7 milionów odwiedzin – zobacz skalę i zasięg kampanii SMS premium

dodał 2 stycznia 2018 o 20:07 w kategorii Prawo  z tagami:
7 milionów odwiedzin – zobacz skalę i zasięg kampanii SMS premium

Jesteście gotowi na nową wycieczkę w świat facebookowych oszustów? Tym razem podróż zaprowadzi nas do imponujących statystyk – licznik wyświetleń pewnego adresu powiązanego z SMSami premium przekroczył w ciągu kilku miesięcy 7 milionów.

Tak jak obiecaliśmy kilka dni temu, z okazji kilku wolniejszych chwil w okresie świątecznym przyjrzeliśmy się niektórym kampaniom oszustów na Facebooku i po kolei je opisujemy. Dzisiaj czas na kampanię, która nie miała ogromnej skali – ale doprowadziła nas do dużo bardziej imponującego licznika. Jeśli chcecie prześledzić całą drogę, to początek znajdziecie poniżej, jeśli interesuje Was tylko najciekawszy fragment, to przewińcie na koniec artykułu.

Zaczęło się jak zwykle

Historia rozpoczyna się od sporej listy domen utworzonych wg jednego wzoru:

sprawdz1.24.nl
[...]
sprawdz20.24.nl

sprawdza1.24.nl
[..]
sprawdza20.24.nl

sprawdzajz1.24.nl
[..]
sprawdzajz20.24.nl

sprawdzisz1.24.nl
[...]
sprawdzisz20.24.nl

sprawdzz1.24.nl
[..]
sprawdzz19.24.nl

Przestępcy używają wielu domen, ponieważ Facebook je dość regularnie blokuje, wtedy zmieniają na nową. Wszystkie strony zamieszczone były na jednym serwerze, pod adresem IP 144.76.162.245 i wszystkie wyglądały identycznie:

Treść strony wyjaśnia początek oszustwa – internauci są mamieni obietnicą, że zobaczą, kto oglądał ich profil na FB (co jest technicznie niemożliwe). Co ciekawe, w pasku „oni już skorzystali” pojawiają się prawdziwi znajomi osoby oglądającej aktualnie stronę – o ile jest zalogowana do Facebooka. Sztuczka przestępców polega na tym, że w kodzie strony zamieścili widget wyświetlający osoby, które polubiły Kwejka, jeden z najpopularniejszych polskich profili na Facebooku. Sprytne.

Te strony, które udało się nam sprawdzić, w kodzie zawierały jedynie wywołanie innej darmowej witryny:

http://facewatch.borec.cz/css/

Ta witryna kradnie login i hasło Facebooka i przekierowuje ofiarę na kolejny adres:

http://sprawdzikk.v0r.org/

Tam widzimy całkiem profesjonalnie przygotowaną stronę:

Witryna tak naprawdę wczytuje stronę:

http://konkursikowo.pl/

która z kolei wczytuje witrynę

http://potwierdzoneinfo.pl/apppodgladacz.p_CZYSTY21/podgladacz.php

I to własnie tam trafia ofiara. Po podadniu adres email następuje teatralna animacja:

a na koniec ofiara proszona jest o wysłanie SMSa o treści LEAD.TAK  na numer 92505, a następnie przepisanie otrzymanego kodu w celu… oczywiście nie sprawdzenia, kto na konto zajrzał, ale potwierdzenia subskrypcji niechcianych wiadomości SMS:

Wiemy już na czym polega oszustwo i wyłudzenie, teraz pytanie, czego jeszcze możemy się z tej strony dowiedzieć.

Kopiemy dalej

Na samym dole strony, daleko pod całą jej treścią, znaleźć możemy „wyjaśnienie”:

Serwis TWISTEDBOX jest usługą sms premium, która umożliwia dostęp do treści rozrywkowych. Dzięki serwisowi nasza aplikacja pokaże Ci losowych znajomych, którzy prawdopodobnie odwiedzili Twój profil na portalu społecznościowym facebook. Serwis dostępny jest na telefony komórkowe bądź inne urządzenia, posiadające kartę SIM w sieci Orange, Plus, T-Mobile i Play. Koszt sms 25 PLN netto (30.75 PLN z VAT). Kontakt w razie reklamacji: [email protected] Organizator będzie kontaktować się z Klientem na podany przez niego numer telefonu lub e-mail.

W kodzie strony z kolei znajdujemy taki fragment:

href="https://wydawca.lead.network/WYSWIETLENIE_IMG/2JnKk4zqOlz435M1OQYl/"

Jeśli jednak poszukamy trochę głębiej, znajdziemy także taki link jak:

http://potwierdzoneinfo.pl/apppodgladacz.p_CZYSTY/podgladacz2.php

i tu robi się ciekawiej. Format oszustwa jest ten sam, jednak w kodzie strony znajdują się dwa ważne fragmenty:

iframe src="http://kolor.oq.pl/"

oraz

img src="https://samnumer.pl/dabd722a"

Pierwszy to osadzona ramka, drugi to piksel śledzący. Co znajdziemy na tych stronach? Oczywiście kolejną stronę wyłudzającą opłaty. :

(wczytywaną z adresu http://fb-zmiana-koloru.pl/4383ca34) oraz subskrypcję SMS:

Najciekawszy jest jednak fragment, który znajdziemy w kodzie źródłowym zarówno strony samnumer.pl jak i fb-zmiana-koloru.pl. Oto on:

iframe frameborder="0" src="https://goo.gl/CgSgV1" style="width: 0px; height: 0px;"
iframe frameborder="0" src="https://goo.gl/jkkmS8" style="width: 0px; height: 0px;"

Prawdziwa skala zjawiska

Oba linki zawarte powyżej to niewidoczne ramki, wczytywane w ramach odwiedzanej strony, wczytywane za pośrednictwem strony do skracania linków. Prowadzą one do adresów:

www.g2a.com/r/fsciach
s.click.aliexpress.com/e/eyznUNn

To tak zwane linki referencyjne / afiliacyjne. Każdy, kto odwiedza witrynę je zawierającą, wczytuje je nieświadomie w swojej przeglądarce, co powoduje, że gdy potem trafi do sklepu z grami G2A lub na Aliexpress i zrobi jakieś zakupy, autor linka otrzyma prowizję. To dość popularny sposób zarabiania w internecie, chociaż z reguły linki te są jawne, a nie ukryte jak w tym przypadku.

Linki te pozwalają na analizę powiązanych z nimi statystyk. Pierwszy ma w chwili pisania artykułu 7 731 926 wyświetleń a drugi 3 629 665. Imponujące.

Spójrzmy na aktywność miesięczną drugiego linka:

2 miliony wyświetleń w ciągu miesiąca robi wrażenie. Co ciekawe, z wyjątkiem Wigilii, szczyty przypadają zawsze na niedzielę. Dzień przed Wigilią witryny, na których znajduje się ten link, były wyjątkowo popularne – 223 tysiące kliknięć. Czyżby zawierały przepis na sałatkę jarzynową?

Na szczęście w statystykach znajdziemy także adresy stron, na których link był zamieszczany:

Zbierając dane z kilku wykresów dochodzimy do poniższej listy domen powiązanych tym samym linkiem:

your-movies.pl
reg-me.pl
videno.pl
vid-net.pl
gigasync.pl
rejestruj-sie.pl
pobieram-plik.pl
za-chomikuj.pl
film-owo.pl
samnumer.pl
vid.firesub.pl
gw.firesub.pl

Wszystkie z nich powiązane są z serwisami obsługującymi płatności za pomocą SMS premium. Wystarczy odwiedzić dowolny z nich, by poznać mechanizm wyłudzeń.

Co to oznacza

Oczywiście opisywane przez nas firmy obsługujące płatności SMS premium, działające poprzez dużą grupę pośredników prezentujących swoje oferty i pobierających za nie płatności, bez wątpienia oferują uczciwe usługi internautom. Niestety do tej pory trafialiśmy na same oszustwa i wyłudzenia. Być może wynika to ze sposobu tworzenia szablonów usług, gdzie „kreator oferty” np. pobierania plików umożliwia od razu wybranie fałszywej ikony pliku i fałszywej liczby jego pobrań. Jeśli znacie jakieś prawdziwe oferty wystawione przez pośredników działających dla programów takich jak eForsa, MyLead, LeadMore czy Lead.Network, które w żaden sposób nie wprowadzają klienta w błąd, nie oszukują i nie manipulują, to podeślijcie – chętnie zobaczymy.

Dwa miliony wizyt miesięcznie zapewne nie odwzorowuje skali działania tego sektora gospodarki – podobnie działających firm jest co najmniej kilka. Wizyta nie oznacza także wysłania SMSa – nie znamy statystyk „konwersji”. Na razie wszystko jednak wskazuje na to, że liczba dwóch milionów odwiedzin miesięcznie oddaje w jakimś stopniu prawdziwą skalę prób wyłudzeń SMS premium w Polsce.