А чего греха таить? Каждый из нас хоть когда-нибудь смотрел порнушку (а если кто-то из ваших знакомых не признается в этом, то он или она скорее вас обманывает
), но далеко не все в порыве своих, так сказать, чувств и эмоций включают голову, ведь думать хочется в такие моменты совсем другим местом. Вот тут то и недолго оказаться на крючке у хитренького спамера-зломушленника, взявшего вас врасплох.

Каким же образом действуют нехорошие лица по ту сторону закона, посягнувшие на самое святое? Они обычно не особо изобретательны: заставят вас случайно нажать по скрытому перенаправлению на сторонний сайт, внезапно откроют лишнюю вкладку и окно в браузере, или покажут сочный баннер на том сайте, где вы как раз весело проводите время. "Ерунда!" — скажите вы. Но так было до поры до времени: эти ребята додумались, что пикантные уловки могут быть уместны и в случае со спам-рассылками! Как? Да очень просто — смотрите на пример такого письма ниже.
Таинственное письмо для одиноких людей, содержащее в себе две ссылки на сторонние веб-ресурсы (такие письма чаще всего определяются антиспам-фильтрами почтового сервиса Gmail и сразу оказываются в папке "Спам", но в случае с Яндекс.Почтой процент обнаружения заметно хуже) , которые обведены в красные рамки, так и манит своей загадочностью. Казалось бы, попытка заманить искушенного пользователя куда-либо при чтении письма на почте куда меньше обречена на успех, нежели когда он разгорячен и находится на самом порносайте. Однако, как раз вследствие регулярного посещения таких веб-ресурсов, многие там в тайне завели даже собственный аккаунт, а вот это уже ближе к делу! На самом деле нет ничего постыдного в том, что некоторые люди, для того, чтобы авторизоваться, например, на том же порнхабе, используют привязку к своему аккаунту в социальной сети "Вконтакте", или же просто по тем или иным причинам регистрируются на подобных источниках постоянного наслаждения. А вот что на самом деле постыдно, так это попытка заманить как раз таких пользователей на подставной и опасный веб-сайт под видом того, что у них там уже есть свой аккаунт! Не особо внимательные лица могут просто вспомнить о своем небольшом секрете, связанным с наличием аккаунта на одном из порносайтов, и повестись на довольно простую уловку мошенников. Действительно, а вдруг их там случайно нашла какая-то заблудшая распутница и решила, не теряя времени, поскорее выйти на связь?
Так что же за ссылки в письме и куда они ведут? Давайте разбираться. Для начала обратите внимание, по какому доменному имени зарегистрирован почтовый ящик отправителя этого спам-письма (обведено в красную рамку на скриншоте ниже):
Так что же за ссылки в письме и куда они ведут? Давайте разбираться. Для начала обратите внимание, по какому доменному имени зарегистрирован почтовый ящик отправителя этого спам-письма (обведено в красную рамку на скриншоте ниже):
Коварство в том, что сам домен целиком не вызывает каких-то опасений, поскольку его первый уровень принадлежит международной зоне .com, где не так часто можно найти мошеннические и опасные веб-ресурсы. Да и само доменное имя второго уровня выглядит весьма кратко и лаконично. Наряду со всем остальным, первый уровень доменного имени не имеет отношения к редко используемым зонам малоизвестных стран (как, например, .tk), во втором уровне отсутствуют хаотичные наборы символов и все то, что могло бы насторожить.
доменного имени на сервисе VirusTotal также сама по себе ничего не дает. И что же получается, нам написал кто-то с почтового ящика, принадлежащего пусть и не какому-то известному почтовому сервису, но вполне безопасному, на первый взгляд, источнику? Что ж, остается только идти заводить романтическое знакомство! Если серьезно, то в случае со спамом доменные имена роли никакой не играют, поскольку, в виду их постоянной блокировки за спам-рассылки, они постоянно меняются.
Перейдем по первой ссылке (Check out her Profile, or browse her Photo Album) и окажемся на увлекательной веб-страницы (уж очень красивый там фон, как мне кажется
):
Перейдем по первой ссылке (Check out her Profile, or browse her Photo Album) и окажемся на увлекательной веб-страницы (уж очень красивый там фон, как мне кажется

Думаю, что уже много кто на данном этапе почует развод, поскольку в лучшем случае нас пытаются завлечь на некий сомнительный веб-ресурс с эротическими знакомствами и прочим в таком же духе. Как вы могли заметить, конечный URL-адрес того сайта, куда мы попали в первый раз по ссылке из письма, сильно отличается от домена почтового адреса, где зарегистрирован email отправителя письма.
На самом деле, при повторном нажатии на первую ссылку из письма нас перенаправит уже на совсем другой веб-ресурс:
На самом деле, при повторном нажатии на первую ссылку из письма нас перенаправит уже на совсем другой веб-ресурс:
Невероятно, после того, как в первый раз нам без предупреждения показали голую женщину (простите за цензуру), во второй раз нас предупреждают о неприличном контенте!
Заметьте, что отличается и не только степень приличия первого и второго сайта, на которые мы попали по одной и той же ссылке, но и их URL-адреса, что гораздо важнее.
И если провести URL-адреса третьего открывшегося по первой ссылке из письма сайта на VirusTotal, то результаты окажутся куда менее радужными. Таким образом, по первой ссылке в письме из раза в раз перенаправляет на совершенно разные веб-страницы с отличными друг от друга URL-адресами. И куда вы попадете в очередной раз — на фишинговый, вредоносный или безопасный веб-ресурс, одному богу известно! Не говоря уже о всем том безобразии, что там творится.
Хорошо, с первой ссылкой в письме всё понятно. Что же со второй (UNSUBSCRIBE)? А здесь ничего интересно — каждый раз происходит перенаправление действительно на тот ресурс, на котором зарегистрирован почтовый ящик отправителя. Там можно наблюдать имитацию отписки от их сервиса по рассылке, чтобы опять же наивные читатели письма лишний раз задумались о своем тёмном прошлом и поверили в то, что они "с горяча" когда-то действительно подписались на что-то подобное:

И если провести URL-адреса третьего открывшегося по первой ссылке из письма сайта на VirusTotal, то результаты окажутся куда менее радужными. Таким образом, по первой ссылке в письме из раза в раз перенаправляет на совершенно разные веб-страницы с отличными друг от друга URL-адресами. И куда вы попадете в очередной раз — на фишинговый, вредоносный или безопасный веб-ресурс, одному богу известно! Не говоря уже о всем том безобразии, что там творится.
Хорошо, с первой ссылкой в письме всё понятно. Что же со второй (UNSUBSCRIBE)? А здесь ничего интересно — каждый раз происходит перенаправление действительно на тот ресурс, на котором зарегистрирован почтовый ящик отправителя. Там можно наблюдать имитацию отписки от их сервиса по рассылке, чтобы опять же наивные читатели письма лишний раз задумались о своем тёмном прошлом и поверили в то, что они "с горяча" когда-то действительно подписались на что-то подобное:
Выводы из этой истории предельно простые. Никогда не теряйте голову, даже если хочется расслабиться! Помните, уважающие себя безопасные и известные веб-ресурсы с эротическим контентом никогда не будут проводить рассылку со ссылками на сторонние, не имеющие к ним никакого отношения, сайты — они будут бороться за своих клиентов и заботиться об их безопасности, поэтому ничего кроме безобидной рекламы вы там не встретите.
x-sis, при копировании материалов статьи ссылка на форум https://ProvisionSecurity.Club обязательна.