Блокиратор одноклассников и прочих сайтов

в 10:20, , рубрики: фишинг, метки:

Может быть и не настолько новое направление, но только сейчас было замечено такое.
Сегодня был приятно удивлен тому, что меня заблокировали на одноклассниках. Никакого подозрения в мошенничестве не было. Причина блокирования:

С Вашего ip замечена подозрительная активность. Возможно Ваш аккаунт пытались взломать. Подтвердите, что Вы являетесь владельцем данного аккаунта.

И поле ввода телефона.

Подозрений не было никаких, всё выглядело реалистично. И моя фотография и фото друзей и прочие что было присуще только моей странице.

Блокиратор одноклассников и прочих сайтов

Единственное что смутило, это то, что одноклассники я не открывал! Именно по этому обратил внимание на адрес сайта. Он оказался odnoklssniki.info/under/. Сразу и не разглядишь что домен «левый».
Да и мало кто будет смотреть на домен, если пользовательские данные настоящие.

Проверил на знакомых. Большая половина людей (в частности не связанных с IT), не заметили тут чего либо подозрительного и готовы были ввести свой номер.

Изучение исходника страницы показали структуру:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
 <title>Одноклассники</title>
 <script src="http://www.google.com/jsapi"></script>
 <script type="text/javascript">
   google.load("jquery", "1.4.2");
 </script>
 <style type="text/css">
  // стиль окна
 </style>  
 <script type="text/javascript">
  // конфигурация
  // код
 </script>
</head>

<body onload="start()">
<div id="cl">
  <center>
  <div style="height: 75px"> </div>
  <div class="cl_box">
   <div class="cl_title">Внимание! Доступ Заблокирован!</div>
   <div class="cl_body"></div>
   <div class="cl_foot"></div>
  </div>
  </center>
</div>
<center><iframe class="iii" frameborder="0" src="http://odnoklassniki.ru/" scrolling="no" width="100%" height="4000px"></iframe></center>
</body>
</html>
</html>

* This source code was highlighted with Source Code Highlighter.

Ключевым моментом стал фрейм ведущий на настоящий сайт одноклассников. Если человек был уже авторизован, то показывалась его страница, что служило наилучшим прикрытием.

Странным показалось то, что в такой крупной соцсети, как одноклассники, не было предусмотрена проверка на работу внутри фрейма или выход из под фрейма.

Настройка данного скрипта была очень простой, даже были оставлены комментарии!

var aff_session_name="";
var aff_session_id="";
var aff_query="анонимайзер";
var aff_fid="3268";//Фид! нужно поменять!
var img_close = 'http://img402.imageshack.us/img402/9458/close1.gif';
var img_key = 'http://img40.imageshack.us/img40/7489/key1w.jpg';
var domain = 'megashara.24n6.ru';
var domain2 = 'megashara.24n6.ru'; //Альтернативный
var cl = 0;
var form_type = 3;//вариант открытия попапа
var form_seconds = 5;
var mt_pre_text = '';
var footer_text = '';
var first_page_txt='С Вашего ip замечена подозрительная активность. Возможно Ваш аккаунт пытались взломать. Подтвердите, что Вы являетесь владельцем данного аккаунта:';
var first_page_btn='Завершить';
var second_page_mt_txt='Вам отправлено сообщение с проверочным кодом. Чтобы войти на сайт - введите данный код в поле ниже!';
var second_page_mo_txt='Вам отправлено сообщение с просьбой подтвердить, что это действительно ваш номер. Чтобы начать использовать сайт - ответьте на сообщение ОК, Вы получите уникальный код, который необходимо ввести в поле ниже.';
var second_page_btn='Завершить';
var user_check='checked';
var sub_type="";//Не нужно менять

* This source code was highlighted with Source Code Highlighter.

Как видно, оплата проходила не на прямую, а замаскирована под оплату доступа для скачивания файлов с файлообменника megashara.24n6.ru, кому шла именно оплата определялось через указанный в конфигах фид.

На сайте 24n6.ru указаны правила (http://24n6.ru/subscription_rules.php) оказания услуги, где сказано, что стоимость от 175 рублей в сутки и далее по убыванию. Причем первые сутки бесплатны. т.е. о снятии денег человек узнает только через сутки.

Итого мы имеем:

  1. Универсальный скрипт, который позволяет проводить «блокировку» любых сайтов (достаточно поменять css), которые не проверяют работу под фреймом и не выходят из под фрейма.
  2. Платежи проводятся скрытно, под прикрытием оплаты доступа к контенту файлообменника.
  3. Деньги начинают снимать не сразу, чтобы человек не понял в чем дело.
  4. Судя по параметру aff_query, ранее была поддержка или планируется работа через анонимайзеры.

Всего этого могло бы и не быть, если бы:

  1. Одноклассники проверяли бы работы под фреймом или выходили бы из под фрейма.
  2. Файлообменник проверял 24n6.ru проверял бы referer или ставил спец куки, пере проведением платежа.
  3. Сайты размещающие рекламу, контролировали то, что они рекламируют и что автоматически открывают.
  4. Биллинговые службы абы кому не давали возможность приёма оплаты через смс или через подписку.

В общем будьте внимательны!

Автор: shevmax

  1. Анна:

    А как реально разблокировать одноклашек и вконтакте? 3 дня бьюсь, пока не победила…

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js