maanantai 14. lokakuuta 2019

UUSI spämmiansatyyppi

Tai oikeammin, ei niinkään uusi mutta nyt tätä tekniikkaa on käytetty massapostituksissa joissa kirjeen sisältö vaihtelee mutta linkkien klikkausten lopputulos vie samaan, tai saman kaltaiseen ansaan.

Tunnusomaista on, että kirjeessä oleva linkki on koko kirjeen alueella, vaikka sanoja olisi linkkivärjätty ja alleviivattu. Tässä tapauksessa kaikki on alleviivattua sinistä linkkiväriä. Linkki osoittaa yleensä vain yhteen lyhennettyyn verkko-osoitteeseen. Tässä tapauksessa "bit.do" lyhenteenä mutta usein myös "bit.ly" lyhenteenä. Muitakin lyhennyspalveluja käytetään.
Ei ole mikään vitsi, että nuo lyhennetyt osoitteet (siis lyhennelminäkin) ovat pitkä rimpsu koodia. Tämän "lyhenteen" tarkoitus on vain hämäys.

Lyhennetty osoite pitää käydä purkamassa lyhennepalvelun ohjeen mukaan. Varsinaioset osoitteet, tässä huijjaustyypissä, näyttävät vievän yleensä osoitteeseen: "aptrk10.com". Alla edelleen analysoituna, mitä tuosta osoitteesta löytyy:

Short link: http://bit.do/fcCfF....
Redirects to: https://aptrk10.com/?a=1055&oc=5679&c=15822&m=3&s1=9

Tuossa osoitteessa on selkeä vaara, koska se osoittaa ilmeisesti tietokantaosoitteeseen tai osoitteisiin, josta/joista koneellesi saattaa tulla aivan mitä tahansa. Hyvin usein virus tai tietokalastusansa (=lomake jolla johonkin keksittyyn tarkoitukseen udellaan tietojasi).

Löytyi OSOITE http://aptrk10.com

Katsoin mitä tietoa "urlscan" löytää kysesiestä osoitteesta:
https://urlscan.io/result/bfc2c64d-7c49-45ed-a380-f3e84daa30ca

SIVUSTO ON VAARALLINEN:
Verdict: Malicious (Score: 100/100)
urlscan  - Score: 100 phishing
uusi tuomio "Google Safe Browsing" olisi "syytön" eli maine olisi puhdistettu, vaikka nämä spämmit eivät ainakaan minua vakuuta.

Domain nimen omistaa ja aministroi:
Name:Domain Administrator
Organization:THE ROCKET SCIENCE GROUP LLC (sama firma omistaa "mailchimp" postitusohjelman jota käyetään paljon roskapostittukseen)
Street:675 Ponce De Leon Ave
City:Atlanta
State:Georgia
Postal Code:30308
Country:US
Phone:+1.6789990141
Fax:+1.6789990142
Email:email@contact.gandi.net

Registrar Abuse Contact Email: email@support.gandi.net

Toinen nimipalvelu kertoo erilaista totuutta:
Domain Name: aptrk10.com
Registry Domain ID: 1951124117_DOMAIN_COM-VRSN
Registrar WHOIS Server: WHOIS.ENOM.COM
Registrar URL: WWW.ENOM.COM
Updated Date: 2019-07-06T08:26:10.00Z
Creation Date: 2015-08-04T19:16:00.00Z
Registrar Registration Expiration Date: 2020-08-04T19:16:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Domain Status: clientTransferProhibited https://www.icann.org/epp#

Registrant Name: PEITETTY
Registrant Organization: PEITETTY
Registrant Street: PO Box 639
Registrant Street: C/O aptrk10.com
Registrant City: Kirkland
Registrant State/Province: WA
Registrant Postal Code: 98083
Registrant Country: US
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax: removed phone number
Registrant Email: PEITETTY
Admin Name: PEITETTY
Admin Organization: PEITETTY
Admin Street: PO Box 639
Admin Street: C/O aptrk10.com
Admin City: Kirkland
Admin State/Province: WA
Admin Postal Code: 98083
Admin Country: US
Admin Phone: removed phone number
Admin Phone Ext:
Admin Fax: removed phone number
Admin Email: removed email address
Tech Name: Whois Agent
Tech Organization: PEITETTY
Tech Street: PO Box 639
Tech Street: C/O aptrk10.com
Tech City: Kirkland
Tech State/Province: WA
Tech Postal Code: 98083
Tech Country: US
Tech Phone: removed phone number
Tech Phone Ext:
Tech Fax: removed phone number

Registrar Abuse Contact Email: removed email address
Registrar Abuse Contact Phone: removed phone number
URL of the ICANN WHOIS Data Problem Reporting System: HTTP://WDPRS.INTERNIC.NET/
>>> Last update of WHOIS database: 2019-10-13T14:59:29.00Z <<<



Tuo postin osoitekentässä näkyvä HOBO spämmi tarkoittaa vastaavaa ansaa. Eli molemmat kirjeet on toteutettu samalla kaavalla. Allaoleva kirje on vanhempaa aineistoa. Siinä tähdätään samalla viestillä samaan ansaan. Tekiikka poikkeaa hieman. Katso näkyvä linkki alamarginaalissa. Sitä ei ole peitetty vaan se vie suoraan tietokantaan. Tämän uudempi tekniikka on halunnut peittää kantalinkin, vaikka mielestäni ei mitenkään onnistunmeesti (onneksemme).






Ei kommentteja:

Lähetä kommentti

Vaarallinen WEB