Однажды вечером, спросив баланс у телефона Натки и будучи слегка удивленными его состоянием полезли регистрироваться в интернет-помошнике МТС и трясти с них детализированные отчеты.
Отчет худо бедно нашли и обнаружили там следующие строки:
Dostup_k_094_020.09401.011113 1 16,9500
Повторящиеся каждый вчер между 21-00 и 22-00 иногда по нескольку раз.
Звонок в саппорт МТС дал картину нисколько не прояснил:
"Вы подписались к контент провайдеру mybackdoor.net, списания шли каждый вечер блабла".
Ничего явно заявить против саппортерши не могу, но в голосе явно читалось и намекалось
"Наподписываются тут, нашлются СМС, а потом мне моск выносят". Ладно, сама себе карму портит, не буду замарачиваться.
Исследовав телефон нашли SMS с датой за сутки перед списаниями и с текстом "Vash Kod XXX".
Далее ввел в браузер сей mybackdoor.net, получил 404-ый еррор. Начал гуглить и картинка стала яснее ясного :)
Не сразу, не гуглей, увы, а яндексом вышел на сей сайт:
http://forum.profit-web.net/viewtopic.php?f=10&t=12 где русским по белому описывается метода генерации фальшивых страниц входа в одноглазников и вконтактики с неким текстом вроде "Ваша страница блаблабла, докажите блабла, введите свой номер телефона блабла".
Вот пример, взятый как раз с этого форума о "профите":
http://odnoklassniki.ru.ri77.ru/promo/od_vx/?&flow_id=42&Страничку можно просмотреть много раз, нигде нет и даже никак не маскируется информация о подписке, бабле, списаниях и согласиях с сервисом. Т.е. даже сказать о том что "а мы предупреждали что вводя свой номер телефона вы потеряете стомульенов" они не могут.
Схема мошенничества элементарная:
Загоняем пользователя на фишинговую страницу (наиболее темный для меня момент),
Эмулируем ему часть функционала одноклассников (если я правильно понял, то одноклассники имеют у себя функционал по стрясанию телефона и отправки смс),
....
ПРОФИТ!
Теперь самое интересное - я точно знаю что Натка для входа в одноглазники пользуется экспресс-панелью опера. Адрес там вбит, разумеется, верный и пользуется она им уже не месяц и не два. Следовательно это не косяк перехода по фишинговой ссылке.
Вирус? На Наткиной XP возможно. Но - Натка села за мой компьютер, и там было тоже самое. (А на нем по сообщению выводящимся на uname -a с вирусами слегка так посложнее ;-)
Днс-спуфинг? Ну ДНС в домашнюю сеть транслируется небольшим говнорутером, но честное слово, и логин и пароли там нестандартные, а ломать эту железку только за ради подписки одной Натальи - глупо. Мошенники, как правило, лупят по площадям и автоматически.
Днс-спуфинг провайдера? Чорт его знает, на мой взгляд крайне маловероятно, впрочем воспользовавшись возможностью передам лучи поноса моему наиненавистнейшему домашнему "Сумма-телеком", ибо судя по тем крохам информации что я сумел вычленить из неоднократных общений с саппортом и форумов - специалисты там работают дюже хреновые. Да и качество сервиса оставляет (оставляло, послдение месяца два тьху тьху нареканий нет) желать лучшего.
Теперь выводы: Не знаю как Наталья попала на фишинговую ссылку. Ноутбук с ХР проверен с пятком различных свежих антивирусов, чисто. Да и я обычно незнакомые сервисы в ХР на глаз секу -чисто.По вайну на моем тоже уже чисто в параноидальных целях прошвырнулся - чисто. Если был ДНС-спуфинг провайдерского ДНС - то его определить у меня уже не выдет. Ну не ломать же провайдера и не пытать их админов за ради этого? Впрочем даже если это был переход по ложной ссылке сказать "сам дурак" не выдет. Извините, мошенничество чистой воды подтвержденное ссылками и явными заявлениями мошенников. Причем вот если по хорошему, найдется ли в России хоть один вменяемый человек который осознанно пользуется этими самыми "контент провайдерами"?
Ребят из МТСа. Я не знаю какой % вы получаете за от списанных за этот "контент провайдинг" денег, но связываться с откровенными и даже не прячущимися мошенниками как то уже и некрасиво...
Ну и теперь набор скришотиков, ибо если таки вдруг господа мошенники начнут прятать концы в воду и закрывать свои форумы и странички.
Тут та самая страничка с которой и произошел ввод телефона и тд.
http://ifotki.info/11/a15e4346176865c20ac3e93707bd786e5c3e31132697365.jpg.htmlА вот мошенники радуются что жертвам не шлется смс, если я правильно понял их сленг:
http://ifotki.info/11/ba0f8b0626b77095841c7cf214ad66865c3e31132697435.jpg.html Ну и касательно хваленого МТС-блог-саппорта. Этот пост, с опусканием правда незначительных деталей и додумываний отправлялся и на blogs@mts.ru - ответа нет более недели. Но! Письмо от робота типа "мы получили,отвечать на это не надо если указаны следующие данные" было получено. Попытаюсь возвать к Ктулху и засуммонить его сюда. Может сработает ;-)