Данная статья — не руководство к действию или схема о том, как реализовать данную атаку на практике. Воспринимать текст стоит лишь в целях ознакомления и расширения собственной эрудиции. Если вы считаете — что данный материал побуждает к действиям или объясняет механику действий — осмелюсь вас огорчить. Если у вас есть достаточно мозгов, чтобы реализовать подобное — значит вы не будете заниматься такой ерундой. Если вы являетесь безмозглым обывателем и решились повторить эту историю — увы, вы безмозглый обыватель и вам этой информации попросту не хватит. Бац — я в дамках, и собственно аргументы за и против данной статьи летят мимо.

Вообще — мне уже в целом давно не интересно писать про арбитраж, поскольку его уже обсосали как могли, занимаюсь и занимался я всегда не арбитражем, а несколько другими вещами, о них и буду дальше писать статьи.

Почти год назад меня спросили – «Как ты считаешь, на чём всё-таки выгоднее всего конвертировать трафик? Где самая прибыльная ниша?». Тогда, совсем не задумываясь, я сходу ляпнул – «Фишинг». Потому что только на фишинге за 5 минут можно заработать 800 000 рублей, вложив всего 300, а сценарии атак и монетизация трафика с фишинга упираются лишь в вашу фантазию. После мне это всё конечно вышло боком, и аргументами в стиле — «даже ни одного примера привести не смог». Примеры и там и тут, каждый раз попадаются под руку, давайте рассмотрим один из них, раз на то пошло.

Во первых — это не те знания, которыми стоит гордиться и расхваливать свою эрудицию, приводя в пример подобные схемы и связки трафика. Ломать – не строить. Это знания, которые настолько специфичны, что обладают ими немногие, а реализовывают их – единицы, и слава богу.

Именно по тому, что на тысячу прочитавших, лишь десяток поймёт – о чём тут речь, и лишь один возможно, при хорошем стечении обстоятельств сможет реализовать полученные знания в практику, я и решил написать эту авторскую статейку. Ну и еще потому, что я устал читать предложения по лидогенерации и прочим скучным историям с трафиком, пора менять тематику и перекатывать в бложик про трафик, а не про арбитраж, поехали.

Снова ремарка – я ни кого не побуждаю к действиям или применению данной информации на практике, всё ниже изложенное написано лишь в целях ознакомления и расширения собственного кругозора, а так же показать возможности контекстной рекламы и в принципе рекламного трафика, если применять навыки арбитража в ином русле. Рекомендую использовать эту информацию в качестве защиты от подобных нападений, нежели их организации, а партнёрским сетям взять во внимание, что данные методы хорошо практикуются и реализуются именно на их рынке, и если у кого-то есть сомнения, прикрепляю пруф фишинговой атаки на базу одной из лидирующих и крупнейших партнёрских сетей, имя самой партнёрки замылено в целях консперации, так как такое может произойти абсолютно с любым сайтом или сервисом:

Если вы получали подобное письмо и узнали партнёрскую программу, не стоит кукарекать об этом, повторяю — сами партнёрки ни как не могут повлиять на это.

Данное письмо – это конечно не фишинговая атака, но давайте я расскажу, о чем партнёрка репортирует этой рассылкой и что собой представляет вид той атаки, которой он подвергся, и как она была реализована.

«В архиве в место счёта был вложен троян в виде XLS файла с включенными макросами»

То ли дело в том, что ребята, которые организовывали фишинговую атаку — плохо знакомы с рынком CPA и нишей, на которую полезли. То ли и просто им было лень персонализировать атаку под конкретную партнёрскую сеть и нишу в целом. Схема эта является основой фишинговых атак, самая распространенная и популярная. Многие компании обмениваются через корпоративную почту документами, передают счета-фактуры, отчеты, счета для оплаты, бухгалтерские документы и прочие офисные доки, которые открываются на автомате сотрудниками компании. Данная атака была не сотрудникам, а партнёрам, и вероятность пробива (конверта, на языке арбитража) – крайне мала, но доступ к компьютеру и персональным данным получить всё-таки можно, как и доступ к кошелькам и остальным кабинетам и инструментам, которые использовались на компьютере жертвы.

Другой нюанс – не смотря на абсурдность атаки, работали не дилетанты. Вшить макросы в XLS которые организуют инжект трояна на ваш ПК, это уже уровень более менее прошаренных рукоделов, а не школьников работающих на уровне фишинга данных формата «логин:пароль» на фейковых сайтах. Про эти способы расскажу тоже, но позже, пока рассмотрим конкретный пример.

Чтобы понять уровень необходимых знаний для реализации такой атаки и спецификацию трояна, достаточно глянуть видео, в котором подробно разобран процесс создания такого шелла:

Как видите, всю информацию можно получать в открытом доступе – было бы желание. В этом же видеоролике рассказано о реализации макросов в XLS документах, которые при открытии документа получают необходимый доступ к вашему ПК. Если вам действительно интересно читать о том, что я сейчас рассказываю, и лучше понимать — о чём речь, советую просмотреть видео, прежде чем читать дальше.

«В письме была так же вставлена корпоративная подпись партнёрской программы»

Второй нюанс, на который сразу обращаешь внимание — ребята заморочились с подделкой корпоративной подписи отправителя. Если речь идёт о «футере» письма, который добавляется в качестве визитки в конце всех писем партнёрки, тогда здесь нет ничего интересного, но если речь идет об адресе отправителя – становится уже увлекательно.

Основной момент, который вызывает доверие – адрес отправителя письма. Разумеется, получив письмо с адреса отправителя «support@sitename.com», вы вероятнее поверите в его подлинность и последуете советам или рекомендациям данного письма, но как такое реализовать?

В почтовых сервисах есть особенности, которые позволяют подменять адрес отправителя письма, для этого необходимо найти криво настроенный SMTP сервер под отправку, списки таких серверов можно найти на специализированных ресурсах, выглядит такой список серверов примерно так.

Для последующей реализации необходимо поднять на своем пк\сервере\впс-ке\дёдике веб-сервер с поддержкой PHP. Тогда у вас будет доступ к php.ini и можно будет указать SMTP-сервер, через который функция mail() будет отправлять письма. Таким образом, можно указывать цепочку отправителей и имитировать пересылку письма, где конечным отправителем указать именно тот домен и почтовый адрес, который введёт пользователя в заблуждение, поскольку криво настроенный SMTP не будет проверять подлинность отправителя дальше нашего сервера, а конечным отправителем мы нарисуем «support@sitename.com»

Код функции с подменой заголовка довольно прост, в качестве примера:

$headers = ‘From: Техническая поддержка sitename.com < support@sitename.com >’ .»\r\n» .

   ‘Reply-To: support@sitename.com. «\r\n»;

mail($to, $subject, $message, $headers);

В общем и целом, организовать доставку письма с поддельным адресом отправителя не составляет труда.

Третий фактор который остаётся без внимания, но меня заинтересовал – откуда базы? Раз рассылали именно от лица партнёрской программы своим партнёрам, значит где-то достали список электронных адресов партнёров и знали – с чем и кем имеют дело. Этот вопрос для меня остался без ответа, однако догадки у меня имеются.

«Фишинговая атака проводилась по базе вебмастеров партнёрской сет, но нет ни какой информации об утечке»

Заполучит базу – не значит хекать сайт\бд\црм\смс и выкачать её из админки, базу можно или спарсить, или с помощью примитивных фишинговых приёмов попросту собрать самостоятельно. Ещё более примитивный способ – заполучить базу прочекав публичные списки взломанных почтовых ящиков. 2014 год ознаменовал себя крупными взломами и утечками огромных баз фоормата «почта:пароль», таких как базы от продуктов Adobe, которые в дальнейшем перекатились в прочеканные базы сервисов Gmail, Mail.ru

Где взять такие базы? Держите пару миллионов поломанных почт для затравки:

Базы e-mail скачать бесплатно без регистрации и без смс

Заполучив такие базы, можно с помощью софта для кражи акаунтов Steam чекнуть все почтовые ящики на входящие письма с определенных доменов, в свое время я сидел на читерских форумах и находил такой софт там, например вот:

Собственно с этих форумов и растут ноги в сторону подобных специфичных знаний.

Далее просто чекаем базу на входящие письма от отправителей с системными доменами партнёрских сетей. Для того чтобы узнать имя отправителя той или иной партнёрской программы, достаточно просто зарегистрировать акаунт в партнёрской программе и получить от неё приветственное письмо с вашими реквизитами и данными входа.

Точно так-же по этим базам чекаются почты на акаунты от сёрча, ммгп, вебмастерс или других профильных форумов и пишутся самому себе отзывы с трастовых заброшенных акаунтов. Вариантов монетизации трафика с фишинга бесконечное множество.

С паблик базами понятно, они уже все пару лет как задрочены, но когда используешь их в таких неочевидных связках, когда необходимо получить трастовые акаунты форумов или вроде того – ещё работают и могут быть полезны.

Где брать актуальные и свежие базы для фишинга?

Самое очевидное – фишинг трафика с директа по спец размещению. Но тоже есть нюансы. Рассмотрим пример нашей партнёрки:

Достаточно просто крутить свой фейк морды сайта партнёрки, с фейковыми полями логина и граббером данных с полей авторизации. Еще второй вариант двигать ссылочной массой на поиске фейковую морду выше официальной страницы.

Количество запросов в месяц: 4 906 в месяц.

Примерный выхлоп базы за месяц работы ~ 1000 почтовых адресов формата «логин:пароль». Но имея такой формат базы, мы уже получаем доступ к половине почтовых адресов, поскольку пересечение одинаковых паролей к почте и к партнёрке примерно 1:2.

Остальную часть базы можно уже подвергать нашей фишинговой атаке и предлагать скачать зараженный XLS файл. В том случае, если нас интересует доступ к ПК жертвы (например, для получения контроля над платежными системами вебмани и проч.) – одной почты нам мало. Но имея доступ к почте, мы можем настроить правило в настройках самого почтового сервера, высылать копии всех входящих писем на свой почтовый адрес, собрать информацию о потенциальной жертве и персонализировать свою фишинговую атаку. К примеру, написав ему письмо, всё от той же технической поддержки, с заголовком вида – «Уважаемый партнёр “username” – вам заблокирована выплата в размере 48 932 рубля» — а внутри письма попросить перейти по ссылке для открытия тикета, в котором и изложена суть проблемы\претензий к вебмастеру или рекламодателю. Разумеется, ссылка будет вести на фишиновый сайт, который попросит авторизваться на сайте и вновь оставить свои данные, если ранее они не были получены с фейковой морды логина партнёрской сети, на которую мы сливали трафик с директа, или если базы получены другим путём.

В общем и целом хочется сказать одно — будьте бдительны. Итогом статьи должны были быть рекомендации о том, как избежать попадания в подобные истории, но единственное, что я могу посоветовать — это быть внимательным.

 

Оставить комментарий