Vores indbakker bliver dagligt ramt af e-mails med overskrifter som:
- This Alert is a Traders Dream
- This little stock is on steroids
- What A Great Start We`ve Had! Watch-list Inside
- They`re going to Explode like Champagne
- IT MAKES A MOVE!
Fælles for dem alle er, at de forsøger at lokke modtageren til at købe aktier i et lille firma ved at promovere det meget positivt. I dette tilfælde drejer det sig om et lille medicinalfirma fra Clearwater, Florida ved navn Biostem.us.
På en 6 måneders oversigt er det tydeligt at se udviklingen i aktieopkøb, og samtidig kan man nærmest følge spamkampagnen i real-tid.
"Pump-and-dump"-affærer går ud på at blæse en virksomheds aktier (typisk små, såkaldte "microcap" virksomheder) op ved hjælp af falske og vildledende postulater.
Før i tiden var det almindeligt at sprede disse falske påstande ved at phonere (eller telefonsælgere) ringede op til tilfældige numre og pustede en stemning op omkring køb af aktier. Det bliver også kaldt sidegadevekselerer og kunne være en langvarig affære, hvor der skulle bruges store ressourcer på at opbygge et tillidsforhold til ofret. I internettets tidsalder er det i sagens natur blevet meget nemmere at nå ud til det brede publikum på sociale medier via spam kampagner samt på opslagstavler og i chatrum.
Svindlerene opfordrer til hurtigt (inden ofret når at tænke sig om) at købe en aktie eller sælge før prisen går ned. Ofte vil initiativtagerne hævde at have "insider-oplysninger" om en forestående udvikling eller at have en "ufejlbarlig" kombination af økonomisk- og aktiemarkeds-data til at udvælge aktier.
Omtale af Biostems aktieudvikling på webside for private aktiehandlere. Det er min opfattelse at brugeren 'michael243' er (muligvis uvidende om svindelnummeret) medejer Dr Michael Markou, D.O og brugeren 'The_Insider_22' er spammeren.
I virkeligheden kan de være betalte promotore – eller folk der selv ejer store mængder aktier, der står til at vinde ved at sælge deres aktier efter aktiekursen er "pumpet" op af de vilde opkøb, de skaber. Når disse svindlere "dumper" deres aktier og stopper hysteriet, falder prisen typisk, og investorerne mister deres penge.
En undersøgelse af 75.000 uopfordrede e-mails sendt mellem januar 2004 og juli 2005 konkluderede, at spammere kunne få et gennemsnitligt afkast på 4,29% ved hjælp af denne metode, mens modtagere som handler på spam-mailen typisk taber tæt på 5,5% af deres investering inden for to dage.
Hvor kommer alle disse mails fra?
De bliver spammet ud fra et botnet kaldet Kelihos. Netværket trak store overskrifter efter Boston Marathon eksplosionen og ligeledes efter eksplosionen i Texas hvor der skete en dramatisk udvidelse af deres botnet.
Når en bot bliver instrueret til at afsende spammails henter den sin skabelon og modtager-adresser fra en proxy/dron i netværket:
GET /[%vilkårlig streng%].htm HTTP/1.1
Host: [IP adresse fra en dron i netværket]
Content-Length: 1320 (vil variere)
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ja; rv:1.9.2a1pre) Gecko/20090403 Firefox/3.6a1pre
%krypteret data%
HTTP/1.1 200
Server: Apache
Content-Length: (længe baseret på indhold af spam skabelon)
Content-Type:
Last-Modified: X
Accept-Ranges: bytes
Server:nginx/0.8.34
Date:Sun, 23 May 2013 X
Last-Modified:Sun, 23 May 2013 X
Accept-Ranges:bytes
%krypteret data%
Kelihos er i spambot klassen, men er også i stand til at stjæle brugernavn og passwords samt at installere yderligere malware. Den benytter sig af fast flux teknologi, men for at det ikke skal være løgn, så benytter den også Navneserver fastfluxing. Dette kaldes teknisk set ”double-flux” og gør netværket utroligt svært at lukke ned – der er hverken DNS- eller webserver.
Vi har blokeret en omfattende liste af domæner, som anvendes af Kelihos, i CSIS Secure DNS.