На днях мне просочился спам, по внешнему виду совершенно однозначно воспринимаемый как рассылка от банка "ТКС" с предложением оформить кредитную карту. Все бы ничего, ведь а) спам явление совершенно привычное и повсеместное и б) спаммеры умело маскируют свои рассылки под легитимную информацию от известных структур, тем более финансовых, если бы не одна деталь - ссылка, на которую предлагалось кликнуть незадачливому получателю сообщения, располагалась на домене третьего уровня в домене COM.UA. Этот домен в последнее время (из-за простоты и дешевизны оптовой регистрации) очень часто используется для регистрации промежуточных мусорных доменных имён, которые затем используются для организации серверных редиректов на ещё один промежуточный сайт, затем уже этот промежуточный сайт отправляет пользователя на сайт агрегатора лидов и только затем на сцене появляется сайт заказчика рекламной кампании. Таким образом, организуется многоходовая схема отмывания трафика, позволяющая заказчику рекламы внешне остаться "чистым". Всё это показалось мне интересным и я решил отнестись к пришедшему сообщению повнимательнее.
Итак, смотрим на письмо. Заголовок:
----------------------------------------------------------------------
Return-Path:
Received: from [62.113.100.52] (HELO fr52.aha.ru)
by backend24.aha.ru (CommuniGate Pro SMTP 4.3.11)
with ESMTP id 924838016 for ########@####.##; Tue, 24 Dec 2013 18:01:02 +0400
Received-SPF: pass (fr52.aha.ru: domain of germanys.com.ua designates 46.28.69.70 as permitted sender) client-ip=46.28.69.70; envelope-from=tinkoff@germanys.com.ua; helo=mail.germanys.com.ua;
Received: from mail.germanys.com.ua (mail.hotlins.com.ua [46.28.69.70])
by fr52.aha.ru (Postfix) with ESMTP id CEE41171D
for ; Tue, 24 Dec 2013 18:01:01 +0400 (MSK)
X-GeoIP: Ukraine
X-GeoIP-Code: UA
Received: from germanys.com.ua (unknown [31.41.218.174])
by mail.germanys.com.ua (Postfix) with ESMTPA id ############;
Tue, 24 Dec 2013 ##:##:## +0200 (EET)
DKIM-Signature: v=1; a=rsa-sha256; c=simple; d=germanys.com.ua;
s=key2; h=DomainKey-Signature:Message-ID:Reply-To:From:To:
Subject:Date:MIME-Version:Content-Type; bh=CQzNE0RLk/7SSWpxd2gvK
cf9ACZSqiZRUV1urBdiNDo=; b=H7LxNYlbIZrkmHGE7dQw6+NB0IrkbnD7ZLFXY
iHUDf5b3jwvxsTGkIVXheMRtOVVTx8xTyrom1UyQHM44k5Ni5rYSmjs6kkdL85HW
hzdQDzaC34FCb5dbsGUQyI1ImbmLr/rkJrP8SoTzZ55MD1qVT/+IW4U2s1/wYa+K
oawywg=
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
s=key1; d=germanys.com.ua;
h=Message-ID:Reply-To:From:To:Subject:Date:MIME-Version:Content-Type:X-Priority:X-MSMail-Priority:X-Mailer:X-MimeOLE;
b=H/MmHRWZAXLB/RXwSKeZyyGGpIUJ2CZvcVGgFIkvCqG+cUgODIcMP3LNRHwocI8eJRlG7KVa1E3kzN4MEcmI2akdPNMcm7S2MuA1KTOmPwOrr3vCQ/PNqrCOACdAXJJ02bh0sl2JQantkNdzwK3H2g0yLczNc47VOJRLr0cw3Yo=;
Message-ID:
Reply-To: "=?windows-1251?B?0ujt/Oru9PQgweDt6g==?="
From: "=?windows-1251?B?0ujt/Oru9PQgweDt6g==?="
To:
Subject: =?windows-1251?B?yvDl5OjyIDAlIOTuIDU1IOTt5ek=?=
Date: Tue, 24 Dec 2013 ##:##:## +0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0006_########.########"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
----------------------------------------------------------------------
IP 31.41.218.174 в 1-м заголовке Received:, являющимся совершенно валидным, принадлежит блоку украинской хостинговой компании Besthosting. Домен же GERMANYS.COM.UA, упоминаемый в заголовках Return-Path:, Reply-To: и From:, зарегистрирован буквально пару недель назад:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. germanys.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #I.
% The Whois is subject to Terms of use
% See https://hostmaster.ua/services/
%
domain: germanys.com.ua
dom-public: NO
registrant: jbgm13864
admin-c: jbgm13864
tech-c: nic
mnt-by: ua.nic
nserver: ns12.uadns.com
nserver: ns11.uadns.com
nserver: ns10.uadns.com
status: ok
created: 2013-12-09 13:35:56+02
expires: 2014-12-09 13:35:56+02
source: UAEPP
% Registrar:
% ==========
registrar: ua.nic
organization: NIC.UA LLC
organization-loc: ТОВ "НІК.ЮЕЙ"
url: http://nic.ua
city: Dnipropetrovsk
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: jbgm13864
person: n/a
person-loc: not published
e-mail: supp.office {#} gmail.com
address: n/a
phone: +380.675041551
mnt-by: ua.nic
status: ok
status: linked
created: 2013-03-04 17:19:35+02
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: jbgm13864
person: n/a
person-loc: not published
e-mail: supp.office {#} gmail.com
address: n/a
phone: +380.675041551
mnt-by: ua.nic
status: ok
status: linked
created: 2013-03-04 17:19:35+02
source: UAEPP
% Technical Contacts:
% ===================
contact-id: nic
person: NIC.UA LLC
person-loc: ТОВ "НІК.ЮЕЙ"
organization: NIC.UA LLC
organization-loc: ТОВ "НІК.ЮЕЙ"
e-mail: uanic {#} nic.ua
address: Plehanova 18 512
address: Dnepropetrovsk
postal-code: 49000
country: UA
address-loc: Плеханова 18 512
address-loc: Днепропетровск
country-loc: UA
phone: +380.442329962
fax: +380.445937569
mnt-by: ua.nic
status: ok
status: linked
created: 2003-01-08 00:00:00+02
modified: 2013-06-22 13:51:58+03
source: UAEPP
% Query time: 28 msec
----------------------------------------------------------------------
Регистрант, он же и административный контакт, известен как держатель довольного большого количества доменов 3-го уровня в COM.UA - все они зарегистрированы с указанием показанного выше e-mail адреса и телефона, причём даже при беглом взгляде на список имён становится ясна цель их регистрации - создание ресурсов, адреса которых в дальнейшем будут указаны в спам-письмах.
Пример списка из 5-ти мусорных доменов:
- AISER.COM.UA
- EXPLORERX.COM.UA
- GOZETIO.COM.UA
- INETVOL.COM.UA
- SAMSIN.COM.UA
Регистранта, кстати, могут звать Вадим - и, если верить объявлению на http://www.afp.com.ua/auto_sale/Skoda_Octavia_846444068.html и его версии для печати http://www.afp.com.ua/print/846444068/ , год назад он продавал в Киеве Skoda Octavia 2006 г.в.
В промежутках между "использованием" все подобные домены продолжают оставаться делегированными и поддерживаются на хостинге, однако сайты на них никуда не редиректят, отдавая при запросе 0 байт.
Домен HOTLINS.COM.UA, засветившийся во втором Received:, также принадлежит "Вадиму".
Но посмотрим дальше, на единственную ссылку в самом письме:
----------------------------------------------------------------------
<a href="http://www.diteil.com.ua">Оформить кредит сейчас 0% до 55 дней >>></a>
----------------------------------------------------------------------
И опять домен 3-го уровня, опять в COM.UA и снова с маловразумительным именем. В этот раз регистрантом оказывается некое лицо, пожелавшее скрыть свои персональные данные:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. diteil.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #F.
% The Whois is subject to Terms of use
% See https://hostmaster.ua/services/
%
domain: diteil.com.ua
dom-public: NO
registrant: privacy-protect
admin-c: privacy-protect
tech-c: privacy-protect
mnt-by: ua.imena
nserver: ns3.imena.com.ua
nserver: ns2.imena.com.ua
nserver: ns1.imena.com.ua
status: clientTransferProhibited
created: 2013-06-17 20:40:38+03
modified: 2013-06-17 20:40:39+03
expires: 2014-06-17 20:40:38+03
source: UAEPP
% Registrar:
% ==========
registrar: ua.imena
organization: "Internet Invest" Ltd
organization-loc: ТОВ "Інтернет Інвест"
url: http://www.imena.ua
city: Kyiv
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Technical Contacts:
% ===================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Query time: 4 msec
----------------------------------------------------------------------
Что же произойдёт, если перейти по ссылке? Воспользуемся wget:
----------------------------------------------------------------------
$ wget -O 1_diteil.com.ua.html -o 1_diteil.com.ua.log --server-response --user-agent=Mozilla http://www.diteil.com.ua/
$ cat 1_diteil.com.ua.log
--23:38:09-- http://www.diteil.com.ua/
=> `1_diteil.com.ua.html'
Resolving www.diteil.com.ua... 195.39.196.44
Connecting to www.diteil.com.ua|195.39.196.44|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 25 Dec 2013 19:40:39 GMT
Content-Type: text/html; charset=WINDOWS-1251
Content-Length: 0
Connection: close
X-Powered-By: PHP/5.3.3-7+squeeze18
Location: http://www.rugol.com.ua/pxl/index.html
Vary: Accept-Encoding
Location: http://www.rugol.com.ua/pxl/index.html [following]
--23:38:09-- http://www.rugol.com.ua/pxl/index.html
=> `1_diteil.com.ua.html'
Resolving www.rugol.com.ua... 209.123.8.24
Connecting to www.rugol.com.ua|209.123.8.24|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx/1.4.1
Date: Wed, 25 Dec 2013 19:36:34 GMT
Content-Type: text/html
Content-Length: 666
Connection: keep-alive
Last-Modified: Tue, 24 Dec 2013 12:25:08 GMT
ETag: "121826d-29a-4ee46d5be9100"
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Length: 666 [text/html]
0K 100% 24.19 MB/s
23:38:09 (24.19 MB/s) - `1_diteil.com.ua.html' saved [666/666]
----------------------------------------------------------------------
Итак, нас перенаправили на http://www.rugol.com.ua/pxl/index.html. Снова активно используется украинский домен COM.UA и снова засветившийся в редиректе домен 3-го уровня RUGOL.COM.UA имеет мало что говорящее написание, данные администратора опять закрыты, да ещё и регистратор тот же, что и у DITEIL.COM.UA - и при этом домен ещё и зарегистрирован буквально несколько дней назад:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. rugol.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #F.
% The Whois is subject to Terms of use
% See https://hostmaster.ua/services/
%
domain: rugol.com.ua
dom-public: NO
registrant: privacy-protect
admin-c: privacy-protect
tech-c: privacy-protect
mnt-by: ua.imena
nserver: ns1.imena.com.ua
nserver: ns2.imena.com.ua
nserver: ns3.imena.com.ua
status: clientTransferProhibited
created: 2013-12-23 15:51:03+02
modified: 2013-12-23 15:51:04+02
expires: 2014-12-23 15:51:03+02
source: UAEPP
% Registrar:
% ==========
registrar: ua.imena
organization: "Internet Invest" Ltd
organization-loc: ТОВ "Інтернет Інвест"
url: http://www.imena.ua
city: Kyiv
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Technical Contacts:
% ===================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Query time: 4 msec
----------------------------------------------------------------------
Пока здесь ловить особо нечего, поэтому посмотрим, что находится внутри только что полученного файла http://www.rugol.com.ua/pxl/index.html - wget сохранил его под именем 1_diteil.com.ua.html, но т.к. у нас произошёл ещё один редирект, я переименовал его:
----------------------------------------------------------------------
$ mv 1_diteil.com.ua.html 1+2_diteil.com.ua_rugol.com.ua.html
$ cat 1+2_diteil.com.ua_rugol.com.ua.html
<!-- MyCounter v.2.0 --> <!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - счЄтчик и статистика"; //--> <a target="_blank" href="http://mycounter.ua/" rel="noopener"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - счЄтчик и статистика" alt="MyCounter - счЄтчик и статистика" width="88" height="41" border="0" /></a> <!--/ MyCounter -->
----------------------------------------------------------------------
Кроме JS-кода вызова счётчика MyCounter.ua виден новый редирект, на сей раз не серверный, а браузерный, по истечении 1-й сек. с момента загрузки страницы - на http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166 . Эта страница, как явно видно из доменного имени, принадлежит некоему генератору (агрегатору) лидов. Заход на сайт http://leads.su/ это подтверждает, причём и сфера деятельности агрегатора - банковские и финансовые услуги:
----------------------------------------------------------------------
<title>ООО "Лидс" :: Крупнейший агрегатор партнерских программ в банковской сфере</title>
----------------------------------------------------------------------
Что же увидит человек, когда его браузер выполнит этот самый последний редирект? Воспользуемся wget ещё раз:
----------------------------------------------------------------------
$ wget -O 3_pxl.leads.su.html -o 3_pxl.leads.su.log --server-response --user-agent=Mozilla
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
$ cat 3_pxl.leads.su.log
--00:14:57-- http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
=> `3_pxl.leads.su.html'
Resolving pxl.leads.su... 46.4.81.106
Connecting to pxl.leads.su|46.4.81.106|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 302 OK
Server: nginx
Date: Wed, 25 Dec 2013 20:17:27 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Set-Cookie: session-click-60=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D; expires=Wed, 19-Feb-2014 20:17:27 GMT; path=/; httponly
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Location: https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
Location: https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D [following]
--00:14:57-- https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
=> `3_pxl.leads.su.html'
Resolving www.tcsbank.ru... 91.194.226.20
Connecting to www.tcsbank.ru|91.194.226.20|:443... connected.
ERROR: Certificate verification error for www.tcsbank.ru: unable to get local issuer certificate
To connect to www.tcsbank.ru insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.
----------------------------------------------------------------------
Bingo! Нас перебросили на сайт банка "Тинькофф", причём по HTTPS и (естественно!) не по простой, а по специфической ссылке, характерной для Google Analytics и раскладывающейся на следующие составляющие:
- utm_source=leads_apr_cc: источник трафика для банка "ТКС". Лексема "leads" пояснений не требует, лексема "apr", по-видимому, специфична для реального источника трафика, ну а "cc" - это на 99%, конечно же, "Credit Card";
- utm_medium=aft.apr: в данном случае субидентификатор рекламной кампании. Скорее всего, подстрока "aft" является сокращением слова "affiliate", ну а "apr" мы уже видели;
- utm_campaign=creditcard: идентификатор основной рекламной кампании;
- wm=13529: идентификатор конкретного аффилиата;
- transaction_id=d73a6c28a44253d6205c04506db7657c: идентификатор какой-то транзакции. В принципе эта переменная может и не иметь отношение ко взаимотношениям банка и лид-партнёра и использоваться для каких-то внутренних банковских нужд, но её расположение между переменными wm и aff_id говорит об обратном;
- aff_id=13529: снова идентификатор конкретного аффилиата.
---
Комментарий Roem.ru: ТКС не приветствует такую схему работы и, очевидно, при жалобе может выкинуть такого партнёра.
Добавить 5 комментариев
Ну аффилят это и что дальше? Зачем надо было столько писать то? На лидс.су при беглом просмотре не сказано про ограничения на источники трафика. Что хочет, то и использует.
Плохо платить за некачественный трафик, не правда ли? Например банк Авангард за полмиллиарда рублей получил 100 тысяч неплательщиков кредитов и был удручён.
А [spoiler][/spoiler] в движке сайта нету?
@drlibra: Ага, я тоже первым делом подумал «неужели на роеме нет механизма для сокрытия тонны текста под спойлер?».
Чего такое расследование проводить, уверен этого долбомастера уже забанили и поставили еще один минус этому лидогенератору. Собственно таких минусов я наставил им предостаточно, бог судья, ждал когда исправятся, но жажда наживы непобедима, за что и получили бан