Category Archives: proxy

Vi spårar hackare runt jorden!

Vi spårar hackare runt jorden!

I den här serien försöker vi spåra hackare, vi försöker i alla fall. Det är ett oändligt jobb och hackarna är otroligt raffinerade många gånger, kluriga att hitta och leder om hackjägaren gång på gång. Precis när vi tror att vi funnit hen, så tar vägen en ny riktning!

Mailkontot som används i spårningen var ett vanligt konto från början, men har under åren blivit en slutstation för över 3200 spam-mail per dag! I videon ser vi kortfattat försök till spårning och landar i Trade Center Mumbai. Vi jagar en specifik spam-mailadress som klättrar runt internet globalt. I slutet av videon har vi suddat ut den internetleverantör som kan ligga bakom -för vi vet inte ändå om det är rätt. Några timmar efter videon skapats finner jag att “ägarna” av dessa domäner och webbotell använder sig av bots för att köpa och registrera.

Botsen syns för att de saknar idérikedom och mångfald. Ägaren kan se registrerad ut på en adress i Florida, Texas, Ukraina, Sydafrika osv och har några gemensamma faktorer. Alla ligger t ex på 10:e våningen? Den vi jagar den här gången finns alltså inte på internet som hackare!

bild på spam

Vi kommer ställa två fågor till två emailklienter, Google och AOL (Yahoo)! Fråga 1 är till Google, -varför kan man inte byta emailadress på hackade konton? Till AOL kommer vi fråga, -varför raderar ni inte epostkonton som används som “dockningsstationer” och vidarebefordran?

Om vi får svar publiceras de senare!

Vi kommer även att testa byta adressen själva på ett mailkonto, från en privat server och jämföra svaren. På sista tiden har vår test-emailadress fått hundratals nya spam och tillvägagångssättet är likadant. Spammen skickas till en AOL-adress, som skickar vidare till vår adress. Vår emailklient tror att det är från oss och släpper in spammen. Eftersom vårt emailkonto godkänt “AOL” adressen, spelar det ingen roll hur många gånger vi blockerar spammen inuti.

Som du ser på bilden ovan, ser det ut som att mailet ha skickats direkt till oss. När vi vecklar ut adressen ser vi att mottagaren är AOL. Vad vi vill testa att göra nu är att byta lösenord och efter det ska vi blockera den riktiga spamadressen!

Eftersom vi bara kan testa och se om det fungerar, så gör vi det! Risken är att vår mail inte känner igen fejkadressen eftersom det vidarebefordrar via en tredje part (ett program), men vi fortsätter att försöka skydda oss. Jag undersökte vidare efter någonstans att rapportera detta bedrägliga förfarandet och fann IC3 Complaints. När jag tittade in på formuläret som skulle fyllas i, kändes det som en telefonbok på 10 sidor.

Av Nybbles läsare är det inte troligt att någon anmäler då, så vi försöker skydda oss istället.

Enligt användare på Apple fungerade ovanstående lösning, men vad jag ser stämmer det inte. Några minuter efter blockering och lösenordbyte kommer ny spam. Innan vi hinner ställa frågan till Google, hittar vi problemet med AOL-adresser sedan 2020 och admin på Google support ger lösning som inte fungerar och toppar med att låsa tråden direkt!

Bild på Googles support

Efter några timmars sökande på veckans spamfångst (4100 sidor) i gmail hittar jag ett nytt mönster.

Så här ser det ut nu och minns att alla hemsidor jag kanske nämner har en livstid på ca 1 månad. Efter den här tiden sätts botsen upp på en annan plats och allt som är kvar är en strippad (tom) WordPress-sida.

Jag hittar en spammande hemsida som heter “Aginesli”. Den spammar till AOL-adressen som vidarebefordrar till oss. När jag söker på Aginesli hittar jag “Hurricane Electrics” som verkar ligga bakom alla vägar spammen går. Jag söker vidare och det ser ut som om spamkontot är ryskt, men vid nämre kontroll heter ena kampanjen “Acadiani”, är italienska och betyder Acadian vilka var/är den franska befolkningen i Louisiana!

Nu har vi en hackare som gjort vartannat ord ryskt, döper kampanjen efter en fransk befolkning i USA men skriver ordet på italienska! (Efter närmare kontroller upptäcker jag att Louisiana haft otroligt många cyberattacker på sista tiden). Jag leds runt i cirklar och under senaste timmen har mailkontot fyllts på med fem nya spam-mail per minut från AOL!

Bland all spam upptäcker jag att designen är snarlik. Så, eftersom jag inte kan stoppa hackaren genom att stänga hens uppkopplingar försöker jag hitta program hen använder. Jag kollar upp bilden med reverse image search och hittar ingen vidare fortsättning då Google Plus är nedlagt.

Sen söker jag på plagiarism men texten är för kort. Jag ser att bildadressen har “proxy” i sig och har då bara ett alternativ kvar i just detta mail och det är hitta vem som äger bitly länken!

Vem äger bitly-länken

Picoopoics är alltså ytterligare en “dummy-länk”. Jag försöker att plocka isär länken utan att det leder till något och sist måste jag ser vart den går!

Nu landade vi plötsligt ytterligare en ny domän. ORSTR4K, dags att kolla vart den går och vem som äger affiliateidentifikationen!

Jag hittar bara att den precis som alla andra domäner är studsbräda vidare framåt. Jag kunde inte hitta massmailprogrammet som används men, efter ett tag hittade jag programmet som tillåter alla omdirigeringar!

Nu har vi hittat en del i pusslet. Tidsåtgång: 10 timmar!

//Christine Djerf