У меня есть частный веб-сайт, который каждую неделю отправляет электронные письма с двумя разными http-ссылками группе из 30 человек. При нажатии на ссылку ответ регистрируется в базе данных. Начиная с прошлой недели, по одной из ссылок получателя автоматически переходит либо сетевой сниффер, либо какое-либо вредоносное ПО на компьютере получателя.
Каждое электронное письмо отправляется индивидуально, поскольку ссылки содержат адрес электронной почты каждого получателя:
Yes, I will attend:
http://mywebsite.com/?email=user@domain.com&answer=yes
No, I can't attend:
http://mywebsite.com/?email=user@domain.com&answer=no
Примерно через 20 минут после отправки электронного письма я получаю на свой веб-сайт следующий запрос:
UserHostName: 209.133.77.166
UserHostAddress: 209.133.77.166
UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2; MS-RTC LM 8)
Browser: IE 7.0
Platform: WinXP
HttpMethod: GET
Path: /default.aspx
Url: http://mywebsite.com/default.aspx?answer=ab&email=hfre@qbznva.pbz
UrlReferrer:
Здесь есть несколько странных вещей:
Также:
Кто-нибудь узнает шаблон перехода по ссылкам электронной почты и кодирования параметров с помощью ROT13?
Ха, через 5 минут после публикации вопроса я сам нашел ответ. С тобой такое когда-нибудь случалось? :-)
По сути:
Потребовалось несколько звонков в AboveNet (теперь часть Zayo), но мы, наконец, смогли определить, что один из их клиентов - фирма по борьбе с вредоносными программами, базирующаяся в Великобритании и предоставляющая услуги двум нашим общим клиентам. Они сканировали все входящие электронные письма и исследовали любые гиперссылки, чтобы определить потенциальные опасности и / или уязвимости в местах назначения.