйте, %username%!
Знакомые конструкции? Спамерам и антиспаму тоже. Несколько лет назад в словарь любого уважающего себя маркетолога очень прочно вошло слово «персонализация». Вошло настолько крепко, что, несмотря на усилия профессионалов сообщества, обросло множеством мифов и трактовок, многие из которых морально устарели, но продолжают преподноситься как Best Practices. Главный миф заключается в том, что под персонализацией зачастую понимается обращение к подписчику по имени. К чему это приводит, можно почитать тут [4], а почему не работает с точки зрения маркетинга — уже подробно расписано в статье [5]Дмитрия Кудренко.
Итого: берем базу e-mail, скрипт, форму подписки/регистрации, в поле имени вводим спам-контент — и спам—рассылка с вашего сайта готова.
Гораздо более редкий случай (лишь потому, что автоответы реже используются сервисами). Механика чуть сложнее, но у спамера больше возможностей. Форма обратной связи, заявка в службу поддержки, форма запроса коммерческого предложения — нередко для таких случаев сервис настраивает отправку автоответа пользователю. И здесь снова вступает в игру UGC: «В вашем обращении Вы писали …». Но если это было не обращение, а реклама виагры, а в поле email введен ящик ничего не подозревающего человека, то вы снова рискуете невольно отправить спам.
К счастью, эта функциональность сейчас практически не встречается на просторах интернета, но до сих пор еще можно встретить форму «рекомендуйте наш сервис другу» и «введите текст приглашения». И снова UGC от вашего сайта разлетается по ничего не подозревающим пользователям.
Скорее, выродившийся случай, но он всё же встречается, и написать о нём необходимо. Сценарий следующий:
Данный тип спама стоит особняком. Цель атаки — парализовать использование отдельно взятого ящика пользователя (или целой компании). Злоумышленник регистрирует целевой ящик на тысячах сервисов. Те начинают присылать на этот ящик письма подтверждения, приветственные письма и так далее. В итоге ящик жертвы наполняется тысячами непрочитанных писем, новые письма приходят постоянно. При этом, строго говоря, все эти письма спамом не являются. Использовать же атакованный ящик становится затруднительно. Такой тип атаки характерен не только для email, но и для соцсетей, и мессенджеров (подписки, добавления в друзья и так далее). Если вдруг ваш ящик на сервисе Mail.Ru подвергся подобной атаке — свяжитесь с нами, мы сделаем всё возможное, чтобы минимизировать последствия.
Пожалуй, ключевая глава данного обзора. Какие советы можно встретить на просторах интернета и какова их эффективность с точки зрения антиспама?
Сейчас я обращаюсь, скорее, не к владельцам и администраторам сайтов, а к реальным профессионалам отрасли, а именно к ESP (Email Service Provider) — сервисам рассылок и их представителям. Безусловно, данный вид спам-атак наносит существенный урон и репутации отрасли в целом. Что можно сделать дополнительно?
Проблема спама через формы актуальна, как никогда раньше. Уже пострадали платежные системы, банки, операторы связи, крупные порталы, маленькие интернет-магазины по всему миру. Решение проблемы очень простое и эффективное, а цена сбывшихся рисков крайне высока для любого бизнеса. Внедряйте простые методы защиты и не становитесь невольным участником спам-рассылок.
Если же ваш сервис уже пострадал от подобной атаки и есть проблемы с доставляемостью — напишите на адрес abuse[собака]corp.mail.ru, и наши специалисты вам обязательно помогут решить проблемы и избежать их в будущем.
Автор: 4Alexander
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/spam/280639
Ссылки в тексте:
[1] goo.gl/arendakvartirdaom: http://goo.gl/arendakvartirdaom
[2] goo.gl/arendakvartirdarom: http://goo.gl/arendakvartirdarom
[3] строгая политика DMARC: https://habr.com/company/mailru/blog/315778/
[4] тут: https://tjournal.ru/69064-vladimir-nishchebrod-ne-zvonit-dobryy-den
[5] статье : https://esputnik.com/blog/mif-no4-personalizaciya-eto-obrashchenie-po-imeni
[6] здесь: https://help.mail.ru/developers/postmaster
[7] здесь: https://postmaster.mail.ru/
[8] Источник: https://habr.com/post/354310/?utm_source=habrahabr&utm_medium=rss&utm_campaign=354310
Нажмите здесь для печати.