02.01.2018 | 20:07

Adam Haertle

7 milionów odwiedzin – zobacz skalę i zasięg kampanii SMS premium

Jesteście gotowi na nową wycieczkę w świat facebookowych oszustów? Tym razem podróż zaprowadzi nas do imponujących statystyk – licznik wyświetleń pewnego adresu powiązanego z SMSami premium przekroczył w ciągu kilku miesięcy 7 milionów.

Tak jak obiecaliśmy kilka dni temu, z okazji kilku wolniejszych chwil w okresie świątecznym przyjrzeliśmy się niektórym kampaniom oszustów na Facebooku i po kolei je opisujemy. Dzisiaj czas na kampanię, która nie miała ogromnej skali – ale doprowadziła nas do dużo bardziej imponującego licznika. Jeśli chcecie prześledzić całą drogę, to początek znajdziecie poniżej, jeśli interesuje Was tylko najciekawszy fragment, to przewińcie na koniec artykułu.

Zaczęło się jak zwykle

Historia rozpoczyna się od sporej listy domen utworzonych wg jednego wzoru:

sprawdz1.24.nl
[...]
sprawdz20.24.nl

sprawdza1.24.nl
[..]
sprawdza20.24.nl

sprawdzajz1.24.nl
[..]
sprawdzajz20.24.nl

sprawdzisz1.24.nl
[...]
sprawdzisz20.24.nl

sprawdzz1.24.nl
[..]
sprawdzz19.24.nl

Przestępcy używają wielu domen, ponieważ Facebook je dość regularnie blokuje, wtedy zmieniają na nową. Wszystkie strony zamieszczone były na jednym serwerze, pod adresem IP 144.76.162.245 i wszystkie wyglądały identycznie:

Treść strony wyjaśnia początek oszustwa – internauci są mamieni obietnicą, że zobaczą, kto oglądał ich profil na FB (co jest technicznie niemożliwe). Co ciekawe, w pasku „oni już skorzystali” pojawiają się prawdziwi znajomi osoby oglądającej aktualnie stronę – o ile jest zalogowana do Facebooka. Sztuczka przestępców polega na tym, że w kodzie strony zamieścili widget wyświetlający osoby, które polubiły Kwejka, jeden z najpopularniejszych polskich profili na Facebooku. Sprytne.

Te strony, które udało się nam sprawdzić, w kodzie zawierały jedynie wywołanie innej darmowej witryny:

http://facewatch.borec.cz/css/

Ta witryna kradnie login i hasło Facebooka i przekierowuje ofiarę na kolejny adres:

http://sprawdzikk.v0r.org/

Tam widzimy całkiem profesjonalnie przygotowaną stronę:

Witryna tak naprawdę wczytuje stronę:

http://konkursikowo.pl/

która z kolei wczytuje witrynę

http://potwierdzoneinfo.pl/apppodgladacz.p_CZYSTY21/podgladacz.php

I to własnie tam trafia ofiara. Po podadniu adres email następuje teatralna animacja:

a na koniec ofiara proszona jest o wysłanie SMSa o treści LEAD.TAK  na numer 92505, a następnie przepisanie otrzymanego kodu w celu… oczywiście nie sprawdzenia, kto na konto zajrzał, ale potwierdzenia subskrypcji niechcianych wiadomości SMS:

Wiemy już na czym polega oszustwo i wyłudzenie, teraz pytanie, czego jeszcze możemy się z tej strony dowiedzieć.

Kopiemy dalej

Na samym dole strony, daleko pod całą jej treścią, znaleźć możemy „wyjaśnienie”:

Serwis TWISTEDBOX jest usługą sms premium, która umożliwia dostęp do treści rozrywkowych. Dzięki serwisowi nasza aplikacja pokaże Ci losowych znajomych, którzy prawdopodobnie odwiedzili Twój profil na portalu społecznościowym facebook. Serwis dostępny jest na telefony komórkowe bądź inne urządzenia, posiadające kartę SIM w sieci Orange, Plus, T-Mobile i Play. Koszt sms 25 PLN netto (30.75 PLN z VAT). Kontakt w razie reklamacji: [email protected] Organizator będzie kontaktować się z Klientem na podany przez niego numer telefonu lub e-mail.

W kodzie strony z kolei znajdujemy taki fragment:

href="https://wydawca.lead.network/WYSWIETLENIE_IMG/2JnKk4zqOlz435M1OQYl/"

Jeśli jednak poszukamy trochę głębiej, znajdziemy także taki link jak:

http://potwierdzoneinfo.pl/apppodgladacz.p_CZYSTY/podgladacz2.php

i tu robi się ciekawiej. Format oszustwa jest ten sam, jednak w kodzie strony znajdują się dwa ważne fragmenty:

iframe src="http://kolor.oq.pl/"

oraz

img src="https://samnumer.pl/dabd722a"

Pierwszy to osadzona ramka, drugi to piksel śledzący. Co znajdziemy na tych stronach? Oczywiście kolejną stronę wyłudzającą opłaty. :

(wczytywaną z adresu http://fb-zmiana-koloru.pl/4383ca34) oraz subskrypcję SMS:

Najciekawszy jest jednak fragment, który znajdziemy w kodzie źródłowym zarówno strony samnumer.pl jak i fb-zmiana-koloru.pl. Oto on:

iframe frameborder="0" src="https://goo.gl/CgSgV1" style="width: 0px; height: 0px;"
iframe frameborder="0" src="https://goo.gl/jkkmS8" style="width: 0px; height: 0px;"

Prawdziwa skala zjawiska

Oba linki zawarte powyżej to niewidoczne ramki, wczytywane w ramach odwiedzanej strony, wczytywane za pośrednictwem strony do skracania linków. Prowadzą one do adresów:

www.g2a.com/r/fsciach
s.click.aliexpress.com/e/eyznUNn

To tak zwane linki referencyjne / afiliacyjne. Każdy, kto odwiedza witrynę je zawierającą, wczytuje je nieświadomie w swojej przeglądarce, co powoduje, że gdy potem trafi do sklepu z grami G2A lub na Aliexpress i zrobi jakieś zakupy, autor linka otrzyma prowizję. To dość popularny sposób zarabiania w internecie, chociaż z reguły linki te są jawne, a nie ukryte jak w tym przypadku.

Linki te pozwalają na analizę powiązanych z nimi statystyk. Pierwszy ma w chwili pisania artykułu 7 731 926 wyświetleń a drugi 3 629 665. Imponujące.

Spójrzmy na aktywność miesięczną drugiego linka:

2 miliony wyświetleń w ciągu miesiąca robi wrażenie. Co ciekawe, z wyjątkiem Wigilii, szczyty przypadają zawsze na niedzielę. Dzień przed Wigilią witryny, na których znajduje się ten link, były wyjątkowo popularne – 223 tysiące kliknięć. Czyżby zawierały przepis na sałatkę jarzynową?

Na szczęście w statystykach znajdziemy także adresy stron, na których link był zamieszczany:

Zbierając dane z kilku wykresów dochodzimy do poniższej listy domen powiązanych tym samym linkiem:

your-movies.pl
reg-me.pl
videno.pl
vid-net.pl
gigasync.pl
rejestruj-sie.pl
pobieram-plik.pl
za-chomikuj.pl
film-owo.pl
samnumer.pl
vid.firesub.pl
gw.firesub.pl

Wszystkie z nich powiązane są z serwisami obsługującymi płatności za pomocą SMS premium. Wystarczy odwiedzić dowolny z nich, by poznać mechanizm wyłudzeń.

Co to oznacza

Oczywiście opisywane przez nas firmy obsługujące płatności SMS premium, działające poprzez dużą grupę pośredników prezentujących swoje oferty i pobierających za nie płatności, bez wątpienia oferują uczciwe usługi internautom. Niestety do tej pory trafialiśmy na same oszustwa i wyłudzenia. Być może wynika to ze sposobu tworzenia szablonów usług, gdzie „kreator oferty” np. pobierania plików umożliwia od razu wybranie fałszywej ikony pliku i fałszywej liczby jego pobrań. Jeśli znacie jakieś prawdziwe oferty wystawione przez pośredników działających dla programów takich jak eForsa, MyLead, LeadMore czy Lead.Network, które w żaden sposób nie wprowadzają klienta w błąd, nie oszukują i nie manipulują, to podeślijcie – chętnie zobaczymy.

Dwa miliony wizyt miesięcznie zapewne nie odwzorowuje skali działania tego sektora gospodarki – podobnie działających firm jest co najmniej kilka. Wizyta nie oznacza także wysłania SMSa – nie znamy statystyk „konwersji”. Na razie wszystko jednak wskazuje na to, że liczba dwóch milionów odwiedzin miesięcznie oddaje w jakimś stopniu prawdziwą skalę prób wyłudzeń SMS premium w Polsce.

Powrót

Komentarze

  • 2018.01.02 21:07 K

    Prokurator i tak nie dopatrzy się oszustwa, bo gdzieś jest, lecz nie wiadomo gdzie, regulamin, w którym baśń ta dzieje się, maleńkimi literami zapis w nim, o opłacie za ten niecny czyn.

    Odpowiedz
  • 2018.01.02 21:28 zyga

    wlascicielom domen, autorom kodu itd, powinno sie lamac rece

    Odpowiedz
  • 2018.01.02 21:34 manyaky

    Ciekawe czemu operatorzy nie blokują tych numerów/dostawców. Może ich zapytać?

    Odpowiedz
    • 2018.01.02 21:38 Adam

      Z 30 PLN za SMSa każdy bierze swoją część.

      Odpowiedz
      • 2018.01.03 02:24 Norbert S. Klanu

        Dlatego powinni się skupić tylko na jednym wałku, udowodnić operatorowi udział i przy*ebać karę 50mln PLN. Sprawę nagłośnić z informacją, że śledztwo wobec kolejnych operatorów trwa. W 30 sekund znikną wszystkie „usługi”.

        Odpowiedz
    • 2018.01.02 22:38 Q

      Podział łupu jest zależny od popularności usługi premium. Ale śmiało można założyć że każda strona bierze conajmniej 1/4.

      Fajnie by było gdyby ktoś opisał jak taka usługa działa od strony technicznej.

      Odpowiedz
      • 2020.02.13 13:31 matitoziomal

        Dla zwyklych użytkowników od 33% do 50% ;)

        Odpowiedz
  • 2018.01.02 22:08 miko

    a nie mozna podeslac tego do g2a i ali ? zby zablokowali program partnerski gosciowi ? wstrzymali wyplaty etc? a moze tam zarejestrowal sie na prawdziwe dane ?

    Odpowiedz
    • 2018.01.02 23:29 klaudia

      Przecież wystarczy wejść na jedną z ich domen, które wypisano w tym artykule czyli firesub.pl. Przecież na tym ich Firesubie jest pełno tych premium aż dziw bierze, że tacy oszuści nie są blokowani przez jakiś urząd.. Wyszukałam tam takie coś: worldp 60955, medi 60655, okej 60577, worldpics 60577, takk 60577, mediak 60955. Wystarczy tylko sprawdzić do kogo należą te usługi.. Te smsy premium powinni wyłączyć !!!!

      Odpowiedz
  • 2018.01.03 09:35 Matthew

    No tak, ale zasadniczo gdyby nie fakt, że po drodzę kradną hasła do fb, to poprzez odpowiedni zapisy i wspomniany wcześniej magiczny regulamin cała sytuacja byłaby „cynicznie legalna”, czyż nie?

    Jest ktoś prawnikiem? :P

    Odpowiedz
    • 2018.01.03 09:46 Adam

      To bardziej skomplikowane niż 0-1 ale ogólnie to „Art. 286. § 1. Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8”.

      Odpowiedz
      • 2018.01.03 10:58 Marcin

        Czy złożycie zawiadomienie do prokuratury o podejrzenia popełnienia przestępstwa? Czy będziecie się tylko przyglądać sprawie? Trzymam kciuki za to, że właściwie spożytkujecie ten bardzo fajny materiał.

        Odpowiedz
        • 2018.01.03 11:02 Adam

          Marcin, jeśli wiesz jak nie będąc poszkodowanym skutecznie zawiadomić to daj znać…

          Odpowiedz
          • 2018.01.03 11:43 abc

            Trzeba się stać poszkodowanym. Wyślijcie SMSa ;)

          • 2018.01.03 13:58 kszh

            Zawiadomienie składa się jako świadek, na najbliższym posterunku policji.

          • 2018.01.03 14:29 Adam

            A tak realnie, zawiadomienie na przypadkowym komisariacie o podejrzeniu popełnienia przestępstwa (lub usiłowaniu?), gdzie nie znam tożsamości przestępcy ani nie mam gwarancji że były ofiary (o ich tożsamości w ogóle nie wspominając) – są chyba lepsze sposoby na zmarnowanie czasu… Lepiej ten czas zużyjemy szukając kolejnych oszustów.

          • 2018.01.03 14:31 Karol

            W sumie to wystarczy, że ktoś poświęci te trzy dyszki lub więcej +czas i nerwy, udając nieświadomego użytkownika i już może się sądzić w roli poszkodowanego. Ciekawe jaki byłby wyrok.

          • 2018.01.03 14:38 Adam

            Jest tu jeden który poświęcił – umorzenie.

  • 2018.01.03 14:50 Storm

    Oszukańczy proceder wygląda tak. Firmy prowadzące „programy partnerskie/strony www” takie jak eForsa, MyLead, LeadMore czy Lead.Network świadczą usługi reklamowe w ramach sieci afiliacyjnej (reklama, dostęp do płatnych usług SMS Premium). Firmy te mają podpisane z zarządcą numeru SMS Premium umowę na wypłatę prowizji od każdego wysłanego smsa o podwyższonej płatności. Z reguły za smsa o wartości 30,75zł, kwotę około 15-16zł zabiera zarządca usługi (firma która posiada wyłączne prawa do zarządzania numerem premium. Firma ta następnie z w/w kwoty odprowadza część dla operatora telekomunikacyjnego, około 10zł). Pozostała kwota z 30,75zł tj. 14-15zł trafia do właściciela konkretnej usługi działającej na numerze Premium (np. do firmy eForsa, MyLead, LeadMore czy Lead.Network). Ta zaś posiada setki użytkowników, którzy reklamują ich programy partnerskie oparte na sms premium i którym z tych 14-15zł odpalają około 10-11zł od każdego smsa. Ci użytkownicy mają pełną dowolność w sposobie reklamy „programów partnerskich” a wręcz otrzymują gotową instrukcję jak mogą to robić (tworzenie oszukańczych konkursów, fanpage na FB itp.) W ten sposób z 30,75zł około 10zł otrzymuje operator, około 5zł zarządca numeru premium, około 4zł właściciel konkretnej usługi premium, około 11zł użytkownik reklamujący usługę premium. Sprawcą oszustw jest firma X posiadająca sieć afiliacyjną i programy partnerskie na numerach premium, która zleca „reklamę swoich usług nn osobom”. Udowodnienie jej winy graniczy z cudem gdyż będzie się bronić że każdy może „bezprawnie” reklamować jej programy partnerskie a oni z tą reklamą nie mają nic wspólnego. Często też nie chcą podać danych swoich użytkowników reklamujących usługi (osób bezpośrednio odpowiadających za zamieszczanie oszukańczych stron/linków itp.) a dotarcie do nich jest kluczowe, gdyż to ich zeznania mogą obciążyć ich mocodawców. W takiej sprawie Prokuratura musi zdobyć masę danych i umiejętnie je powiązać a najczęściej nie wie o co pytać poszczególne firmy, a one dają tylko te dane o które się pyta (żadnych dodatkowych informacji, choć wiedzą dokładnie na czym polega proceder i kto nim kręci). Panowie i Panie… żyjemy w kraju w którym można „zarabiać” miliony, trzeba tylko wiedzieć jak.

    Odpowiedz
    • 2018.01.03 16:52 Adrian

      Mówisz o mocodawcach? Ci ludzie sami tworzą fake strony i uważasz, że przyjdą zeznawać i powiedzą „Firma XXX umożliwiła mi oszukiwanie ludzi więc z tej możliwości skorzystałem, to wszystko wina tej firmy, ja nie chciałem nikogo oszukać no ale wie Pan ta prowizja tak na mnie patrzyła…”?
      Nie oszukujmy się, Ci ludzie sami naginają prawo i same regulaminy serwisów, większość łącznie z operatorami i Policją przymyka na to oko ponieważ ludzie są też sami sobie winni bo kompletnie niczego nie czytają, a przecież w każdej takiej usłudze jest regulamin i przedstawione koszty. W smsach premium nie występują wyłącznie oszuści, lecz wiadomo, że to tylko o nich się mówi bo przecież nikogo by nie obchodziło jeśli ktoś za smsa miałby pobrać coś czego akurat potrzebował i o dziwo to dostał prawda? Taki ktoś ani nie będzie się nigdzie skarżył ani nikt o tym pisać nie będzie ponieważ nikt tego nawet nie przeczyta.

      Odpowiedz
      • 2020.01.12 14:28 raj

        Zastanawiam się, czy ktoś zna jakieś *nieoszukańcze* i faktycznie pożyteczne zastosowania SMS-ów premium (poza wszelkiego rodzaju konkursami audiotele, bez których można się obejść czy SMS-ami na akcje charytatywne, gdzie płatności można ogarnąć innymi sposobami)? Wydaje mi się że przynajmniej 95%, jeśli nie więcej, zastosowań tej usługi to oszustwa. Biorąc to pod uwagę, Po co ta usługa w ogóle istnieje, czy sumarycznie nie lepiej byłoby ją w ogóle odgórnie, prawnie zlikwidować? Te nieliczne przypadki, w których ta usługa służy do pożytecznych celów (jeszcze raz, bardzo będę wdzięczny za podanie przykładów!) da się ogarnąć płatnościami w inny sposób.
        Oczywiście operatorzy telekomunikacyjni będą pewnie zawzięcie bronić tej usługi, bo przynosi im ona spory zarobek, ale z punktu widzenia dobra społecznego (a jest to jeden z celów prawa – prawo nie jest czymś, co istnieje ot tak sobie, w próżni, tylko ma określone cele) chyba korzystniej byłoby ją zlikwidować.

        Odpowiedz
  • 2018.01.03 16:54 Worm

    Dokładnie wszystko jest bardzo łatwe od strony technicznej do zrealizowania. Łącznie z naszym głupim społeczeństwem. Które idzie bardzo łatwo zmanipulować xD Chcesz awansu? Będziesz miał awans :)

    Odpowiedz
  • 2018.01.04 13:22 6obcy.pl

    Nawet na 6obcy.pl można się natknąć na reflink https://www.g2a.com/r/elpotato oczywiście ukryty ale jest :)

    Odpowiedz
  • 2018.01.07 03:20 gosc

    Jest projekt nowej ustawy ktora ma niby ukrocic wyludzanie przez SMS Premium. Ale to nieprawda, bo chca tylko obnizyc straty miesieczne do 35zl/msc. Przy ilosci ponad 50 mln. numerow tel. komorkowych w Polsce teoretyczny zysk wynosi az 1mld 750mln. zl. Jest o co sie bic. Operatorzy dalej beda mogli sporo zarabiac i chyba o to chodzi lobbystom.

    Odpowiedz
  • 2018.01.09 11:28 Anton Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

7 milionów odwiedzin – zobacz skalę i zasięg kampanii SMS premium

Komentarze