Спамеры использовали Google Translate для обхода антиспам-фильтров

Источник материала:

Специалисты из компании Barracuda Networks обнаружили необычный вид спам-рассылки, которая открывает нежелательные веб-сайты в обход фильтров репутации. Обман фильтров стал возможным из-за некоторых технических особенностей сервиса Google Translate, сообщает The Register.

Как выяснилось, этот сервис может служить в качестве "редиректора" (узла переадресации), так что фильтры браузера изначально воспринимают ссылку как указание на вполне легитимный сервис, а в итоге браузер открывает сайт с рекламой спамеров. В случаях, описанных компанией Barracuda Networks, ссылки вели на интернет-магазины, продающие запрещенные к продаже без рецепта (в США) лекарства, включая пресловутую "Виагру".
 По меткому сравнению обозревателей, новый прием спамеров буквально заимствован из знаменитого фильма "Начало". В этом фильме злоумышленники научились создавать ложные порталы для перехода между уровнями сновидений, неотличимые от настоящих, в результате чего главным героям пришлось сильно постараться, чтобы выйти из очень затруднительного положения. В спамерской реальности обман многочисленных фильтров работает похожим образом – браузер и сервис Google Translate получают (и исполняют) инструкции по переводу пользователя на рекламируемый веб-сайт, хотя любой фильтр репутации отсеял бы ссылку на этот сайт при первой попытке перехода.
 Схема обхода защитных механизмов оказалась довольно сложной, хотя и не лишенной изящества. Все начинается с массовой рассылки писем по электронной почте с довольно невинными ссылками, которые указывают на сервис Google Translate, однако в качестве дополнительного аргумента, вставлена вторая ссылка. "Ничего не подозревающий" сервис онлайн-перевода считает, что пользователь хочет получить перевод этой страницы. Кстати, эта вторая ссылка, якобы предназначенная для перевода, в зафиксированных инцидентах, была сокращена с помощью сервиса y.ahoo.it компании Yahoo. В итоге онлайн-переводчик берет ссылку, разворачивает ее в полноценную ссылку на веб-сайт.
 На этапе развертывания ссылки начинается уже вполне вредоносный план: полученная ссылка содержит небольшой фрагмент обычного текста, а также специальный код. Когда онлайн-переводчик пытается обработать этот текст и код, возникает ошибка браузера: исполняемый код "выходит за пределы" изолированной области iFrame (фактически, это поле с переводом исходной веб-страницы). Как только код выходит за рамки фрейма, страница онлайн-переводчика автоматически перенаправляет браузер на сайт с лекарствами, которые в США нельзя купить без рецепта, поэтому они пользуются большим спросом. Формально торговля такими лекарствами на территории США незаконна.
 Хитрость взлома состоит в том, что многошаговая маскировка ссылки (специалисты называют такие действия обфускацией) обманывает систему блокирования спама, поскольку при анализе ссылка определяется как указание на добропорядочный сайт-переводчик. На данный момент операторы сервиса онлайн-переводов уже блокируют большинство незаконных ссылок, но уязвимость остается открытой. В любом случае авторы исследования подчеркивают, что даже при самой эффективной антиспам-системе пользователи должны быть всегда настороже. Особо внимательно стоит относиться к любым ссылкам, пришедшим по электронной почте, даже если адрес отправителя кажется вполне надежным.