Исследование

Обмани меня честно

В последнее время принято начинать блог-посты с какого-нибудь сообщения из социальной сети. Ну что же, не будем отступать от сложившихся традиций. Уже достаточно продолжительное время пользователи соцсетей могут наблюдать сообщения следующего вида, приходящие от друзей, у которых заражены компьютеры:

В этом сообщении предлагается последить, кому отправляют и от кого получают SMS «близкие». Подобный прием социальной инженерии очень популярен у злоумышленников, и раньше им пользовались, например, преступники, распространявшие Email-Worm.Win32.Iksmas (также известный как Waledac). Кликнув по ссылке (произойдет редирект), пользователь увидит красочный сайт, на котором предлагается сервис чтения SMS с номеров мобильных телефонов. Естественно такую ценную информацию никто просто так выдавать не будет, и после ввода номера и «проверки» наличия на нем сообщений пользователя потребуют ввести код, который можно получить, отправив SMS на короткий номер. Однако цена такой SMS нигде не указана, что странно…

Отсутствие цены заставило меня изучить сайт более подробно, и в самом низу я таки обнаружил искомое — правила пользования «сервисом». Первое, что бросается в глаза — это то, как эти правила оформлены! Белый текст на красном фоне — прочитать их, не сломав глаза, практически невозможно. Но нас такие трудности не остановят, ведь в этих правилах создатели сайта пишут очень интересные вещи. Во-первых, пользователь использует игровой(!) сервис www.[****]alur.ru на свой собственный риск. Во-вторых, «www.[ ****]alur.ru не принимает на себя никакой ответственности, в том числе и за соответствие результата поискового запроса цели Пользователя», ну и в-третьих, «www.[ ****]alur.ru не гарантирует, что: услуги www.[ ****]alur.ru будут соответствовать требованиям Пользователя; результаты, которые могут быть получены от www.[ ****]alur.ru, будут точными и надежными; качество, услуг www.[ ****]alur.ru будет соответствовать ожиданиям Пользователя; все программные ошибки в работе web-сайта www.[ ****]alur.ru будут исправлены». Вот тут становится очевидно, что пользователь сервиса получит не интересующую его информацию, а фантазию создателей сайта на тему «какие бывают смс».

Ну а теперь про цены. В правилах пользования этим игровым сервисом написано «Цена указана за одну проверку. Единовременно пользователь оплачивает
60 проверок…», далее «для получения доступа к сайту надо отправить 3 СМС.» Одна смс на номер 7132 стоит от 180 до 200 рублей, умножаем на три и получаем 600 рублей. Неплохая цена за «игру», не правда ли? Ну и в этих же правилах написано, что «www. [****]alur.ru не возвращает потраченные пользователем денежные средства».

Что же, с юридической точки зрения подкопаться к создателям сервиса тяжело — при использовании сервиса пользователь соглашается с правилами, а в правилах написано, что НИКАКОЙ ответственности создатели сайта не несут, и деньги назад не возвращают.

Дальше интереснее. После просмотра IP-адреса и nameserver, стало понятно, что этот сайт только верхушка айсберга. Тем же самым nameserver пользуются сайты gsmpoisc[****].ru, предлагающий обнаружить местоположение мобильного телефона (вместе с его хозяином) только по его номеру, gipnoz[****].ru — обучение гипнозу по «рассекреченной методике КГБ», [****]dueta.ru — календарь диеты от несуществующего НИИ «Питания и профилактики ожирения», а также IQ-Тест с выдачей сертификата по завершении от еще одного несуществующего НИИ и сервис проверки честности сайтов, запрашивающих смс для оплаты своих услуг (!!!). Ну и самые «банальные» сайты с вполне говорящими названиями [****]sexa.ru, [****]onal.ru, [****]seks.ru тоже, разумеется, входят в этот список.

Правила оплаты предлагаемых сервисов, а также пользовательские соглашения на всех этих сайтах похожи как братья — близнецы. Точнее — явно составлены по одному и тому же шаблону.

Самыми интересными страничками в этом «семействе» являются [****]convert.ru, convert[****].ru, объединяющие все предыдущие в единую бизнес-модель. Первый ресурс предлагает услуги конвертации трафика, проще говоря, является партнеркой, выплачивающей деньги за приведенных на нужные ресурсы пользователей. Однако почему-то сайт оказался не рабочим, благо ответ на вопрос «Почему?» удалось получить с помощью последнего сайта — форума по конвертации трафика. После беглого просмотра стало понятно, что сайт партнерки сейчас находится по другому адресу.

За способами монетаризации трафика далеко ходит не надо — они расположены прямо на главной странице. Там то, мы и увидим все описанные выше сайты. Партнерка предлагает разделение трафика на «женский», «мужской», «для взрослых» и «развлекательный», то есть все заманенные пользователи разделяются на эти четыре группы. И для каждой из этих групп создан свой метод выкачивания денег: платные порно-сайты, платные диеты, платные «игры».

На форуме же обсуждается, как всеми правдами и неправдами (в том числе с помощью вредоносных программ) закинуть пользователя на нужный сайт, чтобы тот совершил «покупку» — деньги получает и тот, кто привел пользователя на сайт, и собственно владелец сайта.

Надеюсь, после этого поста желающих прочитать чужие SMS или определить местонахождение мобильника друга или подргуги за небольшую плату станет меньше. Представители всех этих «игровых» и не очень сервисов, судя по правилам использования, от всякой ответственности отказываются. Если пользователь не прочитал правила и воспользовался сервисом, то с него сняли деньги совершенно законно. Но только вот как много людей читает эти правила? Кстати, многие ли пользователи написали жалобу в правоохранительные органы, когда не получили нужную услугу? Ответы очевидны, и я бы не советовал юзерам просто так отдавать свои деньги не самым честным представителям нашего мира, даже в случае, когда ну очень хочется прочитать SMS с чужого телефона…

Обмани меня честно

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике