Information Security Club | Клуб Информационной Безопасности — Stay Safe!
Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Welcome to Information Security Club! You can change the website language to English here. If you are here for the first time, please, register and read forum rules. If you forgot your password follow this link to restore it by email. Remember, some facilities and forum nodes for guests are not available, it's highly recommended to pass authorization.

Спам для любителей сисек Спам для любителей сисек

4.30 star(s) 3 Votes
А чего греха таить? Каждый из нас хоть когда-нибудь смотрел порнушку (а если кто-то из ваших знакомых не признается в этом, то он или она скорее вас обманывает :happy:), но далеко не все в порыве своих, так сказать, чувств и эмоций включают голову, ведь думать хочется в такие моменты совсем другим местом. Вот тут то и недолго оказаться на крючке у хитренького спамера-зломушленника, взявшего вас врасплох.


Каким же образом действуют нехорошие лица по ту сторону закона, посягнувшие на самое святое? Они обычно не особо изобретательны: заставят вас случайно нажать по скрытому перенаправлению на сторонний сайт, внезапно откроют лишнюю вкладку и окно в браузере, или покажут сочный баннер на том сайте, где вы как раз весело проводите время. "Ерунда!" — скажите вы. Но так было до поры до времени: эти ребята додумались, что пикантные уловки могут быть уместны и в случае со спам-рассылками! Как? Да очень просто — смотрите на пример такого письма ниже.


3681
Таинственное письмо для одиноких людей, содержащее в себе две ссылки на сторонние веб-ресурсы (такие письма чаще всего определяются антиспам-фильтрами почтового сервиса Gmail и сразу оказываются в папке "Спам", но в случае с Яндекс.Почтой процент обнаружения заметно хуже) , которые обведены в красные рамки, так и манит своей загадочностью. Казалось бы, попытка заманить искушенного пользователя куда-либо при чтении письма на почте куда меньше обречена на успех, нежели когда он разгорячен и находится на самом порносайте. Однако, как раз вследствие регулярного посещения таких веб-ресурсов, многие там в тайне завели даже собственный аккаунт, а вот это уже ближе к делу! На самом деле нет ничего постыдного в том, что некоторые люди, для того, чтобы авторизоваться, например, на том же порнхабе, используют привязку к своему аккаунту в социальной сети "Вконтакте", или же просто по тем или иным причинам регистрируются на подобных источниках постоянного наслаждения. А вот что на самом деле постыдно, так это попытка заманить как раз таких пользователей на подставной и опасный веб-сайт под видом того, что у них там уже есть свой аккаунт! Не особо внимательные лица могут просто вспомнить о своем небольшом секрете, связанным с наличием аккаунта на одном из порносайтов, и повестись на довольно простую уловку мошенников. Действительно, а вдруг их там случайно нашла какая-то заблудшая распутница и решила, не теряя времени, поскорее выйти на связь?

Так что же за ссылки в письме и куда они ведут? Давайте разбираться. Для начала обратите внимание, по какому доменному имени зарегистрирован почтовый ящик отправителя этого спам-письма (обведено в красную рамку на скриншоте ниже):



3685
Коварство в том, что сам домен целиком не вызывает каких-то опасений, поскольку его первый уровень принадлежит международной зоне .com, где не так часто можно найти мошеннические и опасные веб-ресурсы. Да и само доменное имя второго уровня выглядит весьма кратко и лаконично. Наряду со всем остальным, первый уровень доменного имени не имеет отношения к редко используемым зонам малоизвестных стран (как, например, .tk), во втором уровне отсутствуют хаотичные наборы символов и все то, что могло бы насторожить. доменного имени на сервисе VirusTotal также сама по себе ничего не дает. И что же получается, нам написал кто-то с почтового ящика, принадлежащего пусть и не какому-то известному почтовому сервису, но вполне безопасному, на первый взгляд, источнику? Что ж, остается только идти заводить романтическое знакомство! Если серьезно, то в случае со спамом доменные имена роли никакой не играют, поскольку, в виду их постоянной блокировки за спам-рассылки, они постоянно меняются.

Перейдем по первой ссылке (Check out her Profile, or browse her Photo Album) и окажемся на увлекательной веб-страницы (уж очень красивый там фон, как мне кажется :blush:):


3682
Думаю, что уже много кто на данном этапе почует развод, поскольку в лучшем случае нас пытаются завлечь на некий сомнительный веб-ресурс с эротическими знакомствами и прочим в таком же духе. Как вы могли заметить, конечный URL-адрес того сайта, куда мы попали в первый раз по ссылке из письма, сильно отличается от домена почтового адреса, где зарегистрирован email отправителя письма.

На самом деле, при повторном нажатии на первую ссылку из письма нас перенаправит уже на совсем другой веб-ресурс:


3683
Невероятно, после того, как в первый раз нам без предупреждения показали голую женщину (простите за цензуру), во второй раз нас предупреждают о неприличном контенте! :) Заметьте, что отличается и не только степень приличия первого и второго сайта, на которые мы попали по одной и той же ссылке, но и их URL-адреса, что гораздо важнее.

И если провести URL-адреса третьего открывшегося по первой ссылке из письма сайта на VirusTotal, то результаты окажутся куда менее радужными. Таким образом, по первой ссылке в письме из раза в раз перенаправляет на совершенно разные веб-страницы с отличными друг от друга URL-адресами. И куда вы попадете в очередной раз — на фишинговый, вредоносный или безопасный веб-ресурс, одному богу известно! Не говоря уже о всем том безобразии, что там творится.

Хорошо, с первой ссылкой в письме всё понятно. Что же со второй (UNSUBSCRIBE)? А здесь ничего интересно — каждый раз происходит перенаправление действительно на тот ресурс, на котором зарегистрирован почтовый ящик отправителя. Там можно наблюдать имитацию отписки от их сервиса по рассылке, чтобы опять же наивные читатели письма лишний раз задумались о своем тёмном прошлом и поверили в то, что они "с горяча" когда-то действительно подписались на что-то подобное:


3684
Выводы из этой истории предельно простые. Никогда не теряйте голову, даже если хочется расслабиться! Помните, уважающие себя безопасные и известные веб-ресурсы с эротическим контентом никогда не будут проводить рассылку со ссылками на сторонние, не имеющие к ним никакого отношения, сайты — они будут бороться за своих клиентов и заботиться об их безопасности, поэтому ничего кроме безобидной рекламы вы там не встретите.


x-sis, при копировании материалов статьи ссылка на форум https://ProvisionSecurity.Club обязательна.
 

Comments

Каждый из нас хоть когда-нибудь смотрел порнушку
Не-не-не-не-не-не, это не про меня :)
(простите за цензуру)
Наоборот, спасибо :)
уж очень красивый там фон, как мне кажется :blush:
Вы имеете ввиду, цвет фона? :) Если да, то я с Вами согласен. А если про картинки, то я буду держаться от вас подальше :)
 
У меня весь спам Mailовской почты кишит такими письмами (по три сотни уже лежит), хотя не был замечен на подобных сайтах (не регистрировался по крайней мере:)). Ссылки такие не открывал, так как знаю что там. Недавно еще в WhatsApp написали сообщения "о выигрыше". Разводят народ!
 

Top Bottom