Comments 141
Каким образом это можно получить? С установкой какой нибудь программы? Windows-only или возможны варианты для других ОС?
Не знаю. За ноутом пару часов провела подруга жены, которая очень любит жать next на все вопросы от чего-либо, так что не удивлюсь, что какая-то софтинка. Варианты для других ОС технически вполне возможны.
Меня интересует другой момент: как выработать иммунитет и на глаз отличить (хотя бы чтобы закралось подозрение) реальный запрос сервиса от проникшей гадости? На скринах вроде бы все выглядит превосходной мимикрией, а при учете того, что сейчас большинство сервисов требуют телефон для двухэтапной аутентификации, все выглядит достаточно правдоподобно.
У меня есть только такой вариант — привязывать на левую симку, которая не уходит в минус.
У меня есть только такой вариант — привязывать на левую симку, которая не уходит в минус.
На глаз отличить легко — такие сообщения, как правило, содержат орфографические, пунктуационные или стилистические ошибки. Данный пример — не исключение.
Как минимум, нужно насторожиться, если предлагается что-то отправить с телефона (например, здесь нужно было ответить «Да»), а не просто указать его номер. Нормальные сервисы сразу присылают код. Вроде бы (вроде бы) нельзя подписаться на какие-то платные услуги, если просто «засветить» где-то свой номер. Другое дело, что смс-спам может начать приходить, но от этого и без всяких зловредов трудно обезопаситься.
Можно подписаться на платные услуги, если 1) засветить номер и 2) ввести куда-то код который вам пришлют в смс.
Дык вы не вводите никуда код, если вдруг засветили номер. Крупные сервисы не пришлют смс с номера типа ХХХХ, у тех же контактов, вебмани, итп именованые номера…
Во-первых, это я к тому, что попасть на деньги можно и не отправляя смс.
Во вторых: smsc.ru/faq/#a87 Пишите что хотите в обратном номере. (конкретно на этом сервисе номера модерятся, но уверен что найдутся и такие где прокатит нечто вроде «vkontakte-unblock» )
Во вторых: smsc.ru/faq/#a87 Пишите что хотите в обратном номере. (конкретно на этом сервисе номера модерятся, но уверен что найдутся и такие где прокатит нечто вроде «vkontakte-unblock» )
Ну, у многих номер телефона в ВК и гугле итак уже прописан. Так что если «гугл» вдруг спрашивает номер — это явно не гугл.
Есть другой вариант: никогда и нигде в интернете не вбивать свой номер телефона.
Это лишит вас:
— Интернет-банкинга.
— Большинства электронных валют.
— Отлчной двуступенчатой авторизации Google.
— vk.com
— Интернет-банкинга.
— Большинства электронных валют.
— Отлчной двуступенчатой авторизации Google.
— vk.com
1. В банк обычно требуется идти ногами чтобы открыть аккаунт и привязать телефон (и попутно намекнуть симпатичной девушке за стойкой, что она теперь знает мой телефон ;) ). Но впрочем, ладно, банк можно сделать исключением.
2. PayPal и Яндекс.Деньги отлично работают.
3. Использую одноступенчатую, а если будут проблемы с аккаунтом, то это будут, скажем так, не мои проблемы. ;)
4. Велика беда. :) Действительно, с недавних пор начали требовать телефон. Номер я им не дам, мне проще не пользоваться этим сайтом.
Кстати, куда им написать, чтобы удалили нафик страницу? Почта саппорта отбивает назад, message cannot be delivered.
2. PayPal и Яндекс.Деньги отлично работают.
3. Использую одноступенчатую, а если будут проблемы с аккаунтом, то это будут, скажем так, не мои проблемы. ;)
4. Велика беда. :) Действительно, с недавних пор начали требовать телефон. Номер я им не дам, мне проще не пользоваться этим сайтом.
Кстати, куда им написать, чтобы удалили нафик страницу? Почта саппорта отбивает назад, message cannot be delivered.
Кстати, если кто знает хороший способ покарать поганца в пределах законов, пишите.
Зачем же сразу карать? Понять и простить.
Да и думаю тот, кто делал — лишь выполнил заказ, не более.
Да и думаю тот, кто делал — лишь выполнил заказ, не более.
«Мне сказали, я лишь нажал на курок, не более»…
Тот, кто занимается такими заказами должен осознавать, что он делает, насколько он раздражает жертв и чем оно может обернуться. По-моему покарать будет вполне справедливо.
Зашел в ваш профиль(если что, я часто всякие профили просматриваю).
Любопытно, более, чем за год пребывания на Хабре, вы оставили всего один комментарий — сегодня. В статье про мошенников, в котором просите не карать создателя :)
Любопытно, более, чем за год пребывания на Хабре, вы оставили всего один комментарий — сегодня. В статье про мошенников, в котором просите не карать создателя :)
Понять, простить и опустить. Как минимум.
Убить, сжечь, и закопать.
Убивать нельзя. Надо, чтобы они эти деньги отработали сначала.
На шахты их отправить или в Сибирь лес рубить.
На шахты их отправить или в Сибирь лес рубить.
UFO just landed and posted this here
На шахты — это слишком абстрактно, а вот в урановые рудники… :)
Рубильщиков там и так с перебором. нехай сажает.
По данных WHOIS, домен был зарегистрирован 30 ноября, быстро обнаружили и предупредили.
Мое небольшое расследование:
_dreamselfprotection.net/real_iframe.php?template=test
>> номер: 79111112222
в ответе получаем линк:
_moipodpiski.ssl.mts.ru/lp/?SID=5c16cd0a-2c8a-4578-9c83-6b88437e2fca#TextBoxActivationCode
оформляется подписка на:
_4anonimz.ru/
код «function registration()» с 4anonimz.ru почти аналогичен коду с «real_iframe.php» dreamselfprotection.net.
в исходнике страницы интересный хеш, который не зависит от ip / cookies / referer и т.д., т.е. скорее всего это ид мошенника:
var user = '0eadab56';
Теперь нужно выяснить какую партнерку используется мошенник для слива трафика.
Reverse IP Lookup (http://domaintz.com/tools/reverse-ip/188.93.22.91) показывает что на ip висит еще 3 сайта:
* gameobmen.ru
* playster.ru
* vkagent.ru
Можно начать копать в сторону этих 3 сайтов.
_dreamselfprotection.net/real_iframe.php?template=test
>> номер: 79111112222
в ответе получаем линк:
_moipodpiski.ssl.mts.ru/lp/?SID=5c16cd0a-2c8a-4578-9c83-6b88437e2fca#TextBoxActivationCode
оформляется подписка на:
_4anonimz.ru/
код «function registration()» с 4anonimz.ru почти аналогичен коду с «real_iframe.php» dreamselfprotection.net.
в исходнике страницы интересный хеш, который не зависит от ip / cookies / referer и т.д., т.е. скорее всего это ид мошенника:
var user = '0eadab56';
Теперь нужно выяснить какую партнерку используется мошенник для слива трафика.
Reverse IP Lookup (http://domaintz.com/tools/reverse-ip/188.93.22.91) показывает что на ip висит еще 3 сайта:
* gameobmen.ru
* playster.ru
* vkagent.ru
Можно начать копать в сторону этих 3 сайтов.
Я уже писал заявление про такую историю, и даже проводил расследование. http://www.angrycitizen.ru/case/17547
Тут же модель монетизации простая — ответное смс на номер находится в предсказуемой группе, следовательно, агрегатор платежей может сдать полиции выгодоприобретателя, с которым он по-любому расплачивается по безналу, а значит, мошенники основательно засветились.
По такому заявлению реально работают менты, меня приглашали на дополнительные проверки, но мошенников пока не поймали, полиция слишком «лениво» работает, т.к. ущерб небольшой, а заявления не массовые.
Так что все, кто столкнулся — пожалуйста, напишите заяву в полицию! Это можно сделать через Госуслуги, не вставая с дивана!
Тут же модель монетизации простая — ответное смс на номер находится в предсказуемой группе, следовательно, агрегатор платежей может сдать полиции выгодоприобретателя, с которым он по-любому расплачивается по безналу, а значит, мошенники основательно засветились.
По такому заявлению реально работают менты, меня приглашали на дополнительные проверки, но мошенников пока не поймали, полиция слишком «лениво» работает, т.к. ущерб небольшой, а заявления не массовые.
Так что все, кто столкнулся — пожалуйста, напишите заяву в полицию! Это можно сделать через Госуслуги, не вставая с дивана!
человеку устанавливающему в свой браузер плагин с именем YcwYdmSMNX, не поможет ни какой антивирус, ни файрвол
Верно, с МТС идет на подписку:
«лишь выполнил заказ»… ну ну…
тогда сразу под статью об организованной преступной деятельности… «всего лишь»
тогда сразу под статью об организованной преступной деятельности… «всего лишь»
Какая статья? Пользователь ставит плагин и вводит свой номер телефона добровольно. По закону не придерёшься.
А вот моральная сторона вопроса…
А вот моральная сторона вопроса…
Маленькая деталь… пользователь не ставит плагин. Нечто ставит плагин за него. Введение в заблуждение и неправомерный доступ налицо, правда как это всё квалифицируется законом я не знаю. Слаб в этом вопросе.
Мошенничество, ст. 159 УК РФ.
Вот и пишите заявление, почему нет? Портал госуслуг есть, недолго: epgu.gosuslugi.ru/pgu/service/10000013616_25.html
Ввести можно добровольно и номер не своего телефона…
2 SamDark — проще всего по номеру обратиться в службу безопасности оператора, чей номер.
Реакция (про мтс могу сказать) — очень быстрая(что не о всех других их действиях скажешь). А с приближением отмены мобильного рабства, imho вообще должно сильно улучшиться.
Через суд — очень долго и нуторно.
2 SamDark — проще всего по номеру обратиться в службу безопасности оператора, чей номер.
Реакция (про мтс могу сказать) — очень быстрая(что не о всех других их действиях скажешь). А с приближением отмены мобильного рабства, imho вообще должно сильно улучшиться.
Через суд — очень долго и нуторно.
Уже отписал в саппот гейта. У них там Jira, тикет завели.
Получил замечательный ответ «спасибо за информацию». Интересно, последует ли за этим прикрытие лавочки, или же лавочка всё-таки собственная?
Проверьте и не говорите глупости.
Да вот как-то подозрительно что на том же сервере хостились другие проекты аля отошли SMS, подпишись также явно нечистые и в футере были телефоны и адреса саппорта Пластик Медиа. Конечно, никто не мешает подписаться их контактами кому угодно.
«Либо админ делал лишь бы работало, либо программист делал самостоятельно, не разбираясь детально, что и как должно работать.»
Составление психологического портрета по исходному коду.
Составление психологического портрета по исходному коду.
«Ну и так как в hosts писать всякую фигню уже не модно (об этом уже каждый школьник знает), использован альтернативный подход.»
Не модно не из-за школьников, а из-за UAC и формграбберов с модулями подмены выдачи.
P.S. Хороший миниобзор, интересный подход. =)
Не модно не из-за школьников, а из-за UAC и формграбберов с модулями подмены выдачи.
P.S. Хороший миниобзор, интересный подход. =)
Простите, а что нельзя просто обратиться к SMS через гейту и потребовать закрыть счёт нехорошим людям? Так как я сам работал с гейтами, то знаю, что в нормальных странах они трясутся над всем, что может отбросить на них тень. Попасть в чёрный список оператора — лишиться денег. У нас за подобные подписки отвечал кошельком сам гейт, как за фрауд с кредитками отвечает банк.
Только у меня всплыло окно с просьбой подтвердить аккаунт на хабре?
Спасибо
Всем привет.
Волею судеб вредоноска эта расположилась у нас на VPS. Спасибо всем хаброюзерам, кто об этом сообщил — доступ прикрыли до дальнейшего прояснения ситуации.
Волею судеб вредоноска эта расположилась у нас на VPS. Спасибо всем хаброюзерам, кто об этом сообщил — доступ прикрыли до дальнейшего прояснения ситуации.
Спасибо. Заархивируйте её на всякий пожарный. Если это не противоречит политике компании, думаю, будет справедливо слить информацию в соответствующие органы.
Уже на селектеле вроде бы…
Ушло письмо в саппорт.
Призываю amarao
А жертву принесете?
А можно в двух словах, о чём речь? А то в посте много букв.
Вредоносная программа, ставится в виде плагина на все браузеры, при заходе на ряд крупных ресурсов (google, mail.ru, вконтакте, фейсбук и т.д.) выкидывает всплывающее окно, стилизованное под этот ресурс, в котором просит дать свой телефон, т.к. якобы с вашего IP подозрительную активность заметил «этот ресурс».
Затем приходит смска, если на неё ответить, то со счёта списывается 135 рублей, плюс оформляется подписка на сторонний сервис, который каждый день списывает со счёта ещё по 11 рублей
Затем приходит смска, если на неё ответить, то со счёта списывается 135 рублей, плюс оформляется подписка на сторонний сервис, который каждый день списывает со счёта ещё по 11 рублей
Ни фига себе) Вам сейчас в двух словах по-свойски опишут че-как, и вы пойдете заблочите своего клиента, возможно так и не ознакомившись детально с постом? Буду знать )
Нет, на саппорт кто-то уже прислал ссылку на хабр, но этого недостаточно для блокировки. Ждем нормального письма с указанием ip и описания претензии.
Отвечали бы хотя-бы… Как претензию оформить? Кроме указания IP я вроде нормально изложил суть.
Написал ещё одно частично процитировав пост и указав IP.
Нужные ещё какие-то данные для более быстрого реагирования? Два дня уже у вас эта гадость висит. На том же IP ещё несколько бэкендов со схожими целями habrahabr.ru/post/162075/#comment_5565279
При написании абузы рекомендуется указывать ip нарушителя и кратко описать в чем собственно нарушение с упоминанием вредоносных URL. Просматривать страницы js кода, статью и комментарии на 7 экранов, чтобы выцепить оттуда вредоносный URL/ip это уж слишком. И уж точно не стоит писать в абузе короткие номера, это явно не к хостеру, а к операторам мобильной связи.
Просто для понимания: это не клиент облака, а к другим услагам Селектела у меня админских прав нет. Так что я в данном случае скорее любопытствующий.
Бэкенд для SMS-вымогателя оперативно переехал с VPS, откуда был оперативно выпилен, на селектел.
Я так же считаю что следует передать ссылки этих мошенников в
https://www.badwarebusters.org/community/submit
http://www.google.com/safebrowsing/report_phish/?tpl=mozilla&hl=ru&url=http%3A%2F%2Fdreamselfprotection.net%2F
Что бы просто так не кликали на их сайты, ну а как только сайт туда в БД попадает, эти ссылки потом до грузятся в обновлении для антивирусов и они будут блокировать доступ к сайтам.
https://www.badwarebusters.org/community/submit
http://www.google.com/safebrowsing/report_phish/?tpl=mozilla&hl=ru&url=http%3A%2F%2Fdreamselfprotection.net%2F
Что бы просто так не кликали на их сайты, ну а как только сайт туда в БД попадает, эти ссылки потом до грузятся в обновлении для антивирусов и они будут блокировать доступ к сайтам.
Кстати, всегда интересовало, почему у авторов таких поделок практически всегда вылезают орфографические/грамматические ошибки или просто косяки вроде согласования «Вашего»/«вашего»?
Потому что не филологи пишут подобные софтины и орфография, думается мне, их мало волнует.
Тоже часто обращал внимание на ошибки. Мое предположение, но это только предположение, что это как бы «ярлычок» указывающий на мошенничество. Подобное можно встретить с поддельными продуктами, берешь подделку и оригинал сравниваешь и оказывается отличие в одном слове или в одной букве или в мелкой детали. Почему не делают 100% копию, опять же не понятно?
Возможно, что бы сами мошенники могли отличить свой продукт.
Возможно, что бы сами мошенники могли отличить свой продукт.
UFO just landed and posted this here
Самое интересное, что фрод зачем-то решил хостить сервер в России.
У товарища, видимо, в голове опилки.
У товарища, видимо, в голове опилки.
Я думаю, нужно обращаться в полицию с заявлением, приложив к нему все имеющиеся данные. Налицо все признаки мошенничества. Там разберутся, есть отдел «К», туда перенаправят. Бороться со злоумышленниками одними лишь техническими средствами — это полумера, прикроют один их «проект» — появится другой. Нужно не блокировать им доступ, а наоборот, стараться, не выдавая себя, собрать как можно больше информации, через которую можно проследить их личности и местонахождение.
Пока такие особы не будут понимать что их рано или поздно однозначно отловят и посадят на очень долго это всё будет процветать. Посим думаю нужно отлавливать и сажать на максимально возможный срок, с публикацией каждого отлова всредствах массойвой информации.
Думаю стоит попробовать раскидать рассылку по всем своим друзьям и знакомым, чтобы если где это увидели, рекомендовали обращаться с заявлениями в указанные выше органы. Ведь если заявок будет не одна — две, а сотни и даже тысячи, пошевелиться им придется)
З. Ы.: не рекомендуется разве что лицам, у которых зараженный ПК напичкан нелицензионными программами, ибо проще засудить пользователя, нежели искать авторов вредоносного ПО
З. Ы.: не рекомендуется разве что лицам, у которых зараженный ПК напичкан нелицензионными программами, ибо проще засудить пользователя, нежели искать авторов вредоносного ПО
Начинайте карать Большую Тройку ) не ошибетесь )
>Иначе разработчик сей хреновины не сидел бы за фотошопом CS6 (не факт, что лицензионном) за маком.
А по этим хешам можно отличить хакинтош от мака?
>Кстати, Adobe внедряет уникальные хеши во все картинки. По идее, они могут идентифицировать поганца.
Интересно. Где про это почитать можно? Добавляется некая «ватермарка» на само изображение или в методанные файла что-то пишется?
А по этим хешам можно отличить хакинтош от мака?
>Кстати, Adobe внедряет уникальные хеши во все картинки. По идее, они могут идентифицировать поганца.
Интересно. Где про это почитать можно? Добавляется некая «ватермарка» на само изображение или в методанные файла что-то пишется?
UFO just landed and posted this here
Буквально за 2 минуты до того, как наткнулся на этот пост, позвонила мама и зачитала текст такого же сообщения «от одноклассников». Быстро штука расходится.
Я подумал сначала, что это поп-ап какой-нибудь на левом сайте и сказал просто страницу закрыть. А все хуже, оказывается. Спасибо за пост. Будем сейчас маме помогать (:
Я подумал сначала, что это поп-ап какой-нибудь на левом сайте и сказал просто страницу закрыть. А все хуже, оказывается. Спасибо за пост. Будем сейчас маме помогать (:
UFO just landed and posted this here
Самое интересное — а не читает ли он эту переписку?
IP клиента заблокирован
А зачем плагин? В гугле по запросу Хоббит-что то там(то что сейчас идет в кинотеатрах) 4 ссылки на первой странице ведут на сайты однодневки с вымогательством смс подписки. Никаких плагинов не нужно все и так работает.
С хостингами бороться бесполезно, пришлось радикальнее
Sign up to leave a comment.
SMS-вымогатель в виде набора плагинов для браузеров