Подозрительный спам [кто и как?]
 

Уже какой раз к одному из наших сотрудников приходит спам с разных реальных корп. адресов, но одинаковым содержанием.
Там говорится, типа "Вашего почтового ящика исчерпан более чем на 95%".
Ну и внизу кнопка типа "Увеличить объем", который введет на ОДНО И ТО ЖЕ адрес: выкладываю фильтрованный адрес во избежания конфликта:
Очень хотелось бы понять в чем смысл этой атаки или спама? сайт, куда ведет, это какой то сайт птицефабрики, которая толком и не рабоатет (сама фабрика, позовонил, сказали у нас пока нет отгрузок и за вируса)
Если есть знающие люди, могу реальный адрес выслать в ПМ, чтоб понять в чем дело.

Это Ваша почта?

Возможно, что таким способом собирают активные эл.ящики, что бы в дальнейшем рассылать любой-другой СПАМ или вести таргетированную рассылку;

Возможно, что на странице используется эксплойт или тому подобное (вон, нынче патчат свободные библиотеки, браузеры, etc), ведь заставить открыть ссылку пользователем это большое дело, считайте, что Вас уже скомпрометировали.

да, наша корп.почта.

ну по первых, мы не открыли ссылку, я смотрел в разных сервисах, но какой сервис не выявил никаких подозрительных активностей.
а во вторых, хочу выяснить что за механизм работы

krec, главное - не открывать такие письма (да и спам вообще) - я сразу удаляю. Механизм бывает самым разным, от страничек, похожих на страничку вашего провайдера (хостинга, банка и т.п.) и требующих ввести аккаунт/пароль до продвинутых систем, ворующих ваши данные при открытии ссылки (т.е. достаточно просто открыть письмо в почтовой программе, и усё, ваши данные пошли куда не надо..)

dmitryst, пожалуйста, давайте не будем умничать. хорошо знаю и про таких сайтов и про фишинг. Я хочу выяснить именно эту атаку. Что за механизм

krec, не думаю, что кто-то распишет про конкретно ваш вариант.

Речь не про Вас конкретно, а про пользователя, который перейдёт по ссылке.

Нынче не только фишинг используется;

"Google" активно патчит Свои библиотеки: libwebp и libvpx

а к чему вообще эти патчи библиотек?

Возможно Вы имели ввиду - к чему патчи именно этих библиотек?

Эти свободные библиотеки используют многие проекты, и в сентябре месяце в оных обнаружены RCE-уязвимости.

Фишинг (phising). То есть, угон логинов-паролей с целью завладеть ресурсами при помощи обманок. Юзер проходит по ссылке, там ему предлагают ввести логин и пароль якобы для "расширения" почты, юзер их вводит, готово.
Они и сами могут не знать, что им на сайт подсадили фишинг-вирус. Или не признаться. Также хакеры далеко не всегда сами аккуратны, пользуются готовыми инструментами, которые не всегда настроены как следует.

Настраивайте спам-фильтры. Скажем, от фишинг-атак хорошо поможет включение SPF, DKIM и политики отсева reject с DMARC.

Cereal Keeler, это все лирика , давно по 100 раз изучен.
третий раз уже пишу - мне интересно что за механизм и на самом деле отправители заражены или куда введет ссылка - они?

Исследуйте заголовки таких писем. Там всё видно будет - кто, откуда и как. Если у вас сложности с интерпертацией хедеров, можете выложить пример body целиком сюда. Если стесняетесь, то отправьте мне в ЛС. Только без купюр, это важно. Не обещаю впрочем сразу исследовать.

Можно попробовать выкачать obe.php сценарий, может там что интересного окажется?

Уже интересно )) при попытке зайти так: http://site.ru/obe.php
редиректит на https://0.0.1.147/

просто http://site.ru/ открывается сайт птицефабрики

Продолжается спам. Каждый день 1 письмо, от разных реальных корпоративных адресов.
Но содержимое одинаковое и ссылка тоже одинаковая.

а вбить правило?
Типа "если в теле письма содержится" и "характерный кусок текста" - > закинуть в спам-корзину
Что на клиенте, что на веб-версиях такое поддерживают все ящики начиная с начала нулевых годов