26 May 2009

Еще один тип спама под кризис

Lumber room
Замечен новый тип <социальной инженерии> в интернете. На днях на почту пришло письмо следующего содержания:

Александр добрый день!

Агентство по подбору персонала направило нам Ваше резюме.
В данный момент в нашей компании открыта новая вакансия CTO).
Оформление согласно ТК РФ, социальные гарантии, карьерный рост, зарплата будет зависеть от результатов собеседования.
Подробную информацию о нашей компании можно посмотреть на сайте:
http://www.pirol.ru/?dc=ngx6ex39812

С уважением, Маргарита
начальник отдела кадров
Фирма «Пирол» http://www.pirol.ru/?dc=ngx6ex39812


Надо заметить, что меня действительно зовут Александр, и я действительно когда-то размещал резюме на позицию CTO. Но что-то смутило меня в этом сообщении, и я пригляделся по-внимательнее. Вот на что я обратил внимание:
1) «Маргарита» не имеет фамилии и телефона, и вообще в письме никакой конкретики.
2) Ссылка www.pirol.ru/?dc=ngx6ex39812 — может говорить о деперсонализации посетителя на сайте (т.е. отправлена персональная ссылка).
3) Лишняя скобка в конце предложения — может говорить о некачественной автоматической обработке текста (в резюме «CTO» было в скобках).

Еще обстоятельства:
1) Перепутаны местами текст и URL ссылки — видимо глюк спамера.
2) Заголовки говорят о том, что письмо было отправлено pirol.ru/send_mail/send_mail.php, т.е. самим сайтом — похоже сайт был под контролем злоумышленника.
3) Сайт pirol.ru на данный момент не отвечает по таймауту. Гугл говорит, что это — (бывший?) сайт торговой компании.

Теперь попробуем предположить, зачем это могло понадобиться спамерам.
Вариант первый: валидация базы email-ов. Но не понятно, почему такая тщательная подготовка к валидации адресов с одного сайта (hh.ru) с тематикой поиска работы.
Вариант второй: DDoS атака сайта не ботами, а руками пользователей. Не понятно чем был плох стандартый вариант с бот-нетами и зачем персональные ссылки. Возможно мы имеем случай творческого подхода к решению задачи «пложить сайт конкурента»: как усилиями одного человека и за малые деньги (бот-нет купить дорого) положить сайт надолго (люди читают почту нерегулярно, будут пытаться зайти по ссылке многократно).
Вариант третий: редирект на сайт с вирусами. На мой взгляд, самый вероятный, хотя и не объясняет персональные ссылки (зачем нужен ботнет с привязкой к персональной информации?) и почему использован сайт, который не выдерживает такой нагрузки.

Будьте бдительны, хакеры подбирают наиболее актуальные темы для того чтобы пробить ваши собственные мозговые фильтры.
Tags:спамботнеткризиспоиск работыхедхантер
Hubs: Lumber room
+4
196 0
Comments 4
Top of the last 24 hours