En av de mer omfattande spam-attackerna där bland annat flera skolor och andra offentliga intuitioner fick stängas efter bombhot möjliggjordes av buggar i GoDaddys system för domänregistreringar.

I attackerna kapades domäner, trafik styrdes om och mängder av spam kunde skickas ut från till synes legitima webbplatser. I den spamflod fanns de mail som har spridits öven till svenska användare, översatta till svenska – de så kallade utpressningamilen där avsändaren hävdar att de har en inspelad, komprometterande video av mottagaren.

Släpptes igenom

Trots att mailen uppenbarligen var spam så släpptes de igenom nättet anti-spam filter i en aldrig tidigare noterad omfattning.

Experts at Cisco Talos and other security firms quickly drew parallels between the two mass spam campaigns, pointing to a significant overlap in Russia-based Internet addresses used to send the junk emails. Yet one aspect of these seemingly related campaigns that has been largely overlooked is the degree to whoch each achieved an unusually high rate of delivery to recipients.

Krebs on Security

Kapade domäner

Förklaringen var klappade webbadresser, domäner, som funnits länge vilket gjorde att filtren inte aktiverades. Trafik har kunnat styras om och detta på grund av brister i GoDaddys system för domänhantering. Förutom utpressningsmailen så skickades även bombhot ut som riktades mot skolor. I mailen kördes en summa i bitcoin som skulle betalas till ett visst konto, i annat fall så skulle en bomb sprängas. Mailen ledde till att flera skolor och andra offentliga verksamheter fick stängas ned i USA under sommaren.

Experter varnar nu för att vi kan komma att få se ny våg av liknande mail eftersom svagheterna i domänhanteringssystemet fortfarande inte åtgärdats.