Уже какой раз к одному из наших сотрудников приходит спам с разных реальных корп. адресов, но одинаковым содержанием.
Там говорится, типа "Вашего почтового ящика исчерпан более чем на 95%".
Ну и внизу кнопка типа "Увеличить объем", который введет на ОДНО И ТО ЖЕ адрес: выкладываю фильтрованный адрес во избежания конфликта:
_http://site.ru/obe.php?email=nasha@po4ta.com&id=eb1c41c61fa6bbe8efef4c0f26128b0e&b=UGFyZmluZW5rb0BvcHR0aW0uY29t

Очень хотелось бы понять в чем смысл этой атаки или спама? сайт, куда ведет, это какой то сайт птицефабрики, которая толком и не рабоатет (сама фабрика, позовонил, сказали у нас пока нет отгрузок и за вируса)
Если есть знающие люди, могу реальный адрес выслать в ПМ, чтоб понять в чем дело.

http://site.ru/obe.php?email=nasha@po4ta.com »
Это Ваша почта?

Возможно, что таким способом собирают активные эл.ящики, что бы в дальнейшем рассылать любой-другой СПАМ или вести таргетированную рассылку;

хотелось бы понять в чем смысл этой атаки »
Возможно, что на странице используется эксплойт или тому подобное (вон, нынче патчат свободные библиотеки, браузеры, etc), ведь заставить открыть ссылку пользователем это большое дело, считайте, что Вас уже скомпрометировали.

Это Ваша почта? »
да, наша корп.почта.

Возможно, что на странице используется эксплойт или тому подобное (вон, нынче патчат свободные библиотеки, браузеры, etc), ведь заставить открыть ссылку пользователем это большое дело, считайте, что Вас уже скомпрометировали. »
ну по первых, мы не открыли ссылку, я смотрел в разных сервисах, но какой сервис не выявил никаких подозрительных активностей.
а во вторых, хочу выяснить что за механизм работы

krec, главное - не открывать такие письма (да и спам вообще) - я сразу удаляю. Механизм бывает самым разным, от страничек, похожих на страничку вашего провайдера (хостинга, банка и т.п.) и требующих ввести аккаунт/пароль до продвинутых систем, ворующих ваши данные при открытии ссылки (т.е. достаточно просто открыть письмо в почтовой программе, и усё, ваши данные пошли куда не надо..)

dmitryst, пожалуйста, давайте не будем умничать. хорошо знаю и про таких сайтов и про фишинг. Я хочу выяснить именно эту атаку. Что за механизм

krec, не думаю, что кто-то распишет про конкретно ваш вариант.

ну по первых, мы не открыли ссылку, »
Речь не про Вас конкретно, а про пользователя, который перейдёт по ссылке.

хорошо знаю и про таких сайтов и про фишинг. »
Нынче не только фишинг используется;

(вон, нынче патчат свободные библиотеки, браузеры, etc) »
"Google" активно патчит Свои библиотеки: libwebp и libvpx

"Google" активно патчит Свои библиотеки: libwebp и libvpx »
а к чему вообще эти патчи библиотек?

а к чему вообще эти патчи библиотек? »
Возможно Вы имели ввиду - к чему патчи именно этих библиотек?

Эти свободные библиотеки используют многие проекты, и в сентябре месяце в оных обнаружены RCE-уязвимости.

Очень хотелось бы понять в чем смысл этой атаки или спама? »
Фишинг (phising) (https://ru.wikipedia.org/wiki/%D0%A4%D0%B8%D1%88%D0%B8%D0%BD%D0%B3). То есть, угон логинов-паролей с целью завладеть ресурсами при помощи обманок. Юзер проходит по ссылке, там ему предлагают ввести логин и пароль якобы для "расширения" почты, юзер их вводит, готово.
сайт, куда ведет, это какой то сайт птицефабрики, которая толком и не рабоатет (сама фабрика, позовонил, сказали у нас пока нет отгрузок и за вируса) »
Они и сами могут не знать, что им на сайт подсадили фишинг-вирус. Или не признаться. Также хакеры далеко не всегда сами аккуратны, пользуются готовыми инструментами, которые не всегда настроены как следует.

Настраивайте спам-фильтры. Скажем, от фишинг-атак хорошо поможет включение SPF, DKIM и политики отсева reject с DMARC.

Cereal Keeler, это все лирика , давно по 100 раз изучен.
третий раз уже пишу - мне интересно что за механизм и на самом деле отправители заражены или куда введет ссылка - они?

третий раз уже пишу - мне интересно что за механизм и на самом деле отправители заражены или куда введет ссылка - они? »
Исследуйте заголовки таких писем. Там всё видно будет - кто, откуда и как. Если у вас сложности с интерпертацией хедеров, можете выложить пример body целиком сюда. Если стесняетесь, то отправьте мне в ЛС. Только без купюр, это важно. Не обещаю впрочем сразу исследовать.

_http://site.ru/obe.php?email= »
мне интересно что за механизм и на самом деле отправители заражены или куда введет ссылка »
Можно попробовать выкачать obe.php сценарий, может там что интересного окажется?

Можно попробовать выкачать obe.php сценарий, может там что интересного окажется? »
Уже интересно )) при попытке зайти так: http://site.ru/obe.php
редиректит на https://0.0.1.147/

просто http://site.ru/ открывается сайт птицефабрики

Продолжается спам. Каждый день 1 письмо, от разных реальных корпоративных адресов.
Но содержимое одинаковое и ссылка тоже одинаковая.

Но содержимое одинаковое и ссылка тоже одинаковая. »
а вбить правило?
Типа "если в теле письма содержится" и "характерный кусок текста" - > закинуть в спам-корзину
Что на клиенте, что на веб-версиях такое поддерживают все ящики начиная с начала нулевых годов