12 Декабря, 2012

Народные гуляния и мобильный скам

Anton Karpov
Кто как готовится к маршу миллионов. Хомячки точат коньки, а злоумышленники пытаются на этом заработать. Наверняка в ближайшую субботу сотни людей пойдут в поисковики и вобьют там что-то вроде "марш миллионов смотреть онлайн". И наткнутся, например, на сайт www.marsh-millionov.ru.

Домен зарегистрирован не так давно:

domain: MARSH-MILLIONOV.RU
nserver: ns67.iphoster.ru.
nserver: ns68.iphoster.ru.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created: 2012.06.17
paid-till: 2013.06.17
free-date: 2013.07.18
source: TCI


В исходном коде страницы этого сайта содержится следующая строчка:

<script type="text/javascript" src="http://jquery-library.ru/jl.php?share=9,15,29,39,7,10,14,16,24,34,35,38,41"></script>


Домен-пародия на адрес сайта библиотеки jquery зарегистрирован подозрительно почти в то же самое время, что и marsh-millionov.ru:

domain: JQUERY-LIBRARY.RU
nserver: ns1.jquery-library.ru. 37.230.115.10
nserver: ns2.jquery-library.ru. 62.109.26.137
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created: 2012.08.01
paid-till: 2013.08.01
free-date: 2013.09.01
source: TCI


Если вышеуказанный URL открыть на компьютере, то загрузятся невинные счетчики. Но что если открыть ее с мобильного устройства?

$ curl -A "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A525 Safari/8536.25"
-e "http://marsh-millionov.ru/" "http://jquery-library.ru/jl.php?share=9,15,29,39,7,10,14,16,24,34,35,38,41"

location.replace('http://brouser04.net/?a=u274v214z4y2x4u2w4x2t2t2y3q2x454s2w26433a4y294w274&subid=2&auto=5');


Пользователя перенаправит на мутный сайт brouser04.net, который загрузит ему джава-файл browser_update_installer.jar. Этот файл изобразит бурную деятельность по анализу чего-то там, а затем попросит ввести номер телефона. На телефон придет СМС-ка, на нее нужно будет ответить, в общем, банальный скам.

Домен, кстати, создан тоже недавно:

Domain brouser04.net

Date Registered: 2012-10-15
Date Modified: 2012-10-15
Expiry Date: 2013-10-15

DNS1: ns3.superidns.net
DNS2: ns4.superidns.net

Registrant
Fundacion Private Whois
Domain Administrator
Email:507c06ba7wzpib8z@t02cduv4f7f99a255f64.privatewhois.net
Attn: brouser04.net
Aptds. 0850-00056
Zona 15 Panama
Panama
Tel: +507.65995877


Сколько сотен или тысяч людей в субботу со своих планшетиков и телефончиков отправят СМС на заветный номер, желая посмотреть, как жители столицы морозят носы на Болотной площади (или где там будет проходить весь этот парад)?

Вот как это выглядит на айфоне:









Примечательно, что в этом случае под удар попадают исключительно пользователи мобильных устройств. Всякие винлокеры и прочие перехватчики сочетаний клавиш в настольных браузерах стали уже притчей во языцех. И все больше пользователей ставят NoScript, AdBlock и другие расширения безопасности. Да и антивирусы уже давно умеют анализировать HTTP-трафик и ловить сомнительные редиректы. А вот на мобильных устройствах пока раздолье - много ли вы видели айфонов с блокираторами скриптов и отключенной джавой?

P.S.: Я не знаю, зачем я это написал. Я наткнулся на этот сайт случайно и мне просто хотелось показать вам красивые картинки с пятого айфона в четыре часа ночи.
или введите имя

CAPTCHA