Эти сайты похожи на обычные сервисы для сокращения URL, но в их поведении есть некоторые странности. В частности, их практически невозможно найти через поисковики — единственное, в чем они бы замечены, — это рассылка спама. И у нас есть все основания полагать, что эти сайты созданы самими спамерами.
Наши аналитики выявили сразу несколько таких сайтов, причем все они аффилированы с одними и теми же спам-ресурсами и работают по одному и тому же принципу. Все они используют доменные имена в зоне .ru, а многие используют хостинг в России и Украине.
Схема их работы следующая: укороченные ссылки, созданные с помощью фальшивых сайтов, «укорачиваются» еще раз на других легитимных сервисах сокращения URL. И уже после этого рассылаются получателям спама. Возможность использовать ID, который выглядит как настоящий, для перенаправления множества ссылок на один и тот же сайт избавляет от необходимости генерировать настоящие ID с низким коэффициентом повторного использования. Кроме того, такая схема может помочь оставаться незамеченными для многих спам-фильтров.
Применяя вышеупомянутый метод, спамеры иногда создают длинные цепочки, в которых один сокращенный URL перенаправляет на второй, второй на третий — иногда это повторяется более десяти раз, пока ссылка не приведет на сайт спамера.
Интересно, что эти новые домены зарегистрированы за несколько месяцев до начала использования — вполне возможно, это еще один способ избежать разоблачения со стороны легитимных сервисов сокращения URL, поскольку возраст домена может использоваться как индикатор легитимности — подлинному сервису сокращения адресов будет гораздо труднее выявить потенциальные нарушения.
Главная страница сайта делает вид, что здесь ничего нет
Вот так выглядит спам-ресурс, на который переводится трафик
Так выглядит спам-рассылка.
Как видно из картинок, сделано это в данном примере для англоговорящего пользователя
Последнее время в России и без того очень много спама
Наши аналитики выявили сразу несколько таких сайтов, причем все они аффилированы с одними и теми же спам-ресурсами и работают по одному и тому же принципу. Все они используют доменные имена в зоне .ru, а многие используют хостинг в России и Украине.
Схема их работы следующая: укороченные ссылки, созданные с помощью фальшивых сайтов, «укорачиваются» еще раз на других легитимных сервисах сокращения URL. И уже после этого рассылаются получателям спама. Возможность использовать ID, который выглядит как настоящий, для перенаправления множества ссылок на один и тот же сайт избавляет от необходимости генерировать настоящие ID с низким коэффициентом повторного использования. Кроме того, такая схема может помочь оставаться незамеченными для многих спам-фильтров.
Применяя вышеупомянутый метод, спамеры иногда создают длинные цепочки, в которых один сокращенный URL перенаправляет на второй, второй на третий — иногда это повторяется более десяти раз, пока ссылка не приведет на сайт спамера.
Интересно, что эти новые домены зарегистрированы за несколько месяцев до начала использования — вполне возможно, это еще один способ избежать разоблачения со стороны легитимных сервисов сокращения URL, поскольку возраст домена может использоваться как индикатор легитимности — подлинному сервису сокращения адресов будет гораздо труднее выявить потенциальные нарушения.
Главная страница сайта делает вид, что здесь ничего нет
Вот так выглядит спам-ресурс, на который переводится трафик
Так выглядит спам-рассылка.
Как видно из картинок, сделано это в данном примере для англоговорящего пользователя
Последнее время в России и без того очень много спама
