Крупнейший американский регистратор доменов и хостинг-провайдер GoDaddy аннулировал более 15 тыс. поддоменов, перенаправляющих посетителей на сайты торговцев БАДами, стимуляторами работы мозга и другими сомнительными препаратами.

Мошеннические редиректы выявил эксперт Palo Alto Networks Джефф Уайт (Jeff White), который два года изучал партнерские программы по продвижению шарлатанских снадобий через спам. За это время ему удалось обнаружить свыше 21,6 тыс. сайтов-редиректоров и 689 связанных с ними страниц с целевой рекламой.

Примечательно, что все URL спамеров представляли собой короткие ссылки; многие из них были сгенерированы на специализированном сервисе GoDaddy. В названиях соответствующих сайтов прослеживался некий шаблон — как будто кто-то открыл англоязычный словарь и выбирал по одному слову на каждую букву. По мнению Уайта, имена в данном случае создавались автоматизированными средствами.

Исследователь насчитал более 4 тыс. поддоменов, отвечавших этому шаблону, и 3 тыс. уникальных доменов второго уровня. Большинство из них вызывалось по сокращенным ссылкам GoDaddy.

Расследование показало, что все поддомены, используемые в рамках рекламных кампаний, были созданы через взлом учетных записей клиентов хостинга, и этот процесс тоже мог быть автоматизирован. Таким образом была создана целая сеть редиректоров для привлечения пользователей потенциальных покупателей на опекаемые спамерами площадки. Чтобы повысить эффект от таких визитов, пользователя вначале «подогревали» рекламой: лендинг-страницы пестрели восторженными отзывами звезд телеэкрана и кинематографа о «чудодейственных» свойствах пилюль для снижения веса и обретения стройной фигуры.

Все ссылки на такой странице, по словам Уайта, вели непосредственно на сайт, торгующий хваленым товаром. Здесь визитеру предлагали самому опробовать «панацею», оплатив только доставку. В то же время мелким шрифтом в подвале указывалось, что в пакет входит подписка (с абонентской платой), которая будет автоматически возобновляться до тех пор, пока клиент ее не отменит.

Исследователь поделился с GoDaddy своими находками и даже написал несколько скриптов, чтобы облегчить идентификацию и блокировку мошеннических сайтов. Провайдер также сбросил пароли к затронутым аккаунтам, уведомив владельцев об инциденте.

Категории: Кибероборона, Мошенничество, Спам, Хакеры