Ebben a témakörben volt már Java frissítéstől kezdve, átverős Microsoft Update-en át, Google Plus meghívó, hamis iTunes számla, e-mail a Youtube-tól, írt nekünk a CERT és LinkedIn meghívót is kaptunk már, sőt értesítettek minket arról is, hogy állítólag új képek érkeztek a Picasa albumunkba. A spamek linkjei szerencsére többnyire nem kártevőre mutattak, hanem "csak" adathalász oldalra, illetve leggyakrabban valamilyen kanadai gyógyszerész, azaz hamis gyógyszereket áruló webáruházra. Nézzük akkor a mai potenciális áldozatunkat, hova vezet a nyilvánvalóan nem az Instagram üzemeltetői által nekünk küldött levél, amit egyenesen Stacy Green adminisztrátortól kaptunk.

Az egér hover tisztán és világosan kiírja, hogy linkünk eredetileg egy valaki által tesztelgetett Wordpress lapra mutat, nevezetesen a 2010-ben lefoglalt nurielreviews.com weboldalra. Itt emberünk anno 2010. január 18-án még nagy lelkesen tervezgette, hogy milyen játszi könnyedséggel fog angyalos témájú CMS weboldalt készíteni. El is jutott az értékes "Hello World", valamint a még értékesebb "Hi, this is a comment" teszt bejegyzésig, majd ennél a pontnál valószínűleg elsodorhatták az események. Meggondolta magát és Nuriel helyett végül inkább Rafaelről, Sindolfonról, esetleg Mitatronelről készített weblapot, vagy pedig megivott még egy sört, és totálisan elfelejtkezett az egész tervről.

Ezzel együtt a Wordpress frissítéseit is nyilván elhanyagolta, és persze azt sem nagyon követte, hogy a weblapját kik és hogyan használják (ki). A támadóknak pedig bőven volt elég ideje a négy év alatt felhalmozódott sebezhetőségek távoli és automatizált kihasználására. Nem történt volna meg - ahogy a szlogen is mondja - ha például csak a statisztika tüskéket megnézte volna, abból azért már bőven gyanút foghatott volna. Ez a kép egy másik Wordpress weboldal statja, és jól láthatóan mutatja, hogy ott bizony áprilisban szembeszökően megszaporodtak a rendkívüli események.

A spam linkéjre kattintva a Nuriel-es Wordpress weblap egyik dokumentumába beszúrt script "compactor.php" aztán átdob minket egy alig pár hete bejegyzett orosz weboldalra, amely Viagrával és egyéb diszkont áras hamis gyógyszerrel várja a balekokat.

Jól láthatóan hemzsegnek a hamis értékelések, amelyben agyba-főbe dícsérik az webshopot. Van aztán az oldal alján "megbízható" Verisign logó, Verified by VISA ikon, meg a sok csomagküldő plecsni mellett természetesen az elmaradhatatlan bankkártya elfogadás, sőt még "Privacy Policy" is és vicces módon "Anti-Spam" menüpont is. Ez utóbbiban arról tájékoztatnak bennünket, hogy ők milyen szigorú spam ellenes policy-vel is rendelkeznek.

Mai záró üzenetünket amolyan gondolatébresztőnek szánjuk. Te olvasó, igen igen te! Ha van olyan weblapod, domained, amit még a Dózsa-féle parasztfelkelés előtt lefoglaltál, de már évek óta feléje sem néztél, akkor most ezennel ünnepélyesen eljött az idő. Az ott futó őskövület php, Wordpress, Joomla vagy Drupal miatt lehet, hogy az már régen nem a te weblapod, hanem ugródeszka akárhova. Ha a beszúrt JavaScript kódok nem visznek közvetlenül vírusos oldalakra, akkor esetleg nem is kap róla a tulajdonos Google figyelmeztetést (Bejelentett Támadó Webhely). Tehát frissítsünk, ellenőrizzünk, vagy ha végképp felesleges a korábban még oly fontos domain, akkor kár fizetni érte és közben kompromitállódni hagyni - lehet, hogy ideje inkább meghirdetni.