28.03.2017 | 06:47

Adam Haertle

38 komentarzy

Nowe pomysły przestępców na wyłudzanie SMSów premium

Nie wątpimy, że wszelakiej maści „konkursy” na Facebooku nadal cieszą się ogromnym powodzeniem, jednak przestępcy nadal szukają alternatywnych sposobów wyłudzania SMSów premium. Poniżej opiszemy jedną z ciekawszych sztuczek.

Jeśli się zastanawiacie, kto daje się nabrać na „konkursy” typu „słynna osoba rozdaje samochody warte milion złotych każdy”, by następnie wysłać dwa SMSy po 30 PLN każdy w celu pobrania z sieci rzekomego „formularza odbioru nagrody”, to rozejrzyjcie się dookoła i na pewno kogoś zobaczycie. W najlepszych akcjach tego typu SMSy wysyła nawet kilka tysięcy osób w ciągu paru godzin, a codziennie takich „konkursów” jest kilkanaście. Najsprytniejsi spamerzy potrafią zarabiać nawet ponad 100 tysięcy złotych miesięcznie na naiwności Waszych znajomych. Nie wszyscy jednak korzystają z motywu „konkursowego” – dlatego pokażemy dzisiaj inny sposób wyłudzania SMSów.

A może aktywator

Kilka dni temu odezwał się nas pewien czytelnik, który podesłał ciekawą informację (dzięki!). Czytelnik znalazł w sieci program udający aktywator systemu Windows, przeanalizował jego kod źródłowy i ustalił, że służy do wyłudzania SMSów premium. Czas zatem przyjrzeć się temu oszustwu.

Rozpieszczeni firmowymi licencjami nie sądziliśmy, że aktywatory Windows są nadal tak popularne. Okazuje się, że są także popularnym narzędziem przestępców. Czytelnik natrafił na komentarz w serwisie Youtube, pod filmem promującym jedną z metod aktywowania Windowsa. Komentarz wyglądał tak:

Idąc za wskazówkami czytelnika pobraliśmy wspomniany plik z serwisu Chomikuj.pl i wgraliśmy go do narzędzia dotPeek by zobaczyć jego kod. Program najpierw udaje, że pobiera z internetu tajemnicze „paczki”, zapewne by pokazać, że robi coś bardzo ważnego.

Krótko potem wyświetla zawartość pewnej witryny.

Witryna ta już wprost służy do wyłudzania SMSów premium.

Oczywiście nie ma żadnego aktywatora, jest tylko opłata za wysłanie SMSa premium w kwocie 30,75 PLN brutto. Wyszukiwanie w sieci numeru 92590 oraz tekstu „ag wejdz” nie zostawia wątpliwości – ten zestaw służy głównie do wyłudzania pieniędzy pod różnymi pretekstami. Kto może stać za tym konkretnym oszustwem?

Zacznijmy od Youtube. Komentarz wysłało konto „Aktywator Windows”, które dwa tygodnie temu wrzuciło swój własny film z „aktywatorem Windows”. Temu filmowi towarzyszy URL

http://aktywator-windows-7.pl/

Na filmie możemy także znaleźć login użytkownika, który testuje rzekomy „aktywator”:

Niestety jest to tylko login ze świeżo przygotowanego systemu, zatem pewnie nie zaprowadzi nas daleko. Coś ciekawszego znajdziemy w kodzie programu – jest to ścieżka z komputera autora:

C:\Users\Gainer\Documents\Visual Studio 2010\Projects\WindowsApplication4\WindowsApplication4\obj\x86\Debug\Aktywator.pdb

Niestety ten pseudonim także wydaje się dość popularny, zatem nie wystarczy by zlokalizować autora. Konto na Chomikuj.pl nazywa się „Programy-2017”, zatem też jest raczej ślepym tropem.  Co ciekawe, konto pochodzi z lutego tego roku, zatem oszustwo trwa już jakiś czas. Domenę aktywator-windows-7.pl promuje z kolei konto DaVoltDocta (inne powiązane konta to m. in. DaPowDocta, MakeDoctaVoice, DaDoctaVosk, xWeronika97x):

które w podobny sposób promuje następujące linki:

http://pelna-wersja.ml/Ccleaner-Crack-Instrukcja-Instalacji-rar
http://pelna-wersja.ml/Mirillis-Action-Crack-Instrukcja-Instalacji-rar
http://pelna-wersja.ml/Ontrack-EasyRecovery-Professional-Crack-Instrukcja-Instalacji-rar
http://pelna-wersja.ml/Yamicsoft-Windows-10-Manager-Crack-Instrukcja-Instalacji-rar

Każdy z tych linków przekierowuje do kolejnego oszustwa w postaci wyłudzenia kodów SMS, choć tym razem pod inną domeną:

Trafiliśmy także na inny link:

http://elite-crack.ml/the-sims-4-crack/

który z kolei prowadzi do serwisu:

http://pelna-wersja.pl/the-sims-4/

gdzie możemy znaleźć także inne „pełne wersje”. Wszystkie prowadzą do podobnych plików EXE, zawierających znaną nam już ścieżkę:

C:\Users\Gainer\Downloads\Downloader-2013-11-14\Downloader\Downloader\obj\x86\Release\Instalator.pdb
C:\Users\Gainer\Documents\Visual Studio 2010\Projects\exe\exe\obj\x86\Debug\exe.pdb

Co ciekawe, wszystkie te pliki umieszczone są na tym samym koncie Dropboksa, pod pseudonimem „Paweł Mróz”:

Te pliki EXE zachowują się podobnie do poprzednio opisywanych. Są także napisane w .NET (Visual Basic.NET) i udają instalatory pirackich wersji popularnych gier. Ich działanie przebiega następująco:

  • aplikacja sprawdza czy istnieje katalog C:\\Windows\\update-mok i jeśli go nie ma to go tworzy
  • pobiera plik exe z adresu https://www.dropbox.com/s/duijw9u0m4mj4hq/exe.exe?dl=1 i zapisuje go jako C:\\Windows\\update-mok\\megamax.exe i uruchamia widok “instalatora gry” (np. Sims 4)
  • w okienku wyświetla się grafika (np. z adresu https://abload.de/img/ts4_719_sp08_screens_8vaxy.jpg)
  • program sprawdza czy istnieje plik c:\GameDATA7.rar i jeśli istnieje to go kasuje
  • tworzy klucz rejestru HKCU\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\ z zawartością “Instalator”, “C:\\Windows\\update-mok\\megamax.exe
  • po naciśnięciu przycisku aplikacja udaje że pobiera plik instalacyjny gry a tak naprawdę pobiera plik testowy z serwera OVH o objętości 10Gb (http://ovh.net/files/10Gio.dat) i zapisuje go jako C:\\dim.exe
  • po zakończeniu pobierania pliku otwiera stronę https://wpisz-to.pl/57e75992 gdzie nakłania do wysłania wiadomości SMS
  • jeśli użytkownik wykonuje polecenie to zostaje przekierowany na kolejną stronę gdzie może stracić kolejne środki: https://za-rejestruj.pl/cca540f0
  • aplikacja kończy swoje działanie.

Tymczasem pobierany plik EXE:

  • po uruchomieniu (uruchamiany przy starcie systemu), używając komponentu przeglądarki (WebBrowser)  próbuje nawiązać połączenie ze stroną http://bit.ly/2mt8LH8
  • ta witryna przekierowuje na adres http://rebrand.ly/wikip79e1, który z kolei przekierowuje na https://en.wikipedia.org/wiki/Main_Page
  • jeśli ostatnie przekierowanie prowadzi na https://en.wikipedia.org/wiki/Main_Page, program otwiera przeglądarkę na stronie https://rebrand.ly/fires724b
  • obecnie ten adres przekierowuje na Youtube.com
  • jeśli http://bit.ly/2mt8LH8 nie przekierowuje na Wikipedię, to aplikacja kończy swoje działanie.

Prawdopodobnie przekierowania pełnią rolę rodzaju „licznika” – serwis bit.ly zlicza liczbę odwiedzin. W momencie naszej analizy licznik pokazywał, że tylko w poniedziałek plik był uruchomiony ponad 100 razy.

Podsumowanie

Niestety mimo iż zapędziliśmy się dosyć daleko i głęboko, to nie trafiliśmy na tożsamość autora tych ataków. Używane domeny mają ukryte dane właściciela, hosting przechowuje witryny wielu firm, a odkryte pseudonimy trudno z kimś powiązać. Może Wy będziecie mieli więcej szczęścia lub talentu. Widać jednak, że mamy do czynienia z wyjątkowo pracowitym przestępcą – liczba różnych opublikowanych przez niego programów, cracków, spolszczeń i innych oszustw idzie w setki. Sposób oszustwa też nie jest głupi – kto zgłosi na policję, że pobrał z sieci pirackiego Windowsa czy grę i został oszukany…

Aktualizacja 2017-03-28 10:00:

Inni oszuści zajmujący się wyłudzeniami SMS tak komentują nasz artykuł:

Pozostali zastanawiają się, skąd bierzemy nasze zrzuty ekranu…

Aktualizacja 2017-03-28 13:00:

Oszust usunął film z Youtube oraz pliki z Dropboksa, zmienił tez formułę pobierania opłaty z wysyłania SMSa na zapisywanie się na subskrypcję SMS. Hosting zablokował jego domeny. Pozostaje  się cieszyć, że chociaż tyle udało się osiągnąć. Kolejni czekają.

PS. Dziękujemy informatorowi, który chciał pozostać anonimowy, za prawdopodobne dane oszusta i kilku jego kolegów.

Powrót

Komentarze

  • 2017.03.28 07:13 fyx

    Dla mnie to trochę głupie ściągać aktywator i wysyłać SMSy premium jak za 30zł można nabyć „legalny” klucz, który teoretycznie powinien aktywować windowsa. (M$ twierdzi że to nielegalny sposób dystrybucji i takie klucze może blokować, sprzedawca twierdzi że wszystko jest ok. Ja swój klucz dostałem z komputerem, więc nie wiem jak to jest w praktyce. Poza tym Windowsa i tak używam tylko do gier, które nie działają pod Linuksem i nie pamiętam kiedy go ostatnio uruchamiałem.)

    Natomiast jeśli chodzi o SIM4 to nie tak dawno była promocja że można było w pełni legalną grę nabyć za chyba 60zł na orginie, więc i w tym przypadku ściągnie piratów mija się z celem.

    Odpowiedz
    • 2017.03.28 08:19 Maksior

      Chyba że masz 12 lat i te 60zł to Twoje kieszonkowe na cały miesiąc to wtedy tonący brzytwy się chwyta :) A za SMSka i tak rodzice zapłacą więc…cóż :D

      Odpowiedz
    • 2017.03.28 09:56 Ssdjddrh

      Kto dzisiaj kupuje komputer bez Windows? Chyba epoka składania szrotów bez OS już się skończyła? ;)

      Odpowiedz
      • 2017.03.28 10:16 Tomasz

        Komp bez Windows to 400-500 w kieszeni. Jeśli ktoś nie używa to po co nabijac kasę M$?

        Odpowiedz
        • 2017.03.28 10:39 Dthvvhjbv

          Ja mam na myśli sytuację gdy ktoś składa szrota, płaci za każdą część a na OS już mu żal i dziaduje po torrentach, nie ma updatów jak człowiek itd…

          Odpowiedz
          • 2017.03.28 15:01 Viktor

            Pierwsza lepsza sytuacja ze sklepu. Przychodzi dzieciak z rodzicem mają 2000 na komp do gier.

          • 2017.03.28 15:30 pirat

            są updaty, zawsze były :)

      • 2017.04.02 12:00 zakius

        właśnie to epoka kupowania szrotów z preinstalowanym systemem się skończyła

        Odpowiedz
    • 2017.03.28 17:30 K

      Taki „legalny” klucz z Allegro często pochodzi właśnie z jakiś oszustw i może zaktywuje system poprawnie, ale w przypadku kontroli legalności oprogramowania takie coś nie przejdzie, bo licencje na systemy MS kosztują kilkaset złotych i ceny są raczej stałe (chyba, że jesteś studentem i masz dostęp do tych ich darmowych kluczy). Więc te kilkadziesiąt złotych z Allegro to jeszcze większe wydawanie kasy w błoto.

      Odpowiedz
      • 2017.03.28 20:36 Duży Pies

        W sądzie idziesz w zaparte, że nie wiedziałeś że niska cena z portalu aukcyjnego jest podejrzana – i że świadczy o wałku – a ewentualną winę za sprzedaż nielegalnego softu ponosi sam portal, co jest zresztą zgodne ze stanem faktycznym.
        Teza jak najbardziej do obronienia na wokandzie.

        Odpowiedz
        • 2017.03.30 09:02 sranie_w_banie

          Sranie w banie. Tak samo możesz pitolić, że nie wiedziałeś iż kupione auto/radio/telefon itp jest kradzione. Gówno to sąd obchodzi.

          Odpowiedz
    • 2017.06.12 14:03 user

      tutaj można znaleźć aktualną listę stron naciągających na płatne SMSy http://stop-oszustom.pl/fake-lista-12-06-17/

      Odpowiedz
  • 2017.03.28 09:21 Kurczak

    Taki chłopak jak ten Maciek powinien stracić więcej niż te 30zł na sms, popełnia przestępstwo używając aktywatora windows :)

    Odpowiedz
  • 2017.03.28 09:34 piatkosia

    Obecnie już można kupić wyłącznie win10, także jak ktoś chce starszą wersję, to zostaje nie do końca legalne odkupienie na lewo, niestety. Piraci znają remove wata, który podobno działa, a jak ktoś ściąga niezaufane aplikację z najbardziej pirate-oriented serwisu w PL, to sam sobie w stopę strzela.

    Odpowiedz
    • 2017.03.29 01:49 Dx

      W ramach licencji Oem przysługuje downgrade 10 do 7 lub 8.

      Odpowiedz
    • 2017.04.10 01:07 wer

      Aktywacja starszych wersji jest ciągle możliwa przez telefon. Nawet, jeśli instalka MS twierdzi inaczej.

      Odpowiedz
  • 2017.03.28 09:39 Turbo

    Piotr Pająk, który potwierdził na YT,że aktywator działa super też ciekawa postać. Popularyzuje kolejny program illegal za sms, przy czym już dużo mniej dba o szczegóły :)

    Odpowiedz
  • 2017.03.28 10:13 Zenon

    Windows to zlodzieje

    Odpowiedz
  • 2017.03.28 10:30 R.

    To juz jest metoda skrojona na kompletnych idiotow, jednak nie watpie ze znajdzie sie sporo chetnych skoro Chomik i Faceprzyglup jest celem ataku. Target sam mowi za siebie.

    Odpowiedz
  • 2017.03.28 11:18 Bazyl

    Przepraszam :(

    Odpowiedz
  • 2017.03.28 11:42 edzio

    już samo korzystanie z chomikuj świadczy o użytkownikach – przecież ten serwis służy w > 97% do pobierania nielegalnych treści (nigdy nawet nie byłem na tej stronie, ale przez lata słucham, że ludzie coś stamtąd pobierają – nóż mi się w kieszeni otwiera, żeby płacić za piracenie?? WTF?).
    A na sms premium, to dziś chyba tylko małe dzieci się nabierają, więc wina rodziców, że dzieci nie edukują I nie blokują wysokopłatnych smsów.
    Czytając o skali tego zjawiska uważam, że wysokopłatne sms powinny być domyślnie blokowane I tylko na wyraźną zgodę właściciela telefonu powinna być możliwość odblokowywania, w dodatku z opcją tylko na konkretne numery. Niestety operatorom taka usługa nie była by na rękę, wiec w tej kwestii potrzebne są regulacje prawne.

    Odpowiedz
    • 2017.03.28 19:04 Siema

      Jedno to płacić za piracenie, drugie jeśli chcesz coś legalnego pobrać (np. jakiś stary polski freeware), jedyny link jest na chomikuj i rozmiar pliku przekracza o 2 kB limit na darmowe pobieranie (bodaj 1 megabajt) i albo wysyłasz ten SMS albo nie dostajesz nic… Chomikuj to smutny żart pod przykrywką file hostingu.

      Regulamin, zabraniają przechowywaia piratów, a wystarczy wpisać w google „crack download chomikuj” i już mamy przed sobą jakieś 20 kont wypełnionych filmami, grami i programami na nielegalu. Nieoficjalnie pozwalają na to, bo dzięki temu interes się kręci. Bez piratów nikt by nie korzystał z tego badziewia.

      Odpowiedz
      • 2017.03.28 20:43 jasc

        Prosty przykład; wystarczy wpisać w google cokolwiek w rodzaju photoshop -pl, -trial – cs, i oczywiście, w oficjalnych podpowiedziach wyszukiwania wyskakuje zawsze coś z chomika :)

        Odpowiedz
  • 2017.03.28 18:12 Kappa

    Redakcjo, BARDZO proszę, abyście zawsze sanityzowali linki do niebezpiecznych treści, a już w szczególności linkujące do wykonywalnego kodu, w przeciwnym razie będę musiał zacząć unikać czytania Z3S, bo jednak czuję się z tym niekomfortowo.

    Odpowiedz
    • 2017.03.28 18:28 Adam

      Rozumiemy prośbę, jeśli jednak ktoś przypadkowo najpierw kliknie, potem pobierze, a potem uruchomi (choć ten kod i tak nie robi nic złego), to usuwając link nie uchronimy takiego użytkownika przed niebezpieczeństwem – znajdzie inny link i zrobi sobie krzywdę gdzie indziej. Uszkadzanie linków trochę uwłacza inteligencji czytelników…

      Odpowiedz
      • 2017.03.28 19:43 Kappa

        Co racja to racja, ale coraz częściej widuję jednak zneutralizowane linki w takich artykułach, w tym chyba nawet na samej Z3S, dlatego zwróciłem uwagę.

        Odpowiedz
      • 2017.03.28 20:38 Duży Pies

        Mnie nie uwłacza.
        Zamiast „http” dajcie „hxxp” tak jak robi Niebezpiecznik

        Odpowiedz
      • 2017.03.29 12:22 sarr

        > Uszkadzanie linków trochę uwłacza inteligencji czytelników…

        Toście popłyneli.
        Serio myślicie, że np. jak zamienicie w takim linku „http” na „hxxp” np. to czytelnik pomyśli, że został potraktowany przez Was jak przygłup? :D

        Równie dobrze to samo można podciągnąć pod sytuację, gdy zdarzy Wam się „czeski błąd” w artykule. :]

        Odpowiedz
  • 2017.03.28 18:46 Bazyl

    Przepraszam za swoje zachowanie. Idem siem pohlastać, bo jestem przestempcom :(

    Odpowiedz
  • 2017.03.28 19:48 Artur

    U mnie film na YT działa. Domeny zdaje się również.

    Odpowiedz
  • 2017.03.29 09:24 ja

    Jak to jest z serwisami oferującymi płatne SMS-y. Przecież zawsze gdzieś na końcu łańcuszka jest konto bankowe oszusta, na które przelewają kradzioną kasę. Policja nie potrafi się do nich dobrać?

    Odpowiedz
  • 2017.03.29 09:56 loledo

    Script kiddies znalazły zarobek w końcu.

    Odpowiedz
  • 2017.03.29 14:28 wojtek434

    tylko panowie ktorzy pisali arytykul nie widzieli chyba ze w premium sms i sub sms jest zawsze regulamin gdzie kazdy swobodnie moze go przeczytac i jak mu nie pasuje wyjsc z premium

    Do tego z tego co wiadomo aktywatory do jakiegokolwiek windowsa sa nielegalne bo to piractwo a wy kryjecie pirata wiec tez odpowiadacie za piractwo

    do tego te wszystkie fotki z rzekomymi instal czy aktywatorami to fejki

    wiec wniosek taki ze wy kryjecie pirata bo zostaje anonimowy macie dane jakis kolesi niby co to robia gdzie wierzycie na slowo wlasnie temu inforamtorowi co nie macie na 100 procent pewnosci ze tak jest

    i z tego co ja wiem to premium sms jest legalnie dzialajca usluga

    Odpowiedz
    • 2017.03.30 05:58 Duży Pies

      „wiec tez odpowiadacie za piractwo”
      „wy kryjecie pirata”
      Pisanie idiotycznych oskarżycielskich komentarzy nie świadczy najlepiej o twojej inteligencji – niczego z artykułu nie zrozumiałeś. Chciałeś żeby wyszło mądrze, a wyszło idiotycznie.
      Włącz myślenie, wyłącz emocje i nie ośmieszaj się więcej!
      .
      „premium sms jest legalnie dzialajca usluga”
      Działa 'legalnie’ ale to działanie na granicy prawa.
      Regulamin takiej usługi jest pełny niezrozumiałych i specjalnie zagmatwanych językowo klauzul – w domyśle celowo tak skonstruowanych żeby ludzie się nie połapali w czym tak naprawdę biorą udział. Często 'zgoda’ na wzięcie udziału w 'premium SMS’ jest celowo nazywana jako 'aktywacja’ albo 'zgoda na wysłanie autoryzacyjnego SMS’, oczywiście świadomie wprowadzając ludzi w błąd.
      Idąc twoim tokiem myślenia, mógłbym wysnuć wniosek że bronisz gnoja krojącego ludzi…

      Odpowiedz
    • 2017.03.30 09:10 Wredny

      Witam.

      Nóż i młotek też są legalne. O ile są używane do celów do jakich je wyprodukowane!

      Odpowiedz
  • 2017.03.30 10:29 kszh

    Dostawca świadczenia: Teleaudio Dwa. Obsługa kilenta/reklamacje: [email protected]

    Źródło: http://www.t-mobile.pl/r/repo1/documents/t_sa/SMS_Premium.pdf
    Wyszukiwarka UKE: https://www.uke.gov.pl/tablice/NumerUpo-list.do?execution=e1s1

    Art 286kk paragraf 1.

    Odpowiedz
    • 2017.03.30 10:44 Adam

      Numer jest w całości przekazany firmie Cashbill, która od paru dni „prowadzi analizę” ale chyba coś wolno im idzie…

      Odpowiedz
  • 2022.05.18 09:03 Jakub

    Lol xd

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nowe pomysły przestępców na wyłudzanie SMSów premium

Komentarze