Naszym rodzimym scamerom, których działania opisywaliśmy pod koniec kwietnia, chyba skończyła się kasa z subskrybcji SMS-owej, bo od 2 dni przez polskiego Facebooka przetacza się kolejna fala “szokujących wiadomości”. A może to już kolejna grupa, która wchodzi w proceder zarabiania na tzw. subskybcjach SMS MT.
Naszym rodzimym scamerom, których działania opisywaliśmy pod koniec kwietnia, chyba skończyła się kasa z subskrybcji SMS-owej, bo od 2 dni przez polskiego Facebooka przetacza się kolejna fala “szokujących wiadomości”. A może to już kolejna grupa, która wchodzi w proceder zarabiania na tzw. subskybcjach SMS MT.
Podobnie jak ostatnio, fałszywe newsy, tym razem zatutułowane jako “Tak się bawią 18-latki na domówkach” i okraszone pikantnym zdjęciem, pojawiają się na profilach “zainfekowanych” osób:
Kliknięcie na newsie prowadzi do fałszywego serwisu informacyjnego prezentującego nagranie wideo, które w rzeczywistości nie jest “filmikiem”, a apletem Flash służącym do “wyłudzania” numerów telefonów komórkowych:
Jeśli podacie numer, może Was to drogo kosztować. Scam polega na tym, że dostaniecie SMS z kodem “PIN” od serwisu Badabee prowadzonego przez Mobile Dialogue Sp. z o.o. (Warszawa, Aleja Niepodległości 18). Jeśli wpiszecie otrzymany PIN na stronie w kolejnym kroku, to zgadzacie się na regulamin serwisu, który mówi, że od tej porycodziennie będziecie płacili 2,46 PLN aż do momentu deaktywacji usługi (ponoć można to zrobić wysyłając SMS-a o treści STOP BD pod numer 60235.
Jak rozprzestrzenia się scam po Facebooku? Otóż zaraz po wejściu na stronę wiadomośći, scamerzy wyłudzają informację o mieście pod pretekstem konieczności “zaakceptowania” polityki Cookies (kolejny argument za tym, że to durne prawo wprowadza więcej złego niż dobrego ;)
W rzeczywistości jednak, pole, w którym wpisywane jest miasto, to podstawione, odpowiednio wyskalowany formularz dodawania komentarza na Facebooku (poniżej “zdemaskowany” bo oglądany z niezalogowanego użytkownika):
…i tak powstają następujące wpisy na tablicach “ofiar”:
Prześlijcie swoim znajomym link do tego artykułu, niech wiedzą w co nie klikać.
Obecnie scamerzy wykorzystują domenę wLadomosci.pl, która łudząco przypomina “wiadomości”.pl (por ataki typosquattingu).
$ host wladomosci.pl
wladomosci.pl has address 188.165.19.140
wladomosci.pl mail is handled by 5 mx.vixer.pl.
Użyty panel VPS: http://gplhost.com/
Facebook API-Key: 237828736372773
Identyfikator GA: UA-44080225-2
Netsales ID: CD8674
Podobnie jak w poprzednich przypadkach, domena hostowana jest na OVH, a RevDNS dla adresu IP wskazuje na vixer.pl. Na tym samym serwerze utrzymywana jest także domena wiadomosci-fakty.pl, zachęcająca do “tworzenia własnych fikcyjnych artykułów”.
Co ciekawe, do “wrzucania” na tablice linków do “szokujących wiadomości” wykorzystywany jest ten plugin:
https://m.facebook.com/plugins/comments.php?api_key=237828736372773&channel_url=http%3A%2F%2Fstatic.ak.facebook.com%2Fconnect%2Fxd_arbiter.php%3Fversion%3D27%23cb%3Df70537314%26domain%3Dwww.wladomosci.pl%26origin%3Dhttp%253A%252F%252Fwww.wladomosci.pl%252Ffba0b0938%26relation%3Dparent.parent&fb_comment_id=fbc_572032949511279_6497359_575702742477633&href=http%3A%2F%2Fwww.wladomosci.pl%2Fid%2Fpijany-nastolatek-rozbija-sie-na-przystanku-cztery-osoby-zginely.php&locale=zh_CN&mobile=true&numposts=1&sdk=joey&width=300&_rdr
Locale zapewne zostały zmienione na chińskie, aby “zaciemnić” przed użytkownikiem to, że dodaje komentarz do Facebooka. (Wystarczy zmienić parametr locale na “en”, żeby plugin stał się bardziej zrozumiały).
PS. Podobnym oszustwem jest strona http://lokalizacja-telefonu.pl/ wmawiająca, że potrafi namierzać lokalizację numeru telefonów, kiedy tak naprawdę wyłudza numer telefonu i zapisuje jego właściciela do płatnej subskrybcji.