Опасный спам от "Яндекса"

Получаю письмо следующего содержания:

From: Yandex.Abuse [[email protected]]
To: [Один из моих адресов]
Subject: Ваш сайт нарушил лицензию Яндекса

Лицом, ответственным за создание или поддержание указанного сайта была нарушена ╚Лицензия на использование поисковой системы Яндекса╩ – http://www.yandex.ru/info/termsofuse.html#spamer. В частности, Ваш сайт использует ссылочный спам, то есть размещает и получает ссылки, предназначенные исключительно для обмана поисковой системы и манипулирования результатами ее работы.

В силу того, что "Яндекс" не может корректно отранжировать страницы вашего сайта и сайтов, цитируемых вашим, по многим поисковым запросам, мы вынуждены временно игнорировать ссылки на сайт _mathelp.spb.ru_.

Мы не вступаем в переписку по поводу степени тяжести нарушения, конкретных адресов страниц на сайте и/или конкретных технических приемов, а также способов устранения проблемы.

Чтобы ссылки на сайт снова учитывались, вам необходимо убрать с сайта элементы, нарушающие упомянутую выше Лицензию. Восстановление может быть произведено после заполнения специальной формы для связи с техническим отделом.

–
С уважением, Платон Щукин Служба поддержки Яндекс.Ру http://help.yandex.ru/

Согласитесь, ситуация, в принципе, вполне жизненная. Особенно учитывая, что сейчас на Яндексе творится очередное черт знает что и он обнуляет многие счетчики. Письмо наглое, совершенно беспредельное ("Мы не вступаем в переписку по поводу степени тяжести нарушения, конкретных адресов страниц на сайте и/или конкретных технических приемов, а также способов устранения проблемы"), с ходу порождающее ответную реакцию. И адрес страницы, которую они "вынуждены игнорировать" (_mathelp.spb.ru_) - совершенный идиотизм, мгновенно вызывает мысль о том, что произошла ошибка, нужно все объяснить и они все исправят.

Единственное, что вызвало подозрение сразу - это совершенно дурацкое имя отправителя. Все-таки Платон Щукин - это из спамерско-графоманского репертуара.

Посмотрев внимательнее, я понял, что с того своего адреса, на который пришло это письмо, я никогда на Яндекс не писал, и он не может этот адрес знать.

Посмотрев еще внимательнее, я обнаружил, что адрес h t t p ://www.yandex.ru/info/termsofuse.html#spamer неточен - на самом деле на странице h t t p ://www.yandex.ru/info/termsofuse.html нет метки #spamer.

В общем, перед нами явный фейк! Теперь осталось только вычислить, где именно зарыта собака.

Собака была зарыта в "Специальной форме для связи с техническим отделом". Ссылка на "специальной форме" якобы вела на сайт h t t p ://auto.yandex.ru (знать бы, почему именно на автомобильный раздел Яндекса? Наверное, потому что в реале им никто не пользуется). На самом же деле, нажатие на ссылку инициировало jawa-script, выполняющий перенаправление на совершенно другой сайт, на котором стоял jawa-script побольше, упакованный в отдельный файл. Лезть в этот файл, чтобы выяснить, какую именно гадость он обучен делать, я уже не стал. В принципе, все понятно: запаниковавшего получателя письма отправят на опасный скрипт, который может осчастливить трояном или еще чем-нибудь приятным.