Банк Тинькова приветствует спам?
Итак, смотрим на письмо. Заголовок:
----------------------------------------------------------------------
Return-Path: <<noindex>tinkoff@germanys.com.ua Received: from [62.113.100.52] (HELO fr52.aha.ru)
by backend24.aha.ru (CommuniGate Pro SMTP 4.3.11)
with ESMTP id 924838016 for ########@####.##; Tue, 24 Dec 2013 18:01:02 +0400
Received-SPF: pass (fr52.aha.ru: domain of germanys.com.ua designates 46.28.69.70 as permitted sender) client-ip=46.28.69.70;
envelope-from=tinkoff@germanys.com.ua
; helo=mail.germanys.com.ua;
Received: from mail.germanys.com.ua (mail.hotlins.com.ua [46.28.69.70])
by fr52.aha.ru (Postfix) with ESMTP id CEE41171D
for ; Tue, 24 Dec 2013 18:01:01 +0400 (MSK)
X-GeoIP: Ukraine
X-GeoIP-Code: UA
Received: from germanys.com.ua (unknown [31.41.218.174])
by mail.germanys.com.ua (Postfix) with ESMTPA id ############;
Tue, 24 Dec 2013 ##:##:## +0200 (EET)
DKIM-Signature: v=1; a=rsa-sha256; c=simple; d=germanys.com.ua;
s=key2; h=DomainKey-Signature:Message-ID:Reply-To:From:To:
Subject:Date:MIME-Version:Content-Type; bh=CQzNE0RLk/7SSWpxd2gvK
cf9ACZSqiZRUV1urBdiNDo=; b=H7LxNYlbIZrkmHGE7dQw6+NB0IrkbnD7ZLFXY
iHUDf5b3jwvxsTGkIVXheMRtOVVTx8xTyrom1UyQHM44k5Ni5rYSmjs6kkdL85HW
hzdQDzaC34FCb5dbsGUQyI1ImbmLr/rkJrP8SoTzZ55MD1qVT/+IW4U2s1/wYa+K
oawywg=
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
s=key1; d=germanys.com.ua;
h=Message-ID:Reply-To:From:To:Subject:Date:MIME-Version:Content-Type:X-Priority:X-MSMail-Priority:X-Mailer:X-MimeOLE;
b=H/MmHRWZAXLB/RXwSKeZyyGGpIUJ2CZvcVGgFIkvCqG+cUgODIcMP3LNRHwocI8eJRlG7KVa1E3kzN4MEcmI2akdPNMcm7S2MuA1KTOmPwOrr3vCQ/PNqrCOACdAXJJ02bh0sl2JQantkNdzwK3H2g0yLczNc47VOJRLr0cw3Yo=;
Message-ID:
Reply-To: "=?windows-1251?B?0ujt/Oru9PQgweDt6g==?=" <<noindex>tinkoff@germanys.com.ua From: "=?windows-1251?B?0ujt/Oru9PQgweDt6g==?=" <<noindex>tinkoff@germanys.com.ua To:
Subject: =?windows-1251?B?yvDl5OjyIDAlIOTuIDU1IOTt5ek=?=
Date: Tue, 24 Dec 2013 ##:##:## +0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0006_########.########"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
----------------------------------------------------------------------
IP 31.41.218.174 в 1-м заголовке Received:, являющимся совершенно валидным, принадлежит блоку украинской хостинговой компании Besthosting. Домен же GERMANYS.COM.UA, упоминаемый в заголовках Return-Path:, Reply-To: и From:, зарегистрирован буквально пару недель назад:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. germanys.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #I.
% The Whois is subject to Terms of use
% See
https://hostmaster.ua/services/
%
domain: germanys.com.ua
dom-public: NO
registrant: jbgm13864
admin-c: jbgm13864
tech-c: nic
mnt-by: ua.nic
nserver: ns12.uadns.com
nserver: ns11.uadns.com
nserver: ns10.uadns.com
status: ok
created: 2013-12-09 13:35:56+02
expires: 2014-12-09 13:35:56+02
source: UAEPP
% Registrar:
% ==========
registrar: ua.nic
organization: NIC.UA LLC
organization-loc: ТОВ "НІК.ЮЕЙ"
url:
http://nic.ua
city: Dnipropetrovsk
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: jbgm13864
person: n/a
person-loc: not published
e-mail: supp.office {#} gmail.com
address: n/a
phone: +380.675041551
mnt-by: ua.nic
status: ok
status: linked
created: 2013-03-04 17:19:35+02
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: jbgm13864
person: n/a
person-loc: not published
e-mail: supp.office {#} gmail.com
address: n/a
phone: +380.675041551
mnt-by: ua.nic
status: ok
status: linked
created: 2013-03-04 17:19:35+02
source: UAEPP
% Technical Contacts:
% ===================
contact-id: nic
person: NIC.UA LLC
person-loc: ТОВ "НІК.ЮЕЙ"
organization: NIC.UA LLC
organization-loc: ТОВ "НІК.ЮЕЙ"
e-mail: uanic {#} nic.ua
address: Plehanova 18 512
address: Dnepropetrovsk
postal-code: 49000
country: UA
address-loc: Плеханова 18 512
address-loc: Днепропетровск
country-loc: UA
phone: +380.442329962
fax: +380.445937569
mnt-by: ua.nic
status: ok
status: linked
created: 2003-01-08 00:00:00+02
modified: 2013-06-22 13:51:58+03
source: UAEPP
% Query time: 28 msec
----------------------------------------------------------------------
Регистрант, он же и административный контакт, известен как держатель довольного большого количества доменов 3-го уровня в COM.UA - все они зарегистрированы с указанием показанного выше e-mail адреса и телефона, причём даже при беглом взгляде на список имён становится ясна цель их регистрации - создание ресурсов, адреса которых в дальнейшем будут указаны в спам-письмах.
Пример списка из 5-ти мусорных доменов:
- AISER.COM.UA
- EXPLORERX.COM.UA
- GOZETIO.COM.UA
- INETVOL.COM.UA
- SAMSIN.COM.UA
Регистранта, кстати, могут звать Вадим - и, если верить объявлению на
http://www.afp.com.ua/auto_sale/Skoda_Octavia_846444068.html
и его версии для печати
http://www.afp.com.ua/print/846444068/
, год назад он продавал в Киеве Skoda Octavia 2006 г.в.
В промежутках между "использованием" все подобные домены продолжают оставаться делегированными и поддерживаются на хостинге, однако сайты на них никуда не редиректят, отдавая при запросе 0 байт.
Домен HOTLINS.COM.UA, засветившийся во втором Received:, также принадлежит "Вадиму".
Но посмотрим дальше, на единственную ссылку в самом письме:
----------------------------------------------------------------------
http://www.diteil.com.ua
">Оформить кредит сейчас 0% до 55 дней >>>
----------------------------------------------------------------------
И опять домен 3-го уровня, опять в COM.UA и снова с маловразумительным именем. В этот раз регистрантом оказывается некое лицо, пожелавшее скрыть свои персональные данные:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. diteil.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #F.
% The Whois is subject to Terms of use
% See
https://hostmaster.ua/services/
%
domain: diteil.com.ua
dom-public: NO
registrant: privacy-protect
admin-c: privacy-protect
tech-c: privacy-protect
mnt-by: ua.imena
nserver: ns3.imena.com.ua
nserver: ns2.imena.com.ua
nserver: ns1.imena.com.ua
status: clientTransferProhibited
created: 2013-06-17 20:40:38+03
modified: 2013-06-17 20:40:39+03
expires: 2014-06-17 20:40:38+03
source: UAEPP
% Registrar:
% ==========
registrar: ua.imena
organization: "Internet Invest" Ltd
organization-loc: ТОВ "Інтернет Інвест"
url:
http://www.imena.ua
city: Kyiv
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Technical Contacts:
% ===================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Query time: 4 msec
----------------------------------------------------------------------
Что же произойдёт, если перейти по ссылке? Воспользуемся wget:
----------------------------------------------------------------------
$ wget -O 1_diteil.com.ua.html -o 1_diteil.com.ua.log --server-response --user-agent=Mozilla
http://www.diteil.com.ua/
$ cat 1_diteil.com.ua.log
--23:38:09--
http://www.diteil.com.ua/
=> `1_diteil.com.ua.html
Resolving www.diteil.com.ua... 195.39.196.44
Connecting to www.diteil.com.ua|195.39.196.44|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 25 Dec 2013 19:40:39 GMT
Content-Type: text/html; charset=WINDOWS-1251
Content-Length: 0
Connection: close
X-Powered-By: PHP/5.3.3-7+squeeze18
Location:
http://www.rugol.com.ua/pxl/index.html
Vary: Accept-Encoding
Location:
http://www.rugol.com.ua/pxl/index.html
[following]
--23:38:09--
http://www.rugol.com.ua/pxl/index.html
=> `1_diteil.com.ua.html
Resolving www.rugol.com.ua... 209.123.8.24
Connecting to www.rugol.com.ua|209.123.8.24|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx/1.4.1
Date: Wed, 25 Dec 2013 19:36:34 GMT
Content-Type: text/html
Content-Length: 666
Connection: keep-alive
Last-Modified: Tue, 24 Dec 2013 12:25:08 GMT
ETag: "121826d-29a-4ee46d5be9100"
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Length: 666 [text/html]
0K 100% 24.19 MB/s
23:38:09 (24.19 MB/s) - `1_diteil.com.ua.html saved [666/666]
----------------------------------------------------------------------
Итак, нас перенаправили на
http://www.rugol.com.ua/pxl/index.html
. Снова активно используется украинский домен COM.UA и снова засветившийся в редиректе домен 3-го уровня RUGOL.COM.UA имеет мало что говорящее написание, данные администратора опять закрыты, да ещё и регистратор тот же, что и у DITEIL.COM.UA - и при этом домен ещё и зарегистрирован буквально несколько дней назад:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. rugol.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #F.
% The Whois is subject to Terms of use
% See
https://hostmaster.ua/services/
%
domain: rugol.com.ua
dom-public: NO
registrant: privacy-protect
admin-c: privacy-protect
tech-c: privacy-protect
mnt-by: ua.imena
nserver: ns1.imena.com.ua
nserver: ns2.imena.com.ua
nserver: ns3.imena.com.ua
status: clientTransferProhibited
created: 2013-12-23 15:51:03+02
modified: 2013-12-23 15:51:04+02
expires: 2014-12-23 15:51:03+02
source: UAEPP
% Registrar:
% ==========
registrar: ua.imena
organization: "Internet Invest" Ltd
organization-loc: ТОВ "Інтернет Інвест"
url:
http://www.imena.ua
city: Kyiv
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Technical Contacts:
% ===================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Query time: 4 msec
----------------------------------------------------------------------
Пока здесь ловить особо нечего, поэтому посмотрим, что находится внутри только что полученного файла
http://www.rugol.com.ua/pxl/index.html
- wget сохранил его под именем 1_diteil.com.ua.html, но т.к. у нас произошёл ещё один редирект, я переименовал его:
----------------------------------------------------------------------
$ mv 1_diteil.com.ua.html 1+2_diteil.com.ua_rugol.com.ua.html
$ cat 1+2_diteil.com.ua_rugol.com.ua.html
<script type="text/javascript" src="
http://scripts.mycounter.ua/counter2.0.js
"> http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
">
----------------------------------------------------------------------
Кроме JS-кода вызова счётчика MyCounter.ua виден новый редирект, на сей раз не серверный, а браузерный, по истечении 1-й сек. с момента загрузки страницы - на
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
. Эта страница, как явно видно из доменного имени, принадлежит некоему генератору (агрегатору) лидов. Заход на сайт
http://leads.su/
это подтверждает, причём и сфера деятельности агрегатора - банковские и финансовые услуги:
----------------------------------------------------------------------
ООО "Лидс" :: Крупнейший агрегатор партнерских программ в банковской сфере
----------------------------------------------------------------------
Что же увидит человек, когда его браузер выполнит этот самый последний редирект? Воспользуемся wget ещё раз:
----------------------------------------------------------------------
$ wget -O 3_pxl.leads.su.html -o 3_pxl.leads.su.log --server-response --user-agent=Mozilla
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
$ cat 3_pxl.leads.su.log
--00:14:57--
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
=> `3_pxl.leads.su.html
Resolving pxl.leads.su... 46.4.81.106
Connecting to pxl.leads.su|46.4.81.106|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 302 OK
Server: nginx
Date: Wed, 25 Dec 2013 20:17:27 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Set-Cookie: session-click-60=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D; expires=Wed, 19-Feb-2014 20:17:27 GMT; path=/; httponly
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Location:
https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
Location:
https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
[following]
--00:14:57--
https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
=> `3_pxl.leads.su.html
Resolving www.tcsbank.ru... 91.194.226.20
Connecting to www.tcsbank.ru|91.194.226.20|:443... connected.
ERROR: Certificate verification error for www.tcsbank.ru: unable to get local issuer certificate
To connect to www.tcsbank.ru insecurely, use `--no-check-certificate.
Unable to establish SSL connection.
----------------------------------------------------------------------
Bingo! Нас перебросили на сайт банка "Тинькофф", причём по HTTPS и (естественно!) не по простой, а по специфической ссылке, характерной для Google Analytics и раскладывающейся на следующие составляющие:
- utm_source=leads_apr_cc: источник трафика для банка "ТКС". Лексема "leads" пояснений не требует, лексема "apr", по-видимому, специфична для реального источника трафика, ну а "cc" - это на 99%, конечно же, "Credit Card";
- utm_medium=aft.apr: в данном случае субидентификатор рекламной кампании. Скорее всего, подстрока "aft" является сокращением слова "affiliate", ну а "apr" мы уже видели;
- utm_campaign=creditcard: идентификатор основной рекламной кампании;
- wm=13529: идентификатор конкретного аффилиата;
- transaction_id=d73a6c28a44253d6205c04506db7657c: идентификатор какой-то транзакции. В принципе эта переменная может и не иметь отношение ко взаимотношениям банка и лид-партнёра и использоваться для каких-то внутренних банковских нужд, но её расположение между переменными wm и aff_id говорит об обратном;
- aff_id=13529: снова идентификатор конкретного аффилиата.
---
Комментарий Roem.ru: ТКС не приветствует такую схему работы и, очевидно, при жалобе может выкинуть такого партнёра.
Источник:Roem.ru