Spam via wyszukiwarka

Pomysłowość spamerów, jak wiemy, jest nieograniczona. Nie śledzę „trendów” technik ani dla „spamerów wyszukiwarkowych” :) ani dla mailowych. Dziś jednak o tych drugich, niedobrych ludziach zasypujących skrzynki pocztowe tysiącami niepotrzebnym maili.

Przy porannym rytuale czytania maili i kasowania spamów, w jednym z nich zauważyłem ciekawy trick. Oczywiście mail dotyczył tego co powinienem połknąć by stać się „prawdziwym mężczyzną”. Odbiegając od tematu, dopowiem tylko, że specyfik ten to pikuś w porównaniu do butelki z magiczną zawartością, którą można kupić w Chile (bodajże) o super nazwie – „Siedem Razy Bez Wyciągania”. Nawet p. Cejrowski się uśmiał (kto ogląda „Boso przez Świat” wie pewnie o czym mówię).

To co zauważyłem, oprócz wcale nie zachęcającej mnie treści, to fakt, że link nie był bezpośredni do danej strony tylko do wyszukiwarki. W kilku do Yahoo i kilku do Google.

W przypadku Yahoo miał on postać
http://search.yahoo.com/search?p=jakis-url-.com&y=Search&fr=sfp&ei=UTF-8, efekt był taki sam, jak w przypadku mojego przykładu. Strona nie została odnaleziona, jednak adres ślicznie został wyróżniony i stał się klikalny –
„Go directly to jakis-url-.com (site may not exist)”,
mniemam, że to jest zamierzony efekt. Adres w mailu jest znanej Firmy a po wejściu po nim, pierwsze co rzuca się w oczy to i tak link do właściwej strony. W przypadku ludzi nie znających angielskiego, pomyślą, że tak ma być. Myślę, że wielu z tych co umie ten język będzie zaciekawiona sytuacją i „kliknie” czyli cel zostanie osiągnięty.

Google – tutaj spamerzy byli bardziej pomysłowi, wykorzystali mechanizm przekierowań z AdSense/AdWords (R302), url nie był widoczny a zaczynał się „normalnie” czyli od www.google.com/pagea….. Podsumowując „klient” widzi adres na Google a ląduje na stronie docelowej.

Myślę, że w obydwóch przypadkach chodzi o zwiększenie zaufania poprzez wykorzystanie wizerunku dużych i znanych Firm, co na pewno skutkuje zwiększoną ilością wejść na docelową stronę.

BTW – przy okazji miałem możliwość przetestowania tego przekierowania via Google i przyznam się szczerze, że jeśli komuś potrzebne takowe „by R302” to po 1 minucie przy monitorze będzie wiedział co, jak i dlaczego.
Jak dla mnie jednak to trochę żenujące, że tak potężna firma, tworzy mechanizm, który można wykorzystać dowolnie rotując sobie adresy wykorzystywane przez tą Firmę. Nie wierzycie ? Sprawdźcie… www.google.pl/…., google.com/…, adwors.google.com/…, video.google.com/… i ….. cokolwiek sobie wpiszecie, z istniejących adresów.

Zastanawiam się czy nie można tego mechanizmu określić „dziurą podatną na ataki XSS” a wy jak myślicie ?

4 komentarze

  1. Autor Lost dodany 24 luty, 2008

    było :) to news sprzed kwartału… Symantec informację prasową na ten temat puścił…

  2. Autor mkane dodany 24 luty, 2008

    Nie śledzę tych informacji. Tak czy inaczej fajnie, że nie tylko ja to dostrzegłem.

  3. Autor Aleksander dodany 26 luty, 2008

    Po 1 dniu wyłączyli mi kampanie w AdWords za R302.

  4. Autor mkane dodany 26 luty, 2008

    Mógłbyś to dokładniej opisać?