Captcha krakers en blogvervuilers

Als op dit blog een spammer probeert te posten over betaalde blogspam diensten trekt dat de aandacht. De timing van de boodschap is niet slim. Ondanks het radicaal blokken van AS64267 / Sprious LCC blijft er verhoogde controle van kracht om nieuwe fratsen van de criminele BlazingSeo klanten tijdig te signaleren.

Spam gaat door

Het blokkeren van al het AS64267 / Sprious LCC verkeer en zorgen dat de nieuwe IP blokken van deze criminelen snel op de blacklist komen heeft zijn vruchten afgeworpen. Het aantal berichten dat nog op de blogs wordt afgevuurd (uiteraard zonder te worden geaccepteerd als reactie) is van tientallen per blog per dag gereduceerd tot enkele stuks. Een goede prestatie dus. Het is echter een illusie te denken dat daarmee de strijd is gewonnen. Spammers gaan door, want de business redeneert te veel.

Wat opvalt in de spamstroom van de afgelopen week over meerdere blogs gemeten is dat er een partij actief is die claim captchas te kunnen omzeilen. Er wordt blogspam afgevuurd op blogs met als boodschap dat deze partij miljoenen websites kan bereiken. Het zou daarom een effectieve manier van adverteren zijn.

Het belangrijkste deel van de spam boodschap staat hier onder. Om niet te veel onnodig verkeer te generen is de o overal vervangen voor een 0 (nul).

Sending y0ur business pr0p0siti0n thr0ugh the feedback f0rm which can be f0und 0n the sites in the c0ntact secti0n. Feedback f0rms are filled in by 0ur pr0gram and the captcha is s0lved. The superi0rity 0f this meth0d is that messages sent thr0ugh feedback f0rms are whitelisted. This meth0d increases the chances that y0ur message will be 0pen.

Zoekmachines

Deze vier zinnen zijn elk meer dan 150.000 keer terug te vinden in de bekende zoekmachine. Dat staat gelijk aan het aantal blogs dat door deze spammers inmiddels is bevuild. Wie probeert de vervuilde sites te filteren komt enkele meldingen tegen van bloggers die klagen over spam die niet door de captcha is tegengehouden. Deze captcha plugin maker lijkt daarbij aan te geven geen oplossing paraat te hebben. Zou dit dan de claim van de cybercriminelen bewijzen?

Verouderd?

Wat opvalt is dat bij de Nederlandse blogs die hier last van hebben het gaat om sites die zo te zien niet dagelijks worden gevoed met nieuwe berichten. Sommige zijn ook niet meer dan een enkele voorpagina. Daardoor ga ik denken dat de WP en plugin versies wel eens verouderd kunnen zijn.

Rusland

De lieden achter deze captcha kraak en blogvervuiling komen overigens uit Rusland. De website wordt er gehost (“The PTR of the IP number is srv103-h-st.jino.ru. The IP number is in Russia. It is hosted by RTCOMM-RU”).  Ondanks het Engelse Whatsappnummer wijst ook de rest op een Russische operatie. Een belangrijke indicatie daarvoor is het opgeknipt door de zoekmachines gooien van de boodschap. Dan blijkt dat de tekst in licht gewijzigde vorm – de verzender gebruikte enkelvoud in plaats van meervoud – al vorig jaar werd toegepast. Rond die oudere boodschappen staan wat fouten die verwijzen naar een ander schrift dan wel toetsenbord.

Het tegengaan van deze cybercriminelen activiteiten (het omzeilen van beveiligingen, maakt het een criminele handeling) is mogelijk. Blacklisting van IP reeksen uit landen waar geen zaken mee wordt gedaan is een. Zorgen dat met of zonder captcha nieuwe posters eerst in de wachtrij komen is twee.

Share: