Среди многочисленного спама, который сразу улетает в корзину, с удивлением обнаружил любопытно сделанные образцы и на которые я действительно потратил пару минут, чтобы понять что и как.
В первую очередь, весь этот спам шел на почту, которую я использую только для банков и для других финансовых институтов, типа кредитных бюро, а так же для детищ НПСК в том числе программ лояльности "Привет Мир", а так же детища Московской фондовой биржы "Финуслуги". Я не очень люблю "теории заговора", но именно Финуслуги я считаю источником слива этого емеила (для Банки.ру у меня другой ящик). Собственно 90% спама напрямую Финуслугами и генерируется (когда это указано в письме прямо), но будем считать, что я сам на это подписался.
Что меня удивило на этот раз. Ссылка в письмах - самое обычное доменное имя, давно зарегистрированное, но не используемое первым владельцем. То есть было какое-то время в свободной продаже у регистратора. В моем случае это http://aut***.ru (тут все понятно) и http://ak***der.ru (на момент регистрации домена это компания занималась порошковым напылением металлов). Если ввести эти адреса сейчас, произойдет перенаправление на страницу заказа КК Альфа банка "год без процентов". Вчера ссылки вела на сайт ТБ и карту "платинум", несколько дней назад на ВТБ "карта возможностей". Повторяю, это все официальные страницы банков, но с чьей то реферальной составляющей.
Пока писал, посмотрел сколько могут стоить домены (я в этом не спец), выяснил, что такие домены из двух слов не стоят фактически ничего - несколько сотен рублей. Но все они первого уровня и зарегистрированы в РФ.
Другой крайне любопытный факт - эти домены уже давно используют как прокладки (или как это называют в ИТ). Вебархив показывает, что еще в 2016г до этого ссылки вели, например, на сайт с рейтингами "онлайн курсов неважно чего". То есть много лет кто-то продолжает зарабатывать на "мошеннической" переадресации. Это не одноразовая ссылка от непонятного регистратора на бесплатный домен 3 уровня, не короткая ссылка. Кто-то имеет пакет недорогих адресов, приторговывает переадресацией и, в принципе, цепочка это должна прослеживаться, как минимум до "номинальных владельцев".
Повторюсь, обычно если в спаме содержится мошенническая фишинговая ссылка, то она через какое-то время перестает работать, одноразовая. А тут многолетний, устойчивый и, наверно, "бизнес". И возвращаясь к риторическому вопросу - кто мог заказать целевую рассылку рефералок на кредитки...
В первую очередь, весь этот спам шел на почту, которую я использую только для банков и для других финансовых институтов, типа кредитных бюро, а так же для детищ НПСК в том числе программ лояльности "Привет Мир", а так же детища Московской фондовой биржы "Финуслуги". Я не очень люблю "теории заговора", но именно Финуслуги я считаю источником слива этого емеила (для Банки.ру у меня другой ящик). Собственно 90% спама напрямую Финуслугами и генерируется (когда это указано в письме прямо), но будем считать, что я сам на это подписался.
Что меня удивило на этот раз. Ссылка в письмах - самое обычное доменное имя, давно зарегистрированное, но не используемое первым владельцем. То есть было какое-то время в свободной продаже у регистратора. В моем случае это http://aut***.ru (тут все понятно) и http://ak***der.ru (на момент регистрации домена это компания занималась порошковым напылением металлов). Если ввести эти адреса сейчас, произойдет перенаправление на страницу заказа КК Альфа банка "год без процентов". Вчера ссылки вела на сайт ТБ и карту "платинум", несколько дней назад на ВТБ "карта возможностей". Повторяю, это все официальные страницы банков, но с чьей то реферальной составляющей.
Пока писал, посмотрел сколько могут стоить домены (я в этом не спец), выяснил, что такие домены из двух слов не стоят фактически ничего - несколько сотен рублей. Но все они первого уровня и зарегистрированы в РФ.
Другой крайне любопытный факт - эти домены уже давно используют как прокладки (или как это называют в ИТ). Вебархив показывает, что еще в 2016г до этого ссылки вели, например, на сайт с рейтингами "онлайн курсов неважно чего". То есть много лет кто-то продолжает зарабатывать на "мошеннической" переадресации. Это не одноразовая ссылка от непонятного регистратора на бесплатный домен 3 уровня, не короткая ссылка. Кто-то имеет пакет недорогих адресов, приторговывает переадресацией и, в принципе, цепочка это должна прослеживаться, как минимум до "номинальных владельцев".
Повторюсь, обычно если в спаме содержится мошенническая фишинговая ссылка, то она через какое-то время перестает работать, одноразовая. А тут многолетний, устойчивый и, наверно, "бизнес". И возвращаясь к риторическому вопросу - кто мог заказать целевую рассылку рефералок на кредитки...
Изменено: - 12.06.2022 18:14 (отредактировано)
