Nem érdemes leleplezni vagy sértegetni a jelszavak és más személyes adatok lenyúlásában utazó adathalászokat, mert újabban külön készülnek a szemtelenkedők megleckéztetésére – hívta fel a figyelmet az új jelenségre egy amerikai biztonsági cég. A SecureWorks szakemberi figyeltek fel arra, hogy az egyik ismert zombigéphálózat, az Asprox üzemeltetői célzott támadással állnak bosszút azokon, akik gúnyt űznek belőlük.

A legalább 50 000 gépből álló botnetet elsődlegesen amerikai vagy brit pénzintézetek nevében küldött adathalász (phishing) levelek terjesztésére használják. Ezekben hivatkozás mutat olyan, a bűnözők által készített és a választott bankok bejelentkezési oldalának megjelenését másoló lapokra, melyeken adatok megadását kérik a klikkelő felhasználóktól. Az efféle trükköket azonban sokan kiszúrják, és vannak olyanok is, akik ezt mindenképpen szeretnék közölni is a csalókkal. Például úgy, hogy az oldalon login és a jelszó helyett káromkodásokat gépelnek be, vagy a próbálkozást leleplezve azt, hogy „phish”.

Az Asprox fenntartói viszont ezt láthatóan nem veszik jó néven, és válaszul egy szűrőt építettek az oldalba, amely egyrészt ellenőrzi, hogy minden szükséges mezőt kitöltöttek-e, másrészt a phishinggel kapcsolatos, illetve káromkodásra használt kulcsszavakat is figyeli. Ha a felhasználó rákattint a „Confirm” gombra, és fennakad a filteren, támadás indul a gépe ellen. Ennek végrehajtásához egy ismert toolkitet, a Neosploitot használják, amely az operációs rendszer és a böngésző ismert biztonsági réseit próbálgatja végig. A nem patchelt rendszerek így aztán könnyen a lesajnált botnet részévé válhatnak.

Az eset különlegességét az adja, hogy azok a felhasználók, akik látszólag valós, a phisherek által használható adatokat adnak meg, nem kapnak a támadásból, őket végül átirányítják a bank valódi weboldalára. Az attak tehát kifejezetten azokat célozza, akik szívózni akarnak a bűnözőkkel. Joe Stewart, a SecureWorks víruskutatási igazgatója azt mondja, ilyen adathalász oldallal korábban nem találkoztak.