![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
zepeteМошенничество с платными SMS на короткие номера - это самый простой вид SMS мошенничества.
Ни один ОПСОС с SMS фродом не борется, я это докажу на примере SMS на короткий номер 3858 принадлежащий ООО "РМ Инвест", которые вместе с мегафоном развели меня в начале июня на 177 рублей.
История разводки.
Всё это можно проверить сейчас, ибо этот фрод действует до сих пор, хотя в интернетах про него много написано. Про него написано на сайтах: dr.web (1, 2, 3), securelist (1, 2) и cybersecurity.
Мне тогда надо было скачать инструкцию к китайскому кондиционеру bally, что бы узнать их гарантийные обязательства. Яндекс привёл меня на сайт "закачайка" (url:http://zakatchayka1.info/search?r=1753&q=chigo%20kfr-23gw%20%E8%ED%F1%F2%F0%F3%EA%F6%E8%FF%20%EF%EE%20%FD%EA%F1%EF%EB%F3%E0%F2%E0%F6%E8%E8&f=1), который предлагал скачать архив с инструкцией. В url после "q=" находиться строка из поисковика, её можно заменить на любую. От этой строки зависит только название файла отображаемое на сайте (который хочешь скачать), но не его содержимое.
Кроме этого сайта, можно попасть на ещё кучу других, с аналогичным содержимом. Внешний вид этих сайтов часто имитирует известные файлообменники и торрент-треккеры: rapidshare, qip, letitbit, depositfiles... Cybersecurity считает это нарушением авторских прав. У меня был тогда похож на rapidshare.
Страница сайта rapidshare для сравнения.
Хотя может иметь свой дизайн с заголовками:"закачайка", "в закачке"... Например, сейчас проделав тоже самое я получил.
Частичный список этих сайтов есть у dr.web: doownle.com, re-tracker.org, rapid-load.net, positivfiles.com, topnewfiles.ru, vskachke.info, giga-files.net, gigafiles.biz, realdownload.biz, vprokachke.com, download-club.ru, downloadf.ru, softdownload-mirror1.in, softdownload-mirror2.in, softdownload-mirror3.in, softdownload-mirror4.in, softdownload-mirror5.in, softdownload-mirror6.in, softdownload-mirror7.in, softdownload-mirror8.in и softdownload-mirror9.in.
Если им поверишь и нажмёшь на кнопку продолжить/скачать, то загрузится исполняемый файл, имя которого будет начинаться со строки в url после "q=", в котором пробелы заменены на подчёркивания и заканчиваться восьмизначным десятичным числом.
Антивирусами Comodo, DrWeb, Emsisoft, Ikarus, nProtect, Panda, Prevx он будет распознаваться как троян выманивающий деньги через SMS. Фродеры его все время модифицируют, ибо скачанный мной в июне файл был длиной в 7.98 мегабайт, а сейчас 7.87 мегабайт. Июньская версия опозноется как троян уже 25 из 48 известных антивирусов: AntiVir, Avast, Avast5, AVG, BitDefender, Comodo, DrWeb, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Jiangmin, Kaspersky, NOD32, nProtect, Panda, PCTools, Prevx, Sunbelt, Symantec, TrendMicro, TrendMicro-HouseCall, VBA32, VirusBuster. По сведениям dr.web первая версия этого трояна появилась в марте 2010 года и была длиной в 16 мегабайт. По данным securelist написан на С.
Этот файл при запуске представится как самораcпаковывающийся архив "WinRARC".
Начальное окно этой программы.
Как видно в тексте, что на виду про требование денег ничего нет, про них написано в конце текста. Я тогда сглупил, не стал читать всю эту абракадабру, а нажал разархивировать.
После чего она имитировала процесс распаковки, хотя реально она ничего не делает.
В конце появилось окно.
Как видно нигде нет сведений об цене SMS.
В новой версии трояна меняется номер SMS сервиса, требуемый код для него и делаются якобы блокируемыми ссылки внизу окна - поддержка и информация для абонента.
Если было нажать в июне информацию для абонентов, то он показывал цену SMS равной 3-5 рублям, хотя реально брали 177 рублей, а сейчас берут 300-350 рублей.
Сейчас они исправились и показывают реальную цену.
Я им поверил, что SMS стоит меньше 5 рублей и отослал SMS на требуемый номер.
В ответ пришло SMS с кодом, который не подошёл к этому файлу.
Тогда я стал жаловаться на сайте sms911.ru. В ответ пришло SMS с универсальным кодом для этих троянов:"WinRarc. Если у Вас возникли проблемы с кодом используйте код 1645976 или 8752481".
После ввода которого появляется такое окно.
Если это все проделать сейчас, то будет тоже самое, только za-premium заменится на za-files в ссылках.
После чего я разозлился, ибо меня обманули дважды: в цене SMS (обещали 2-5 рублей, а оказалась 177 рублей) и вместо получения услуги получил хуй. Стал жаловаться в мегафон. Они мне ответили, что они не причём, ибо они не отвечают за сервисы предоставляемые их контент-провайдерами.
Если посмотреть сайты смартса или мегафона, то оказывается, что номера 2558 и 3858 принадлежит ООО РМ Инвест, который предоставляет "олимпийский контент".
Выводы:
Ни один ОПСОС с SMS фродом не борется, я это докажу на примере SMS на короткий номер 3858 принадлежащий ООО "РМ Инвест", которые вместе с мегафоном развели меня в начале июня на 177 рублей.
История разводки.
Всё это можно проверить сейчас, ибо этот фрод действует до сих пор, хотя в интернетах про него много написано. Про него написано на сайтах: dr.web (1, 2, 3), securelist (1, 2) и cybersecurity.
Мне тогда надо было скачать инструкцию к китайскому кондиционеру bally, что бы узнать их гарантийные обязательства. Яндекс привёл меня на сайт "закачайка" (url:http://zakatchayka1.info/search?r=1753&q=chigo%20kfr-23gw%20%E8%ED%F1%F2%F0%F3%EA%F6%E8%FF%20%EF%EE%20%FD%EA%F1%EF%EB%F3%E0%F2%E0%F6%E8%E8&f=1), который предлагал скачать архив с инструкцией. В url после "q=" находиться строка из поисковика, её можно заменить на любую. От этой строки зависит только название файла отображаемое на сайте (который хочешь скачать), но не его содержимое.
Кроме этого сайта, можно попасть на ещё кучу других, с аналогичным содержимом. Внешний вид этих сайтов часто имитирует известные файлообменники и торрент-треккеры: rapidshare, qip, letitbit, depositfiles... Cybersecurity считает это нарушением авторских прав. У меня был тогда похож на rapidshare.
Страница сайта rapidshare для сравнения.
Хотя может иметь свой дизайн с заголовками:"закачайка", "в закачке"... Например, сейчас проделав тоже самое я получил.
Частичный список этих сайтов есть у dr.web: doownle.com, re-tracker.org, rapid-load.net, positivfiles.com, topnewfiles.ru, vskachke.info, giga-files.net, gigafiles.biz, realdownload.biz, vprokachke.com, download-club.ru, downloadf.ru, softdownload-mirror1.in, softdownload-mirror2.in, softdownload-mirror3.in, softdownload-mirror4.in, softdownload-mirror5.in, softdownload-mirror6.in, softdownload-mirror7.in, softdownload-mirror8.in и softdownload-mirror9.in.
Если им поверишь и нажмёшь на кнопку продолжить/скачать, то загрузится исполняемый файл, имя которого будет начинаться со строки в url после "q=", в котором пробелы заменены на подчёркивания и заканчиваться восьмизначным десятичным числом.
Антивирусами Comodo, DrWeb, Emsisoft, Ikarus, nProtect, Panda, Prevx он будет распознаваться как троян выманивающий деньги через SMS. Фродеры его все время модифицируют, ибо скачанный мной в июне файл был длиной в 7.98 мегабайт, а сейчас 7.87 мегабайт. Июньская версия опозноется как троян уже 25 из 48 известных антивирусов: AntiVir, Avast, Avast5, AVG, BitDefender, Comodo, DrWeb, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Jiangmin, Kaspersky, NOD32, nProtect, Panda, PCTools, Prevx, Sunbelt, Symantec, TrendMicro, TrendMicro-HouseCall, VBA32, VirusBuster. По сведениям dr.web первая версия этого трояна появилась в марте 2010 года и была длиной в 16 мегабайт. По данным securelist написан на С.
Этот файл при запуске представится как самораcпаковывающийся архив "WinRARC".
Начальное окно этой программы.
Как видно в тексте, что на виду про требование денег ничего нет, про них написано в конце текста. Я тогда сглупил, не стал читать всю эту абракадабру, а нажал разархивировать.
После чего она имитировала процесс распаковки, хотя реально она ничего не делает.
В конце появилось окно.
Как видно нигде нет сведений об цене SMS.
В новой версии трояна меняется номер SMS сервиса, требуемый код для него и делаются якобы блокируемыми ссылки внизу окна - поддержка и информация для абонента.
Если было нажать в июне информацию для абонентов, то он показывал цену SMS равной 3-5 рублям, хотя реально брали 177 рублей, а сейчас берут 300-350 рублей.
Сейчас они исправились и показывают реальную цену.
Я им поверил, что SMS стоит меньше 5 рублей и отослал SMS на требуемый номер.
В ответ пришло SMS с кодом, который не подошёл к этому файлу.
Тогда я стал жаловаться на сайте sms911.ru. В ответ пришло SMS с универсальным кодом для этих троянов:"WinRarc. Если у Вас возникли проблемы с кодом используйте код 1645976 или 8752481".
После ввода которого появляется такое окно.
Если это все проделать сейчас, то будет тоже самое, только za-premium заменится на za-files в ссылках.
После чего я разозлился, ибо меня обманули дважды: в цене SMS (обещали 2-5 рублей, а оказалась 177 рублей) и вместо получения услуги получил хуй. Стал жаловаться в мегафон. Они мне ответили, что они не причём, ибо они не отвечают за сервисы предоставляемые их контент-провайдерами.
Если посмотреть сайты смартса или мегафона, то оказывается, что номера 2558 и 3858 принадлежит ООО РМ Инвест, который предоставляет "олимпийский контент".
Выводы:
- мегафон не отвечает за контент-провайдеров и не следит за их деятельностью;
- SMS сервис на номерах 2858 и 3858 распространяет троян, что подтверждают антивирусы: Emsisoft, Ikarus, Panda, PrevxAntiVir, Avast, Avast5, AVG, BitDefender, Comodo, DrWeb, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Jiangmin, Kaspersky, NOD32, nProtect, Panda, PCTools, Prevx, Sunbelt, Symantec, TrendMicro, TrendMicro-HouseCall, VBA32, VirusBuster;
- SMS сервис на номерах 2858 и 3858 обманывает дважды: за отправку СМС со счета снимается несколько сотен рублей, а «архивы» не содержат в себе никакой полезной информации. Это подтверждает cybersecurity.
