14.05.2020 | 16:33

Adam Haertle

Jak wyciek z morele.net do dzisiaj prześladuje naszego czytelnika

Nasze dane wyciekają. To nieuniknione. Trafiają potem między innymi w ręce spamerów, którzy robią z naszych e-maili niecny użytek. Najczęściej nie wiemy, skąd nasz adres pozyskali – chyba że są tacy mili i sami nas o tym informują.

Gdy przychodzi spam, szczególnie na adres, który podawaliśmy już tysiąc razy w całym internecie, nie wiemy, kogo można obwiniać. Wyjątkiem są tylko osoby, które od lat wszędzie podają zindywidualizowane adresy pocztowe (np. [email protected] lub [email protected]), jednak mało kto ma aż taką dyscyplinę. W opisywanym poniżej przypadku to jednak spamer zadbał o dostarczenie niezbędnych informacji.

Co się stanie, gdy klikniesz „Unsubscribe”

Jeden z naszych czytelników, Krzysztof, dostał spam. Spam jak spam – zrzut ekranu poniżej.

Oferta randkowa

Sara Kolodziejczyk z Pabianic najwyraźniej nie przypadła Krzysztofowi do gustu, ponieważ podjął ryzyko i kliknął guzik „Unsubscribe”, znajdujący się na samym dole wiadomości.

Tu drobna dygresja – w sieci popularne jest przekonanie, że klikanie „Unsubscribe” w spamie powoduje, że nasz adres zostaje „potwierdzony” i od tego momentu spamu będzie więcej. Przekonanie to uważamy za błędne – spamerzy nie przejmują się tym, czy dany adres jest potwierdzony, czy nie. Wysłanie miliona e-maili kosztuje kilka centów, więc nie będą oni tracić czasu na usuwanie „niepotwierdzonych” albo przesuwanie „potwierdzonych” na inna listę. Każdy dostaje wszystko, a co!

Niespodzianka

Gdy Krzysztof otworzył linka „Unsubscribe”, jego oczom ukazał się poniższy widok.

Strona do wypisywania się z bazy

Jak pewnie już zauważyliście, na górze pojawiła się nazwa listy, do której spamer zapisał Krzysztofa. A listę spamer nazwał dość charakterystycznie, mianowicie „PL morele FULL”. Zastanówmy się teraz wspólnie, skąd mógł wyciec adres Krzysztofa…

PS. Krzysztof mówi, że po kliknięciu „Unsubcribe” przestali przysyłać analogiczne oferty. Klikajcie zatem rozważnie.

Wnioski i przemyślenia

To, że baza morele.net jest publicznie dostępna dla całego internetu, nie jest już od dawna żadną tajemnicą. Historię incydentu możecie prześledzić w naszym cyklu wpisów na ten temat. Warto jednak zwrócić uwagę na inne zjawisko. Otóż po każdym większym wycieku mamy takie oto rozmowy z czytelnikami:

  • Czytelnik: Dostałem spam, na pewno z powodu wycieku morele!
  • z3s: A używałeś w morele unikatowego adresu e-mail?
  • Czytelnik: Nie, ale dostałem spam pół godziny po artykule o wycieku!
  • z3s: A to pierwszy spam, jaki dostałeś na to konto?
  • Czytelnik: Nie, ale morele!

Identyczną sytuację mieliśmy także po wycieku z Politechniki Warszawskiej, choć w tym wypadku jesteśmy praktycznie pewni, że dane nie trafiły w niepowołane ręce.

Nie każdy spam bierze się z wycieku, o którym właśnie słyszeliście. Nie każdy telefon jest skutkiem włamania do Morele. Dowody, takie jak zrzut ekranu powyżej, trafiają się niestety wyjątkowo rzadko. Zakładajcie zatem unikatowe konta – a potem podsyłajcie dowody na kolejne wycieki :)

Bezpieczeństwu kont i haseł poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących ofiarom wycieków. Do tego 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.

Kod rabatowy
Ofiarom wycieków proponujemy kod rabatowy BijZlodzieja w wysokości 15%.
Powrót

Komentarze

  • 2020.05.14 17:43 Laura

    teoretycznie, bardziej zawzięci mogliby po prostu wyciąć wszystkie „+nazwaserwisu” regexem, przynajmniej z gmail’ów

    Odpowiedz
    • 2020.05.15 00:24 Kmoczar

      Poza tym, że często bezmyślna walidacja nie puszcza takich adresów :|

      Odpowiedz
  • 2020.05.14 18:25 Witek

    Niestety nie wszystkie formularze w sklepach dają opcje podania adresu email z plusem jak w przykładzie.

    Odpowiedz
    • 2020.05.14 20:42 Sebastian

      Ale to przecież wcale nie musi być „+”.
      To może być „_” lub pisane razem.

      Odpowiedz
      • 2020.05.15 08:36 zakius

        ale to będzie wtedy już inny adres przecież? inne konto

        Odpowiedz
    • 2020.05.15 14:21 tdads

      Dlatego lepiej mieć sensowną skrzynkę mailową, która daje możliwość ustawienia aliasów (czyli gmail odpada). Nie chcę robić kryptoreklamy, ale od dłuższego czasu korzystam z tutanoty i jest mi dużo wygodniej z aliasami niż np. z kilkoma kontami na gmailu albo poleganiu na adresach z „+” (bo takie dopiski można łatwo regexem usunąć).

      Odpowiedz
      • 2020.05.23 17:25 Krzysztof

        Tutanoda w darmowym wariancie odpada – po 6 miesiącach nieaktywności konto przepada.

        Odpowiedz
        • 2020.06.08 20:51 Freynir

          No bez przesady, nawet na konto spamowe poczty zaglądam trochę częściej niż raz na pół roku.

          Odpowiedz
    • 2020.05.17 19:49 sdfsdf

      jak konto jest na gmailu to można pododawać kropek

      Odpowiedz
  • 2020.05.14 20:18 łoku

    > w sieci popularne jest przekonanie, że klikanie „Unsubscribe” w spamie powoduje, że nasz adres zostaje „potwierdzony” i od tego momentu spamu będzie więcej. Przekonanie to uważamy za błędne – spamerzy nie przejmują się tym, czy dany adres jest potwierdzony, czy nie.

    Nie no, zaraz, zaraz… Czyli co, lepiej zawsze klikać??? Bo może akurat się wypiszemy, a w najgorszym wypadku nic się nie stanie??? Przecież te odsyłacze nie są puszczane w próżnię. Coś one robią. Nie przekonuje mnie to w ogóle.

    Odpowiedz
    • 2020.05.14 22:35 michu

      Ciężko powiedzieć co poeta miał na myśli, ale ja w nic nie klikam poza przyciskiem „Niechciana” w Thunderbirdzie. Tak jest chyba najlepiej :). Zresztą jak często widzę ten adres ukryty pod odnośnikiem to aż się odechciewa tego unsubscribe’a.

      Odpowiedz
    • 2020.05.15 01:03 Zbyszek

      Kliknięcie w dowolny link w spamie, również unsubscribe, kieruje na serwer afiliacyjny gdzie zliczane są kliknięcia w linki spamerskie lub na serwer zleceniodawcy spamu gdzie w linku masz parametr z numerem kampanii spamowej. Spamer za klikniecia dostaje pieniążki. A zleceniodawca informację, że przeczytałeś spam od góry do dołu skoro dotarłeś aż do unsubscribe na samym dole. Dlatego unsubscribe jest na dole. I to jeszcze uważnie czytałeś bo unsubscribe jest zwykle pisany drobną czcionką. Kliknięcie w cokolwiek w spamie potwierdza, że adres jest aktywny i ktoś czyta spam skoro w niego klika czyli jest zainteresowany. Dzięki temu spamer weryfikuje jakość zakupionej listy, a zleceniodawca jest przekonany o skuteczności kampanii spamowej. Dlatego dostaniesz spam z kolejnych list już z bardziej komercyjnymi firmami niż takie od podróbek wszystkiego. Z3S widocznie coś dostaje od spamerów skoro zachęca do klikania w spam. Jedyne sensowne unsubscribe to wrzucenie spamu do SpamCopa i na inne czarne listy – wtedy spamer dostanie prawdziwą informację unsubscribe za którą nic nie zarobi a na uczciwym hostingu może nawet wylecieć.

      Odpowiedz
      • 2020.05.15 07:34 Adam Haertle

        Wskaż proszę źródło swojej wiedzy. Rozmawiałeś z jakimś spamerem? Podglądałeś jak pracuje?

        Odpowiedz
        • 2020.05.15 09:01 łoku

          Adamie, a Ty? Znasz spamerów / robiłeś jakieś badania / jesteś spamerem i wiesz, że to „uczciwa branża”?

          To może jeszcze raz, Twoim zdaniem: kliknięcie wypisuje czy kompletnie nie robi nic?
          Jeśli wypisuje, to czemu? Jaki interes ma w tym spamer, skoro i tak jest nieuchwytny?
          Jeśli nie robi nic, to czemu w ogóle istnieje ten przycisk i gdzieś kieruje? Równie dobrze mogłoby go nie być.

          Odpowiedz
          • 2020.05.15 09:40 Adam Haertle

            Spędziłem ostatnie kilkanaście lat analizując świat cyberprzestępców – w tym spamerów. To moja praca. Są różne kategorie spamerów. Są tacy, ktorzy respektują „unsubscribe” i tacy, którzy ignorują. Nigdy nie trafiłem na żadnego, który by robił z niego inny użytek.

          • 2020.05.21 13:30 AX

            „Są tacy, ktorzy respektują „unsubscribe” i tacy, którzy ignorują. Nigdy nie trafiłem na żadnego, który by robił z niego inny użytek.” – Czyzby zaden na to nie wpadl? A moze tylko probuja uspic nasza czujnosc?

            A tak powaznie, czemu sugerujesz ludziom zeby wygrzebywali maile ze spamu i klikali zawarte w nich linki? Jesli wiadomosc trafia do spamu to niech sobie tam gnije, az zostanie automatycznie usunieta.

          • 2020.06.08 20:55 Freynir

            Kluczowe słowo:
            „ignorują” – czyli nie zwracają uwagi na to, czy ktoś kliknął, ale przecież sam serwer spamowy może mieć ustawiony licznik odpowiedzi? Ewentualnie zbierać adresy mailowe z katalogu unsub i podpinać je pod nowe listy mailingowe.

      • 2020.05.15 08:38 zakius

        oj nie przesadzaj, z wielu udało mi się wypisać w ten sposób, a jak po miesiącu dalej przychodzi to się zgłasza naruszenie i przestaje

        Odpowiedz
    • 2020.05.15 01:40 Dominik

      Mi się wydaje że więcej będzie bo to znaczy że adres aktywny oraz że osoba kilka w linki.

      Szkoda że oferty są jednak na ślepo wysyłane np. Oferta z zakupem jakies elektroniki by bardziej pasowała.

      Odpowiedz
    • 2020.05.15 06:03 stef

      Też podchodziłbym z nutką sceptycyzmu. Raz kliknąłem na Unsubscribe, a tu zaczyna się pobierać jakiś ZIP :) Anulowałem pobieranie i za takie wypisywanie, to ja dziękuję ;)
      Jednak myślę, że może być z tym różnie. Popatrzmy na temat od takiej strony – wysyłanie maili na miliony losowych adresów jest tanie. Ale gdyby mieć bazę adresów, których posiadacze są aktywni, a więc zaglądają, czytają? Zawsze można byłoby oferować wysyłki na takie „premium” zweryfikowane maile drożej :)
      Inna sprawa, że dziwię się spamerom, efekty przynosi to pewnie bliskie zeru – szczerze wątpię, aby ktoś kliknął w coś z takich reklam.
      W każdym razie ja czasami próbuję się wypisać, czasami nie, efekty są różne, wypisywanie czasami nie działa, tj. po wypisaniu spam i tak otrzymuję od tego samego „dostawcy”, a pożalić się na to nie ma komu.
      Na pewno ostatnio coś się strasznie ruszyło ze spamem, miałem długo spokój, ale od pewnego okresu jest spory wysyp.

      Odpowiedz
      • 2020.05.15 08:39 zakius

        zawsze jest komu, ale jak nie chce ci się nad tym zastanawiać to spamcop podpowie (ale ostateczną decyzję musisz podjąć samodzielnie)

        Odpowiedz
  • 2020.05.14 21:12 asdasdas

    Dlaczego nie mieliby przesuwać takich maili? Wtedy tworzy się ładniejsza baza aktywnych użytkowników, którzy w dodatku klikają w spam. To raczej cenna rzecz.

    Odpowiedz
    • 2020.05.15 07:34 Adam Haertle

      Bo nikt nie płaci za takie emaile ani grosza więcej?

      Odpowiedz
  • 2020.05.15 08:51 nsrx

    Miałem identyczną sytuację jak ta opisywana w artykule. Nigdy więcej zakupów w tym pseudosklepiku.

    Odpowiedz
  • 2020.05.15 12:18 Twój nick

    Mam email na interia pl od 2000 roku, nie jest to mój główny odres, lecz służy do rejestracji w serwisach gdzie nie podaje imienia i nazwiska. Kiedyś w czasach beztroskiego internetu, aby skomentowac artykuły podawalo się publicznie email pod komentarzem. Teraz mój adres stał się publicznie dostępną przyjętą dla spamerów i nie moge już usunąć go z internetu. Dlatego każdy spam, którym nie zawiera informacji skąd mają mój adres zgłaszam do spamcop, który tworzy czarną listę spamerów i później taki email od razu trafia do folderu spam. Ostatnio robię to rzadziej więc jak ktoś dostaje więcej spamu to pewnie przeze mnie. Lubie uprzykrzać spamerom życiem, ale spamcop przyjmuje tylko emaile otrzymane w ciagu 48 godzin. Czasami gdy spamer jest uporczywy dodaję całą domenę *.spamer.pl do filtra antyspamowego w interia pl ale dziala tylko wtedy gdy spamer cały czas korzysta z tej samej domeny w polu nadawca. Kiedyś rzeczywiście istnieli etyczni spamerz, którzy respektowali przycisk unsubscribe, ale te czasy odeszły do przeszłości. Jak ktoś chce ryzykować przyciskanie tego przycisku to niech eksperymentuje. Ja i tak będę celem spamerów więc mi to nie zaszkodzi ale i tak będę ich zgłaszać do spamcop.

    Odpowiedz
  • 2020.05.15 14:11 Edek

    Przepraszam, macie może namiary na tą Sarę Kołodziejczyk?

    Odpowiedz
  • 2020.05.15 14:57 zkz

    Linki do wypisania się nie wzbudzają mojego zaufania. Mail z jednej domeny, wypisanie z zupełnie innej. Kiedyś trafiłem na ten sam nr referencyjny od różnych spamdostawców.

    W dwóch przypadkach spróbowałem skontaktować się z administratorem danych. Oczywiście okoliczności wyrażenia mojej zgody na spam wzięte z kosmosu, z jakichś stron, czy firm z którymi nie miałem żadnego kontaktu, z ip z którego nie miałem szansy skorzystać (inny dostawca, inny rejon kraju).

    Z jedną firmą poszło w miarę sprawnie: zapytanie o dane, odpowiedź, kolejny mail z żądaniem usunięcia i w ciągu tygodnia spam od nich przestał przychodzić.
    Z drugą poszło trudniej, bo około miesiąca i musiałem się przypomnieć.
    Epilog taki, że pozbyłem się 2 źródeł spamu, a w międzyczasie doszło 5 nowych – walka z wiatrakami…

    Kilka razy też kliknąłem w ten link do usunięcia z subskrypcji. Ciężko powiedzieć czy zadziałało, bo tak samo jeden nadawca znika, a na jego miejsce dwóch nowych.

    Dojrzewam, żeby pozmieniać sobie adresy, raz żeby odciąć się od starego i spamu na niego przychodzącego, dwa żeby zidentyfikować, kto wypuścił w świat.

    Co mnie zastanawia:
    RODO nie RODO handel danymi kwitnie. Wygląda jakby nikt się nie przejmował skąd pochodzą adresy do rozsyłania spamu. Niby wszystko ok, jest firma, jest wpis w KRS ale obracają lewizną.

    Dlaczego usługodawcy poczty nie dają możliwości bardziej restrykcyjnej blokady. Na o2 jak dodam adres na czarną listę, to tylko do spamu mi wrzuca, a fajnie jakby odbiło z serwera z informacją, że takiego adresata nie ma.

    Odpowiedz
  • 2020.05.15 16:32 user

    Klikanie w linki do odwolania subskrypcji to bzdura.
    Kiedys tak zrobilem i zaczalem dostawac 10 razy tyle
    spamu w porownaniu do wczesniejszej ilosci.

    Nie, dzieki. Spam sie raportuje na czarnych listach
    i nie dyskutuje z terrorystami.

    Odpowiedz
  • 2020.05.15 22:57 Bog_jest_jeden_a_jest_nim_Arm

    Autor wycieku morelowej bazy, pewnie nawet nie mając tego świadomości, stał się największym marketingowcem w historii III RP. Jego wynik może pobić chyba tylko wyciek spisu wyborców z Poczty Polskiej (taki mój mokry sen, może niedługo się ziści :-) ).

    Uzyskanie danych 1/30 populacji kraju wiązałoby się w normalnych warunkach z wydatkiem rzędu setek tysięcy, jak nie milionów złotych.

    Jedyne za co mam do niego żal, to że nie udostępnił również bazy adresów (tylko ID-ki kluczy obcych). Niestety nie można mieć wszystkiego ;-)

    Baza będzie użyteczna przez bardzo długi okres. Z moich eksperymentów, docieralność kampanii SMSowych celowo opartych o numery telefonów użyte na kontach aktywnych ostatnio w 2015 oscyluje w okolicach 93% (na 1000 numerów około 930 potwierdza odebranie wiadomości). Wzięcie numerów z końcówki bazy (jak sie nie mylę październik 2018 to ostatnie wpisy) dochodzi do 98%. Dane (przynajmniej telefoniczne) będą aktualne jeszcze bardzo długo – dziesiątki lat.

    Trzymaj się.

    Odpowiedz
  • 2020.05.16 14:34 Radom

    Rownież kliknąłem unsubscribe i pojawił mi się podobny nagłowek MORELE. Jest to jedyny spam jaki dostaje na tę skrzynkę, która oczywiście była wykorzystana w morele. Sama ilość spamu się nie zmieniła, a przychodzić zaczął długo po wycieku.

    Pozdrawiam

    Odpowiedz
  • 2020.05.16 15:38 AX

    Niezrozumiale, ze ktos zajmujacy sie bezpieczenstwem zaleca klikanie jakichkolwiek linkow w podejrzanych mailach / spamie.

    Odpowiedz
    • 2020.05.18 00:17 Arm64

      niezrozumiałe że ludzie nadal myślą że bezpieczeństwo to „nieklikanie w linki”, zielona kłódeczka i wierzą że będą w stanie rozpoznać „podejrzaną” wiadomość

      Odpowiedz
      • 2020.05.21 13:08 AX

        Bezpieczenstwo to nadal nieklikanie linkow w spamie, nieinstalowanie programow z niezaufanych zrodel, uzywanie roznych hasel oraz instalowanie aktualizacji.

        Widze, ze wymaga to ciaglego powtarzania.

        Odpowiedz
  • 2020.05.16 21:27 Charlie

    Mój adres e-mail jest spalony przez ten wyciek. Był podany w banku i właśnie morele. Od czasu wycieku nie nadążam usuwać spamu dotyczącego gorących kobiet, które chcą się spotkać. Reklam na powiększenie kolegi i podobnych. Prywatny e-mail poszedł się ekhm..

    Odpowiedz
  • 2020.05.17 02:33 Sara Kołodziejczyk

    „Prosze tu podpisać, ze nie zgadza sie Pan podpisać”
    tfu pierdzielone trelemorele! ansabskrajb poleciał

    Odpowiedz
  • 2020.05.17 20:34 Nieadam

    Jeden youtuber, Atomic Shrimp, wrzucił niedawno filmik o klikaniu w linki w mailach. https://www.youtube.com/watch?v=gqhPkeXMeh0 Kiedy zachęcał, by w nie nie klikać nadmienił, że klikanie sprawia, że otrzymuje się o wiele więcej spamu, bo oznacza to maila wyższej jakości. Sądzisz, że to 100% nieprawda?

    Odpowiedz
    • 2020.05.17 22:52 Adam Haertle

      Tak.

      Odpowiedz
      • 2020.05.18 14:00 Szejk

        Czyli nie masz racji.

        Odpowiedz
        • 2020.05.19 16:56 CiecSzwagra

          ale ah i tak wie lepiej, bo 10 lat siedzi w temacie i wielu szwagrom komputery z wirusow naprawial.

          Odpowiedz
      • 2020.05.25 12:20 ŁukaSZ

        Tu się nie zgodzę.O ile wysłanie milionów maili to nie problem, o tyle problemem nie jest zautomatyzowanie ocenianie adresów potwierdzonych jako „aktywne”.

        Odpowiedz
  • 2020.06.04 15:50 cffttt

    Od 06.05.2020 dostaje spam na pocztę codziennie.Znają moje imię i nazwisko ale nie numer telefonu który zmieniłem ponad rok temu, oczywiście zakupy w morele robiłem też ponad rok temu.

    Odpowiedz
  • 2022.07.18 17:09 Paweł

    Dopadło mnie to tydzień temu.
    Ktoś próbował założyć konto na zalando moim adresem e-mail.
    Adres to mójadresemail+morele, wiadomo na jakim hostingu.

    6 razy próba założenia konta na mój e-mail, a potem zmiana adresu e-mail na:
    [email protected]

    ciekawe, czy to kolejny adres e-mail, który wyciekł, czy jednak jakiś krętacz postanowił się w końcu podpisać własnym nazwiskiem

    Odpowiedz

Zostaw odpowiedź do Arm64

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak wyciek z morele.net do dzisiaj prześladuje naszego czytelnika

Komentarze