Home
Contacts
Private
Notes
Русский Как-то при обсуждении вопроса о том, помогает ли американский SPAM-CAN акт в борьбе со спамом, один товарищ, без вопросов серьезнейший специалист по спаму, публикующий статьи и т.п. и т.п, короче, человек более чем в теме, выразил убеждение, что основным источником спама в мире является США. Я вовсе не собираюсь рассматривать эффективность SPAM-CAN или даже оспаривать утверждение о США как основном источнике спама, я только хочу продемонстрировать, чем являются спамовые письма, которые мы считаем типично американскими.
Рассмотриваю свежее поступление, для интереса берем не просто спам, а фишинг. Сути дела это не меняет, просто удлиняет расследование на один шаг, так даже интереснее. Письмо эмулирует сообщение от Фейсбука о том, что мне пришло сообщение от Facebook Team. Письмо на английском. Ссылка в теле письма – обман, она выглядит как ссылка на Facebook, но ведет на иранский домен. На этом домене есть много интересного, в основном трояны, но наша ссылка редиректится яваскриптом на домен checkwest.com, зарегистрированный в Китае. Вот кусочек той информации, которую дает whois по поводу этого домена:
igor@homemain ~ $ whois checkwest.com
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: CHECKWEST.COM
Registrar: CHINA SPRINGBOARD INC.
Whois Server: whois.namerich.cn
Referral URL: http://www.namerich.cn
Name Server: NS1.SERENESWEET.COM
Name Server: NS2.SERENESWEET.COM
Name Server: NS3.DOORMONTH.COM
Name Server: NS4.DOORMONTH.COM
Name Server: NS5.0SF.RU
Name Server: NS6.0SF.RUУже интересно – среди NS серверов есть два из зоны .ру. Строго говоря, это ничего не доказывает, смотрим дальше.
Открываем сайт checkwest.com и смотрим. Выглядит профессионально, типа интернет магазин по продаже Виагры и всяких разных дженериков, контактный телефон – с кодом США, никаких вирусов, скрытых фреймов, все путем. Если положить что-нибудь в корзину и перейти к оплате, там форма, куда нужно вводить биллинговую информацию. Кнопку, которую надо нажимать после заполнения формы, обслуживает яваскрипт, внутри скрипта комментарии на русском языке:
// Обрабатываем кнопку вправо влево и delete
else if(evnt.keyCode == 37 || evnt.keyCode == 39 || evnt.keyCode == 46){
return true;
}
// Обрабатываем кнопку tab
else if(evnt.keyCode == 9){
if(evnt.target.name == "phone1") pn2.focus();
else if(evnt.target.name == "phone2") pn3.focus();
else if(evnt.target.name == "phone3") pn4.focus();
return false;
}Я не стану предполагать, куда пойдут ваши деньги, если вы заплатите этому магазину :). Если учесть способы, которыми привлекаются посетители, можно уверенно сказать, что никакая Виагра вам не отгрузится.
Остается только добавить, и именно это и сподвигло меня написать эту заметку, что практически весь выборочно проверенный мной таким образом “американский” спам в итоге приводил к “русскому следу”. Или комментарии в коде, или российские ДНС, попадались даже адреса с mail.ru и Яндекса в whois-инфе о доменах. Более того, и другие широко известные “спамовые” страны – Китай и Бразилия – по моему глубокому убеждению стали таковыми только потому, что там легко находится abuse-free хостинг (то есть провайдеры, которые не отключают вам сервера из-за жалоб получателей спама), используемые именно российскими спамерами. Во всяком случае несколько попыток исследовать корни спама, приходящего оттуда, привели к такому результату.
5 comments к "Мифы: о спаме, фишинге и прочих мерзостях."
Комментировать: