Все, кто хоть раз занимался массовой рассылкой писем, знают, как сложно обойти спам-фильтры почтовых сервисов. Однако методы обхода также не стоят на месте. Так, компания по кибербезопасности Thrustwave недавно обнаружила простой способ обхода систем обнаружения спама с помощью маскировки URL-адресов. Для этого спамеры использовали шестнадцатеричный формат IP-адреса по стандарту RFC 791.
Технически IP-адрес может быть представлен в нескольких форматах и, следовательно, может использоваться в URL-адресе следующим образом (в этом примере используется IP-адрес google.com):
Хотя веб-браузеры «привыкли» принимать в адресной строке доменные имена или IP-адреса с разделителями в десятичном формате, нажатие на любую из приведенных выше ссылок направит вас на Google.com. Браузер автоматически преобразует шестнадцатеричный или другой IP-формат в десятичный IP-адрес с точками и перейдет на последнюю страницу с этим IP-адресом.
Таким образом, любой желающий может создать непонятно выглядящий URL-адрес, подобный показанным выше, отправить его по электронной почте и обмануть фильтры email-сервисов.
Thrustwave в качестве примера привела бот-сеть, которая рассылала спам в огромных объемах, продавая противогрибковые, антивозрастные, противовоспалительные средства и лекарства для здоровья мозга, обмена веществ, похудения и т. д.
При нажатии на любую из вставленных ссылок браузер преобразует шестнадцатеричный IP-адрес в десятичный и перенаправляет пользователя на лендинг с офферами, в данном случае от Clickbank.
Спам-ботнет начал использовать шестнадцатеричные IP-адреса в URL-адресах с середины июля 2020 года. С тех пор он ежедневно отправлял около 20 000-25 000 писем. Данный способ, как сообщает Thrustwave, помогла спамерам доставить в inbox большее количество писем, чем раньше, что видно на графике выше (начало использования этого способа отмечена красной линией).