Банк Тинькова приветствует спам?
На днях мне просочился спам, по внешнему виду совершенно однозначно воспринимаемый как рассылка от банка "ТКС" с предложением оформить кредитную карту. Все бы ничего, ведь а) спам явление совершенно привычное и повсеместное и б) спаммеры умело маскируют свои рассылки под легитимную информацию от известных структур, тем более финансовых, если бы не одна деталь - ссылка, на которую предлагалось кликнуть незадачливому получателю сообщения, располагалась на домене третьего уровня в домене COM.UA. Этот домен в последнее время (из-за простоты и дешевизны оптовой регистрации) очень часто используется для регистрации промежуточных мусорных доменных имён, которые затем используются для организации серверных редиректов на ещё один промежуточный сайт, затем уже этот промежуточный сайт отправляет пользователя на сайт агрегатора лидов и только затем на сцене появляется сайт заказчика рекламной кампании. Таким образом, организуется многоходовая схема отмывания трафика, позволяющая заказчику рекламы внешне остаться "чистым". Всё это показалось мне интересным и я решил отнестись к пришедшему сообщению повнимательнее.
Итак, смотрим на письмо. Заголовок:
----------------------------------------------------------------------
Return-Path: <<noindex>tinkoff@germanys.com.uatinkoff@germanys.com.uatinkoff@germanys.com.uaОформить кредит сейчас 0% до 55 дней >>>
----------------------------------------------------------------------
И опять домен 3-го уровня, опять в COM.UA и снова с маловразумительным именем. В этот раз регистрантом оказывается некое лицо, пожелавшее скрыть свои персональные данные:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. diteil.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #F.
% The Whois is subject to Terms of use
% See
https://hostmaster.ua/services/
%
domain: diteil.com.ua
dom-public: NO
registrant: privacy-protect
admin-c: privacy-protect
tech-c: privacy-protect
mnt-by: ua.imena
nserver: ns3.imena.com.ua
nserver: ns2.imena.com.ua
nserver: ns1.imena.com.ua
status: clientTransferProhibited
created: 2013-06-17 20:40:38+03
modified: 2013-06-17 20:40:39+03
expires: 2014-06-17 20:40:38+03
source: UAEPP
% Registrar:
% ==========
registrar: ua.imena
organization: "Internet Invest" Ltd
organization-loc: ТОВ "Інтернет Інвест"
url:
http://www.imena.ua
city: Kyiv
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Technical Contacts:
% ===================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Query time: 4 msec
----------------------------------------------------------------------
Что же произойдёт, если перейти по ссылке? Воспользуемся wget:
----------------------------------------------------------------------
$ wget -O 1_diteil.com.ua.html -o 1_diteil.com.ua.log --server-response --user-agent=Mozilla
http://www.diteil.com.ua/
$ cat 1_diteil.com.ua.log
--23:38:09--
http://www.diteil.com.ua/
=> `1_diteil.com.ua.html
Resolving www.diteil.com.ua... 195.39.196.44
Connecting to www.diteil.com.ua|195.39.196.44|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 25 Dec 2013 19:40:39 GMT
Content-Type: text/html; charset=WINDOWS-1251
Content-Length: 0
Connection: close
X-Powered-By: PHP/5.3.3-7+squeeze18
Location:
http://www.rugol.com.ua/pxl/index.html
Vary: Accept-Encoding
Location:
http://www.rugol.com.ua/pxl/index.html
[following]
--23:38:09--
http://www.rugol.com.ua/pxl/index.html
=> `1_diteil.com.ua.html
Resolving www.rugol.com.ua... 209.123.8.24
Connecting to www.rugol.com.ua|209.123.8.24|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx/1.4.1
Date: Wed, 25 Dec 2013 19:36:34 GMT
Content-Type: text/html
Content-Length: 666
Connection: keep-alive
Last-Modified: Tue, 24 Dec 2013 12:25:08 GMT
ETag: "121826d-29a-4ee46d5be9100"
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Length: 666 [text/html]
0K 100% 24.19 MB/s
23:38:09 (24.19 MB/s) - `1_diteil.com.ua.html saved [666/666]
----------------------------------------------------------------------
Итак, нас перенаправили на
http://www.rugol.com.ua/pxl/index.html
. Снова активно используется украинский домен COM.UA и снова засветившийся в редиректе домен 3-го уровня RUGOL.COM.UA имеет мало что говорящее написание, данные администратора опять закрыты, да ещё и регистратор тот же, что и у DITEIL.COM.UA - и при этом домен ещё и зарегистрирован буквально несколько дней назад:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. rugol.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #F.
% The Whois is subject to Terms of use
% See
https://hostmaster.ua/services/
%
domain: rugol.com.ua
dom-public: NO
registrant: privacy-protect
admin-c: privacy-protect
tech-c: privacy-protect
mnt-by: ua.imena
nserver: ns1.imena.com.ua
nserver: ns2.imena.com.ua
nserver: ns3.imena.com.ua
status: clientTransferProhibited
created: 2013-12-23 15:51:03+02
modified: 2013-12-23 15:51:04+02
expires: 2014-12-23 15:51:03+02
source: UAEPP
% Registrar:
% ==========
registrar: ua.imena
organization: "Internet Invest" Ltd
organization-loc: ТОВ "Інтернет Інвест"
url:
http://www.imena.ua
city: Kyiv
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Technical Contacts:
% ===================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Query time: 4 msec
----------------------------------------------------------------------
Пока здесь ловить особо нечего, поэтому посмотрим, что находится внутри только что полученного файла
http://www.rugol.com.ua/pxl/index.html
- wget сохранил его под именем 1_diteil.com.ua.html, но т.к. у нас произошёл ещё один редирект, я переименовал его:
----------------------------------------------------------------------
$ mv 1_diteil.com.ua.html 1+2_diteil.com.ua_rugol.com.ua.html
$ cat 1+2_diteil.com.ua_rugol.com.ua.html
<script type="text/javascript" src="
http://scripts.mycounter.ua/counter2.0.js
">
----------------------------------------------------------------------
Кроме JS-кода вызова счётчика MyCounter.ua виден новый редирект, на сей раз не серверный, а браузерный, по истечении 1-й сек. с момента загрузки страницы - на
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
. Эта страница, как явно видно из доменного имени, принадлежит некоему генератору (агрегатору) лидов. Заход на сайт
http://leads.su/
это подтверждает, причём и сфера деятельности агрегатора - банковские и финансовые услуги:
----------------------------------------------------------------------
ООО "Лидс" :: Крупнейший агрегатор партнерских программ в банковской сфере
----------------------------------------------------------------------
Что же увидит человек, когда его браузер выполнит этот самый последний редирект? Воспользуемся wget ещё раз:
----------------------------------------------------------------------
$ wget -O 3_pxl.leads.su.html -o 3_pxl.leads.su.log --server-response --user-agent=Mozilla
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
$ cat 3_pxl.leads.su.log
--00:14:57--
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
=> `3_pxl.leads.su.html
Resolving pxl.leads.su... 46.4.81.106
Connecting to pxl.leads.su|46.4.81.106|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 302 OK
Server: nginx
Date: Wed, 25 Dec 2013 20:17:27 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Set-Cookie: session-click-60=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D; expires=Wed, 19-Feb-2014 20:17:27 GMT; path=/; httponly
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Location:
https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
Location:
https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
[following]
--00:14:57--
https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
=> `3_pxl.leads.su.html
Resolving www.tcsbank.ru... 91.194.226.20
Connecting to www.tcsbank.ru|91.194.226.20|:443... connected.
ERROR: Certificate verification error for www.tcsbank.ru: unable to get local issuer certificate
To connect to www.tcsbank.ru insecurely, use `--no-check-certificate.
Unable to establish SSL connection.
----------------------------------------------------------------------
Bingo! Нас перебросили на сайт банка "Тинькофф", причём по HTTPS и (естественно!) не по простой, а по специфической ссылке, характерной для Google Analytics и раскладывающейся на следующие составляющие:
- utm_source=leads_apr_cc: источник трафика для банка "ТКС". Лексема "leads" пояснений не требует, лексема "apr", по-видимому, специфична для реального источника трафика, ну а "cc" - это на 99%, конечно же, "Credit Card";
- utm_medium=aft.apr: в данном случае субидентификатор рекламной кампании. Скорее всего, подстрока "aft" является сокращением слова "affiliate", ну а "apr" мы уже видели;
- utm_campaign=creditcard: идентификатор основной рекламной кампании;
- wm=13529: идентификатор конкретного аффилиата;
- transaction_id=d73a6c28a44253d6205c04506db7657c: идентификатор какой-то транзакции. В принципе эта переменная может и не иметь отношение ко взаимотношениям банка и лид-партнёра и использоваться для каких-то внутренних банковских нужд, но её расположение между переменными wm и aff_id говорит об обратном;
- aff_id=13529: снова идентификатор конкретного аффилиата.
---
Комментарий Roem.ru: ТКС не приветствует такую схему работы и, очевидно, при жалобе может выкинуть такого партнёра.
Источник:Roem.ru
Итак, смотрим на письмо. Заголовок:
----------------------------------------------------------------------
Return-Path: <<noindex>tinkoff@germanys.com.uatinkoff@germanys.com.uatinkoff@germanys.com.uaОформить кредит сейчас 0% до 55 дней >>>
----------------------------------------------------------------------
И опять домен 3-го уровня, опять в COM.UA и снова с маловразумительным именем. В этот раз регистрантом оказывается некое лицо, пожелавшее скрыть свои персональные данные:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. diteil.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #F.
% The Whois is subject to Terms of use
% See
https://hostmaster.ua/services/
%
domain: diteil.com.ua
dom-public: NO
registrant: privacy-protect
admin-c: privacy-protect
tech-c: privacy-protect
mnt-by: ua.imena
nserver: ns3.imena.com.ua
nserver: ns2.imena.com.ua
nserver: ns1.imena.com.ua
status: clientTransferProhibited
created: 2013-06-17 20:40:38+03
modified: 2013-06-17 20:40:39+03
expires: 2014-06-17 20:40:38+03
source: UAEPP
% Registrar:
% ==========
registrar: ua.imena
organization: "Internet Invest" Ltd
organization-loc: ТОВ "Інтернет Інвест"
url:
http://www.imena.ua
city: Kyiv
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Technical Contacts:
% ===================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Query time: 4 msec
----------------------------------------------------------------------
Что же произойдёт, если перейти по ссылке? Воспользуемся wget:
----------------------------------------------------------------------
$ wget -O 1_diteil.com.ua.html -o 1_diteil.com.ua.log --server-response --user-agent=Mozilla
http://www.diteil.com.ua/
$ cat 1_diteil.com.ua.log
--23:38:09--
http://www.diteil.com.ua/
=> `1_diteil.com.ua.html
Resolving www.diteil.com.ua... 195.39.196.44
Connecting to www.diteil.com.ua|195.39.196.44|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 25 Dec 2013 19:40:39 GMT
Content-Type: text/html; charset=WINDOWS-1251
Content-Length: 0
Connection: close
X-Powered-By: PHP/5.3.3-7+squeeze18
Location:
http://www.rugol.com.ua/pxl/index.html
Vary: Accept-Encoding
Location:
http://www.rugol.com.ua/pxl/index.html
[following]
--23:38:09--
http://www.rugol.com.ua/pxl/index.html
=> `1_diteil.com.ua.html
Resolving www.rugol.com.ua... 209.123.8.24
Connecting to www.rugol.com.ua|209.123.8.24|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx/1.4.1
Date: Wed, 25 Dec 2013 19:36:34 GMT
Content-Type: text/html
Content-Length: 666
Connection: keep-alive
Last-Modified: Tue, 24 Dec 2013 12:25:08 GMT
ETag: "121826d-29a-4ee46d5be9100"
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Length: 666 [text/html]
0K 100% 24.19 MB/s
23:38:09 (24.19 MB/s) - `1_diteil.com.ua.html saved [666/666]
----------------------------------------------------------------------
Итак, нас перенаправили на
http://www.rugol.com.ua/pxl/index.html
. Снова активно используется украинский домен COM.UA и снова засветившийся в редиректе домен 3-го уровня RUGOL.COM.UA имеет мало что говорящее написание, данные администратора опять закрыты, да ещё и регистратор тот же, что и у DITEIL.COM.UA - и при этом домен ещё и зарегистрирован буквально несколько дней назад:
----------------------------------------------------------------------
$ whois -O 3 -h whois.ua. rugol.com.ua
% request from ###.###.###.###
% This is the Ukrainian Whois query server #F.
% The Whois is subject to Terms of use
% See
https://hostmaster.ua/services/
%
domain: rugol.com.ua
dom-public: NO
registrant: privacy-protect
admin-c: privacy-protect
tech-c: privacy-protect
mnt-by: ua.imena
nserver: ns1.imena.com.ua
nserver: ns2.imena.com.ua
nserver: ns3.imena.com.ua
status: clientTransferProhibited
created: 2013-12-23 15:51:03+02
modified: 2013-12-23 15:51:04+02
expires: 2014-12-23 15:51:03+02
source: UAEPP
% Registrar:
% ==========
registrar: ua.imena
organization: "Internet Invest" Ltd
organization-loc: ТОВ "Інтернет Інвест"
url:
http://www.imena.ua
city: Kyiv
country: UA
source: UAEPP
% Registrant:
% ===========
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Administrative Contacts:
% =======================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Technical Contacts:
% ===================
contact-id: privacy-protect
person: Whois privacy protection service
organization: Internet Invest, Ltd. dba Imena.ua
e-mail: support {#} imena.ua
address: Gaidara, 50 st.
address: Kyiv
postal-code: 01033
country: UA
phone: +380.442010102
fax: +380.442010100
mnt-by: ua.imena
status: ok
status: linked
created: 2013-04-08 22:19:45+03
modified: 2013-04-09 18:32:21+03
source: UAEPP
% Query time: 4 msec
----------------------------------------------------------------------
Пока здесь ловить особо нечего, поэтому посмотрим, что находится внутри только что полученного файла
http://www.rugol.com.ua/pxl/index.html
- wget сохранил его под именем 1_diteil.com.ua.html, но т.к. у нас произошёл ещё один редирект, я переименовал его:
----------------------------------------------------------------------
$ mv 1_diteil.com.ua.html 1+2_diteil.com.ua_rugol.com.ua.html
$ cat 1+2_diteil.com.ua_rugol.com.ua.html
<script type="text/javascript" src="
http://scripts.mycounter.ua/counter2.0.js
">
----------------------------------------------------------------------
Кроме JS-кода вызова счётчика MyCounter.ua виден новый редирект, на сей раз не серверный, а браузерный, по истечении 1-й сек. с момента загрузки страницы - на
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
. Эта страница, как явно видно из доменного имени, принадлежит некоему генератору (агрегатору) лидов. Заход на сайт
http://leads.su/
это подтверждает, причём и сфера деятельности агрегатора - банковские и финансовые услуги:
----------------------------------------------------------------------
ООО "Лидс" :: Крупнейший агрегатор партнерских программ в банковской сфере
----------------------------------------------------------------------
Что же увидит человек, когда его браузер выполнит этот самый последний редирект? Воспользуемся wget ещё раз:
----------------------------------------------------------------------
$ wget -O 3_pxl.leads.su.html -o 3_pxl.leads.su.log --server-response --user-agent=Mozilla
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
$ cat 3_pxl.leads.su.log
--00:14:57--
http://pxl.leads.su/click/b5d32b0e9b8527197fffdb974d04f166
=> `3_pxl.leads.su.html
Resolving pxl.leads.su... 46.4.81.106
Connecting to pxl.leads.su|46.4.81.106|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 302 OK
Server: nginx
Date: Wed, 25 Dec 2013 20:17:27 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Set-Cookie: session-click-60=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D; expires=Wed, 19-Feb-2014 20:17:27 GMT; path=/; httponly
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Location:
https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
Location:
https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
[following]
--00:14:57--
https://www.tcsbank.ru/credit/form/?utm_source=leads_apr_cc&utm_medium=aft.apr&utm_campaign=creditcard&wm=13529&transaction_id=d73a6c28a44253d6205c04506db7657c&aff_id=13529&session=y84X4yBra7jAu4q0DtMXWcIRJt%2FbRrQqqkNRhppcBdzvRbp08kBhmFe7cP%2BVIbj5OH02gbPEfYK%2BGwyba2Sk8vDZb1eOuP7SznUV3MYfZ4F%2FD4nUcxiJbj60dc1zxsV5jJQu4J5ua20p6eUQ7xyUS2ASt16UqHAnHOvsP%2B8IuvOCnfGbUI3gEvTJpR%2BvxFLpaVa8L0f6NneOYreKdN5pnA%3D%3D
=> `3_pxl.leads.su.html
Resolving www.tcsbank.ru... 91.194.226.20
Connecting to www.tcsbank.ru|91.194.226.20|:443... connected.
ERROR: Certificate verification error for www.tcsbank.ru: unable to get local issuer certificate
To connect to www.tcsbank.ru insecurely, use `--no-check-certificate.
Unable to establish SSL connection.
----------------------------------------------------------------------
Bingo! Нас перебросили на сайт банка "Тинькофф", причём по HTTPS и (естественно!) не по простой, а по специфической ссылке, характерной для Google Analytics и раскладывающейся на следующие составляющие:
- utm_source=leads_apr_cc: источник трафика для банка "ТКС". Лексема "leads" пояснений не требует, лексема "apr", по-видимому, специфична для реального источника трафика, ну а "cc" - это на 99%, конечно же, "Credit Card";
- utm_medium=aft.apr: в данном случае субидентификатор рекламной кампании. Скорее всего, подстрока "aft" является сокращением слова "affiliate", ну а "apr" мы уже видели;
- utm_campaign=creditcard: идентификатор основной рекламной кампании;
- wm=13529: идентификатор конкретного аффилиата;
- transaction_id=d73a6c28a44253d6205c04506db7657c: идентификатор какой-то транзакции. В принципе эта переменная может и не иметь отношение ко взаимотношениям банка и лид-партнёра и использоваться для каких-то внутренних банковских нужд, но её расположение между переменными wm и aff_id говорит об обратном;
- aff_id=13529: снова идентификатор конкретного аффилиата.
---
Комментарий Roem.ru: ТКС не приветствует такую схему работы и, очевидно, при жалобе может выкинуть такого партнёра.
Источник:Roem.ru
Похожие новости
- Реализация SHA256 и SHA512 на языке RUST
- Вспомнить за майские: 20 шагов для апгрейда информационной безопасности
- (Не) безопасный дайджест: открытый сервер, морская утечка и атака на цепочку поставок
- Неожиданности IPv6, или почему тупят Instagram и WhatsApp через прокси и VPN
- [Перевод] Бэкдор в основной версии xz/liblzma, ведущий к компрометации SSH-сервера
- Раскрываем секретные функции: магия макросов в Burp Suite
- AITU Military CTF 2024: История о том, как мой сон привел к поднятию киберполигона в стенах моего университета. Часть 1
- Объявлены победители RUWARD AWARD 2024
- Виртуальное повышение. Эскалируем привилегии в VirtualBox
- Сила шифрования или как я выявил недостаток работы Defender’а