UUSI spämmiansatyyppi

Tai oikeammin, ei niinkään uusi mutta nyt tätä tekniikkaa on käytetty massapostituksissa joissa kirjeen sisältö vaihtelee mutta linkkien klikkausten lopputulos vie samaan, tai saman kaltaiseen ansaan.

Tunnusomaista on, että kirjeessä oleva linkki on koko kirjeen alueella, vaikka sanoja olisi linkkivärjätty ja alleviivattu. Tässä tapauksessa kaikki on alleviivattua sinistä linkkiväriä. Linkki osoittaa yleensä vain yhteen lyhennettyyn verkko-osoitteeseen. Tässä tapauksessa "bit.do" lyhenteenä mutta usein myös "bit.ly" lyhenteenä. Muitakin lyhennyspalveluja käytetään.
Ei ole mikään vitsi, että nuo lyhennetyt osoitteet (siis lyhennelminäkin) ovat pitkä rimpsu koodia. Tämän "lyhenteen" tarkoitus on vain hämäys.

Lyhennetty osoite pitää käydä purkamassa lyhennepalvelun ohjeen mukaan. Varsinaioset osoitteet, tässä huijjaustyypissä, näyttävät vievän yleensä osoitteeseen: "aptrk10.com". Alla edelleen analysoituna, mitä tuosta osoitteesta löytyy:

Short link: http://bit.do/fcCfF....
Redirects to: https://aptrk10.com/?a=1055&oc=5679&c=15822&m=3&s1=9

Tuossa osoitteessa on selkeä vaara, koska se osoittaa ilmeisesti tietokantaosoitteeseen tai osoitteisiin, josta/joista koneellesi saattaa tulla aivan mitä tahansa. Hyvin usein virus tai tietokalastusansa (=lomake jolla johonkin keksittyyn tarkoitukseen udellaan tietojasi).

Löytyi OSOITE http://aptrk10.com

Katsoin mitä tietoa "urlscan" löytää kysesiestä osoitteesta:
https://urlscan.io/result/bfc2c64d-7c49-45ed-a380-f3e84daa30ca

SIVUSTO ON VAARALLINEN:
Verdict: Malicious (Score: 100/100)
urlscan  - Score: 100 phishing
uusi tuomio "Google Safe Browsing" olisi "syytön" eli maine olisi puhdistettu, vaikka nämä spämmit eivät ainakaan minua vakuuta.

Domain nimen omistaa ja aministroi:
Name:Domain Administrator
Organization:THE ROCKET SCIENCE GROUP LLC (sama firma omistaa "mailchimp" postitusohjelman jota käyetään paljon roskapostittukseen)
Street:675 Ponce De Leon Ave
City:Atlanta
State:Georgia
Postal Code:30308
Country:US
Phone:+1.6789990141
Fax:+1.6789990142
Email:email@contact.gandi.net

Registrar Abuse Contact Email: email@support.gandi.net

Toinen nimipalvelu kertoo erilaista totuutta:
Domain Name: aptrk10.com
Registry Domain ID: 1951124117_DOMAIN_COM-VRSN
Registrar WHOIS Server: WHOIS.ENOM.COM
Registrar URL: WWW.ENOM.COM
Updated Date: 2019-07-06T08:26:10.00Z
Creation Date: 2015-08-04T19:16:00.00Z
Registrar Registration Expiration Date: 2020-08-04T19:16:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Domain Status: clientTransferProhibited https://www.icann.org/epp#

Registrant Name: PEITETTY
Registrant Organization: PEITETTY
Registrant Street: PO Box 639
Registrant Street: C/O aptrk10.com
Registrant City: Kirkland
Registrant State/Province: WA
Registrant Postal Code: 98083
Registrant Country: US
Registrant Phone:
Registrant Phone Ext:
Registrant Fax:
Registrant Email: PEITETTY
Admin Name: PEITETTY
Admin Organization: PEITETTY
Admin Street: PO Box 639
Admin Street: C/O aptrk10.com
Admin City: Kirkland
Admin State/Province: WA
Admin Postal Code: 98083
Admin Country: US
Admin Phone:
Admin Phone Ext:
Admin Fax:
Admin Email:
Tech Name: Whois Agent
Tech Organization: PEITETTY
Tech Street: PO Box 639
Tech Street: C/O aptrk10.com
Tech City: Kirkland
Tech State/Province: WA
Tech Postal Code: 98083
Tech Country: US
Tech Phone:
Tech Phone Ext:
Tech Fax:

Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
URL of the ICANN WHOIS Data Problem Reporting System: HTTP://WDPRS.INTERNIC.NET/
>>> Last update of WHOIS database: 2019-10-13T14:59:29.00Z <<<

Tuo postin osoitekentässä näkyvä HOBO spämmi tarkoittaa vastaavaa ansaa. Eli molemmat kirjeet on toteutettu samalla kaavalla. Allaoleva kirje on vanhempaa aineistoa. Siinä tähdätään samalla viestillä samaan ansaan. Tekiikka poikkeaa hieman. Katso näkyvä linkki alamarginaalissa. Sitä ei ole peitetty vaan se vie suoraan tietokantaan. Tämän uudempi tekniikka on halunnut peittää kantalinkin, vaikka mielestäni ei mitenkään onnistunmeesti (onneksemme).