IBM X-Force เปิดเผยถึงอีเมลสแปมนัดเดทโดย Necurs ที่มีการปล่อยออกมาจำนวนมากนับตั้งแต่ช่วงกลางเดือนมกราคมจนถึงวันวาเลนไทน์ โดยในเวลาเพียงสองสัปดาห์ ได้มีการส่งอีเมลสแปมนี้บนเครือข่ายคอมพิวเตอร์ทั่วโลกมากถึง 230 ล้านฉบับ
Necurs เป็นบ็อตเน็ตที่มักสร้างแคมเปญสแปมขนาดใหญ่ และเชื่อว่าควบคุมบ็อตซอมบี้อยู่กว่าหกล้านตัว โดยบ็อตเน็ต Necurs มีการเชื่อมต่อกับกลุ่มมัลแวร์ที่แพร่กระจายโทรจันในธุรกิจธนาคาร เช่น Dridex และ TrickBot รวมถึงแรนซัมแวร์อย่าง Locky, Scarab และ Jaff
Necurs ไม่ใช่มัลแวร์ชนิดที่เรามักได้ยิน แต่ผู้ที่ปล่อย Necurs ทำการแพร่กระจายสแปมนี้โดยมีเป้าหมายเพื่อก่อให้เกิดความพยายามในการฉ้อโกงรูปแบบอื่นๆ ด้วย เช่น แคมเปญการหลอกลวงด้วยคำพูดหวาน ๆ
ในปี 2017 X-Force ตั้งข้อสังเกตว่า Necurs ส่งการหลอกลวงเรื่องหุ้นแบบ “pump & dump” จำนวนมาก โดยออกแบบมาเพื่อให้ผู้รับเชื่อว่าหุ้นเพนนีกำลังจะมีมูลค่าสูงขึ้น เมื่อมีคนซื้อหุ้นมากพอและมูลค่าของหุ้นเพิ่มขึ้นจริง ผู้ที่ปล่อยสแปมจะขายหุ้นของตนเองทั้งหมดในจุดที่พวกเขาทำกำไรได้ หุ้นเพนนีจะราคาตกลงจนถึงมูลค่าที่แท้จริงของตลาด และผู้ที่ซื้อหุ้นไว้จะพ่ายแพ้โดยไม่ได้รับสิ่งใดตอบแทน ในช่วงต้นปี 2018 บ็อตเน็ตยังเป็นส่วนหนึ่งของกระบวนการหลอกลวงเกี่ยวกับ cryptocurrency และล่าสุดอีเมลสแปมนัดเดทก็เป็นแคมเปญหลักอีกตัวหนึ่งที่เชื่อมโยงกับ Necurs
ปล่อยสแปมจำนวนมากช่วงเทศกาล
การล่อเหยื่อตามช่วงเทศกาลอาจถือเป็นคุณลักษณะอันดับต้นๆ ของอีเมลสแปม โดยในช่วงไตรมาสแรกของปีมักเกิดการระบาดของอีเมลสแปมช่วงเทศกาลภาษี และการหลอกลวงด้วยคำพูดหวานๆ ที่เริ่มต้นขึ้นในเดือนมกราคมจนถึงวันวาเลนไทน์
ในแคมเปญปัจจุบันของ Necurs ได้มีการส่งอีเมลสแปมแล้วมากกว่า 230 ล้านข้อความภายในสองสัปดาห์ โดยบ็อตเน็ตได้กระจายข้อความนับสิบๆ ล้านข้อความในสองช่วงหลัก คือช่วง 16-18 มกราคม และช่วง 27 มกราคม–3 กุมภาพันธ์
สแปมที่เลือกใช้คำได้เป็นอย่างดี
จากข้อความที่ได้ถูกส่งออกไปทางอีเมลแล้วมากกว่า 30 ล้านฉบับในแต่ละวัน พบว่าล้วนเป็นข้อความอีเมลสั้นๆ ซึ่งน่าจะมาจากหญิงชาวรัสเซียที่อาศัยอยู่ในสหรัฐอเมริกา โดยอีเมลเหล่านี้เลือกใช้ถ้อยคำได้เป็นอย่างดี ซึ่งต่างจากอีเมลสแปมทั่วไปที่มักมีการสะกดคำและไวยากรณ์ที่ไม่ถูกต้อง ทั้งนี้ อีเมลสแปมแต่ละฉบับจะมาจากอีเมลแอดเดรสแบบใช้แล้วทิ้งที่มีชื่อของผู้ส่งที่ถูกแอบอ้างอยู่ โดยจะขอให้ผู้รับติดต่อผู้เขียนกลับโดยใช้อีเมลแอดเดรสอีกอันที่มีชื่อของบุคคลอื่นอยู่
ข้อความจำนวนมากบ่งชี้ว่าผู้รับเหล่านี้มีโปรไฟล์อยู่บน Facebook หรือ “Badoo” ซึ่งเป็นแอพนัดเดทที่โด่งดังเป็นอันดับสามในรัสเซีย และเปิดให้ผู้ใช้จากทั่วโลกเข้าถึงได้
การหลอกลวงด้วยคำพูดหวานๆ และข้อความสแปมเชิญชวนจากสตรีถือเป็นรูปแบบเก่า โดยอีเมลเหล่านี้มักประกอบด้วยข้อความพื้นฐานซึ่งดูเหมือนไม่มีอะไรและไม่ได้ดึงดูดความสนใจนัก อย่างไรก็ตาม ปริมาณอีเมลที่ส่งออกจำนวนมากก็สามารถนำสู่เปอร์เซ็นต์การตอบกลับของผู้รับจำนวนมากด้วยเช่นกัน โดยแคมเปญนี้จะดึงดูดให้เหยื่อแชร์รูปภาพและข่มขู่พวกเขาเพื่อบังคับให้จ่ายเงินหรือจบลงด้วยการได้รับมัลแวร์
อิทธิพลของสแปม Necurs
X-Force สามารถบันทึกปริมาณอีเมลสแปมนี้ได้มากกว่า 230 อีเมลจากบ็อตเน็ต Necurs ซึ่งเป็นบ็อตเน็ตที่ทำให้เกิดความสามารถในการแพร่กระจายอีเมลขยะจำนวนมาก
สแปมถูกส่งจาก IP แอดเดรสที่แตกต่างกันประมาณ 950,000 IP แอดเดรส โดยผู้ส่งอันดับต้นๆ นั้นเป็นแอดเดรสที่โฮสต์ผ่าน ISP ของปากีสถาน IP และแอดเดรส (103.255.5.117) เหล่านี้ถูกรายงานว่าเป็นสแปมเมอร์ถึง 655 ครั้ง ณ เวลาที่เขียนบทความนี้ อีกทั้งยังถูกจัดอันดับว่ามีความเสี่ยงระดับ 10 จากคะแนนเต็ม 10 อ้างอิงตาม IBM X-Force Exchange
ผู้ส่งอีเมลเหล่านี้โฮสต์ IP ถึง 55% ที่เวียดนามและอินเดีย โดยการสับเปลี่ยนทรัพยากรที่ใช้ในแคมเปญและต้นทางของ IP ไม่ได้ก่อให้เกิดประโยชน์ใดๆ กับกลุ่มสแปมเมอร์ หรือช่วยหลีกเลี่ยงการขึ้นบัญชีดำและการบล็อก และคาดว่าวิธีการนี้จะไม่ถูกนำมาใช้ในครั้งถัดไป
Necurs อาจถือเป็นอาชญากรไซเบอร์ที่แพร่กระจายสแปมที่ใหญ่ที่สุด นับตั้งแต่ได้มีการกำจัดบ็อตเน็ต Andromeda และ Avalanche ลง โดยจากการเฝ้าติดตาม X-Force พบว่า Necurs สามารถดึงดูดทั้งสแปมเมอร์ระดับล่างและกลุ่มที่มีชื่อเสียงเป็นที่รู้จักเข้าร่วมกระบวนการ
หยุดสแปม
กลุ่มผู้อยู่เบื้องหลัง Necurs และบ็อตเน็ต ทำงานโดยมีเป้าหมายเดียวคือการทำให้ข้อความสแปมไปอยู่ในเมลบ็อกซ์ของผู้คนโดยไม่ถูกกรองหรือบล็อก โดยบ็อตเน็ตเหล่านี้มักสับเปลี่ยนวิธีต่างๆ เช่น เปลี่ยนประเภทของสแปมที่แพร่กระจาย ปกปิดสแปมเหล่านี้ในไฟล์หรืออีเมลรูปแบบต่างๆ เป็นต้น ทำให้สแปมจาก Necurs สามารถหาทางเข้าสู่เมลบ็อกซ์ของผู้บริโภคและพนักงานบริษัทได้ในที่สุด และวิธีการที่ดีที่สุดในการขัดขวางอีเมลเหล่านั้นคือการให้การศึกษาและทำให้พนักงานในองค์กรตระหนักเกี่ยวกับประเภทของอีเมลประสงค์ร้ายที่ไม่ควรเปิดหรือตอบกลับใด ๆ
เคล็ดลับสำหรับการจัดการกับอีเมลสแปมมีดังนี้
– อย่าตอบอีเมลประเภทนี้ – นักวิจัยกล่าวว่า มีความเป็นไปได้ถึง 99.999% ที่อีเมลไม่พึงประสงค์ที่พยายามหลอกลวงคนที่มองหาความสัมพันธ์ด้านความรักนั้นจะเป็นอันตราย ฉะนั้นจึงห้ามตอบสนองใดๆ แฮ็กเกอร์เพียงต้องการหาวิธีการที่จะทำให้คุณติดมัลแวร์หรือเพื่อหลอกลวงคุณ
– คงสถานภาพการบอกรับเป็นสมาชิกอีเมลไว้ – อย่ายกเลิกการรับอีเมลสแปม แต่ให้ตั้งค่าระบุว่าอีเมลเหล่านี้เป็นสแปมหรืออีเมลขยะแทน เพราะการแจ้งยกเลิกการรับสมาชิกอีเมลทำให้ผู้ปล่อยสแปมสามารถตรวจสอบได้ว่าอีเมลแอดเดรสนั้นๆ แอ็คทีฟอยู่
– อัพเดตแพ็ตช์อย่างสม่ำเสมอ – อัพเดตระบบปฏิบัติของคุณในทันทีที่มีอัพเดตใหม่และแพ็ตช์ใหม่ มัลแวร์ส่วนใหญ่จะใช้ช่องโหว่จากซอฟต์แวร์เวอร์ชันเก่าเพื่อให้คุณติดไวรัส
– การเชื่อมต่อที่เชื่อถือได้ – ดำเนินการกับข้อความและอีเมลที่ไม่พึงประสงค์ให้เหมือนเป็นสแปม ไม่ควรเปิดข้อความและอีเมลเหล่านั้น ไม่ควรคลิกลิงค์ เปิดไฟล์แนบ หรือปฏิบัติตามคำแนะนำในอีเมลนั้นๆ