Сижу, ни кого не трогаю, вдруг приходит письмо якобы от платёжного сервиса QIWI.COM.
Вообще, у меня нюх на мошенников. Но некоторые попадаются.
Что сразу бросается в глаза?
Не заполнена «Тема сообщения», а в переписке это является моветоном. Для уважающей себя платёжной системы это недопустимо.
Открываю почту. Вижу
Что здесь не так?
Реальный адрес отправителя не совпадает с именем отправителя
Таким образом, отправитель выдаёт себя за QIWI.COM, но пишет с домена GAME.RU
В теле письма нет текста. Вместо него картинка
Это сделано для того, чтобы антиспам-система не поняла содержание письма, и не отметила его, как спам.
Письмо обещает большой приз
Что, серьёзно? И даже лотерейного билета за деньги не надо покупать?
Определяем, куда ведёт кнопка, но не нажимаем на неё
Цель мошенников — чтобы вы нажали на кнопку. А уж что будет дальше это пока не известно. Либо реклама, либо вирус, либо мошенничество. Но в любом случае вы маякнёте спамерам: «я поддаюсь на такие уловки», — и ваш адрес попадёт в список потенциальных жертв. Подобные атаки на вас участятся.
Чтобы понять, куда ведёт кнопка, наводим на неё указатель мыши, и совершаем правый клик. В выпавшем меню выбираем: «копировать адрес ссылки».
Всё, ссылка у нас в буфере обмена. Вставляем её прямо сюда, в редактор. Она длинная.
http://us1-usndr.com/ru/subscribe_confirm?hash=6fi6ssff5kw7yud39eh[вырезал]cgqfyr5gq95txgon7pq1zb7fhr1a6pzd37pcdicddds9tcqkue16dk98yc7rhabee&id=jJiDMoknLae
Я разбил её на части.
http://us1-usndr.com/ru/subscribe_confirm
Это адрес, по которому произойдёт переход. Хотите узнать, что придумали мошенники? Переходите по нему, обязательно обрезав все параметры! Но учтите, что далее также понадобится нюх. Название говорит о том, что вы как бы подтверждаете подписку, но на деле там может оказаться что угодно.
Перехожу по ссылке
Мошенники хитры. Они не хотят раскрывать сути своего замысла, если им не передать параметры.
Первый параметр: носит имя hash и имеет значение: 6fi6ssff5kw7yud39ehctxzz[вырезал]5gq95txgon7pq1zb7fhr1a6pzd37pcdicddds9tcqkue16dk98yc7rhabee
Скорее всего это ваш точный идентификатор, который идентифицирует вас лично. Именно по нему спамеры догадаются, что это вы нажали на кнопку.
Второй параметр: носит имя id со значением jJiDMoknLae.
А это скорее всего определитель мошенника, которому за ваш переход или действия денежка капнет.
Ради интереса я попытался изменить хеш и ID мошенника, с целью сохранить своё посещение анонимным, но узнать, что же они там от меня хотят. Не вышло. Скрипт ожидает только правильных параметров.
Что делать в такой ситуации?
Сообщить почтовой службе, что получили спам, и удалить письмо. Экспериментировать с ним не советую.