Внимание! Фишинговые SMS от мошеннического сайта Pochtaruss.net
Вчера один из пользователей gSconto задал вопрос о странной SMS:
всем привет)
Ночью пришла смс-ка такого содержания "628: посылка получена http://www.pochtaruss.net"
с номера +79922105788
как реагировать на это?
Но при переходе на сайт pochtaruss.net происходит перенаправление на страницу сайта Почты России о почтоматах. При всем при том, почтоматы есть далеко не везде, только в крупных городах. Да и многие из получателей вообще не ожидали никаких посылок в ближайшее время.
Сам же сайт pochtaruss.net, как выяснил Mikrall, зарегистрирован всего 2 недели назад на некоего Александра Фролова из Казани:
Domain Name: POCHTARUSS.NET
Registrar URL: http://www.publicdomainregistry.com
Updated Date: 12-Aug-2014
Creation Date: 12-Aug-2014
Domain Status: clientTransferProhibited
Registry Registrant ID: DI_38326330
Registrant Name: Alexandr Frolov
Registrant Organization: Private Person
Registrant Street: Lenina 12, kv 45
Registrant City: Kazan
Registrant State/Province:
Registrant Postal Code: 424000
Registrant Country: RU
Registrant Phone: +7.9819887633
Причем, судя по количеству сообщений от других пользователей, а также по количеству переходов из поисковиков по запросу "pochtaruss.com", рассылка этих SMS происходит в массовом порядке.
В общем выглядит подозрительно, очень смахивает на мошенничество, но в чем суть с первого взгляда - непонятно.
Но как раз массовость рассылки и сыграла на руку - очень много людей получили подобные SMS, в том числе и те, кто уже сталкивался с подобным - схема старая, нехитрая и уже не раз использовавшаяся. Недолгий поиск в Google подсказал, куда рыть дальше.
Оказывается эта ловушка рассчитана только на пользователей Android. Всех остальных заходящих фишинговый сайт молча перенаправляет на сайт Почты России.
Что же видят пользователи Android. Это можно проверить, даже не отходя от настольного компьютера. запускаем Google Chrome, кнопкой F12 открываем Developer Tools и шифруемся например под Samsung Galaxy Note:
Не закрывая Developer Tools переходим на http://www.pochtaruss.net и видим уже совсем другую страницу:
О. неужели нам и правда посылка?! Жмем на кнопку "Информация" и попадаем на сайт ru.androidbrowser.biz, который (вот оно!) предлагает нам обновить наш якобы устаревший браузер:
При прямом переходе на страницу ru.androidbrowser.biz вы ничего не увидите. Картинку выше можно увидеть только при переходе с pochtaruss.net
В общем, что и требовалось доказать - дошедших до этого этапа ждет загрузка зловредного apk с каким-нибудь трояном. Правда тут еще есть последний рубеж обороны - по умолчанию Android не дает загружать программы из непроверенных источников, так что перед установкой пользователю самому придется еще включить разрешение Security/Unknown sources в настройках телефона или планшета.
Правда на какую деятельность направлен этот троян я уже проверять не стал ) Но вот свеженький пример, где аналогичный (а возможно и тот же, но под другим соусом) троян был настроен на похищение денег клиентов Сбербанка посредством СМС-банкинга.
Так что будьте осторожны, обращайте внимание на всякие подозрительные вещи. Да и вообще, кто предупрежден, тот вооружен.
UPD: Хотя первоначальный сайт pochtaruss.net уже не работает, теперь мошенники рассылают SMS со ссылками на аналогичный сайт немного с другим адресом pochtarussa.net
Не забудьте поделиться ссылкой, чтобы как можно больше ваших родных и друзей знали об этой схеме мошенничества!
http://www.whois.com/whois/pochtarussa.net
всем привет)
Ночью пришла смс-ка такого содержания "628: посылка получена http://www.pochtaruss.net"
с номера +79922105788
как реагировать на это?
Но при переходе на сайт pochtaruss.net происходит перенаправление на страницу сайта Почты России о почтоматах. При всем при том, почтоматы есть далеко не везде, только в крупных городах. Да и многие из получателей вообще не ожидали никаких посылок в ближайшее время.
Сам же сайт pochtaruss.net, как выяснил Mikrall, зарегистрирован всего 2 недели назад на некоего Александра Фролова из Казани:
Domain Name: POCHTARUSS.NET
Registrar URL: http://www.publicdomainregistry.com
Updated Date: 12-Aug-2014
Creation Date: 12-Aug-2014
Domain Status: clientTransferProhibited
Registry Registrant ID: DI_38326330
Registrant Name: Alexandr Frolov
Registrant Organization: Private Person
Registrant Street: Lenina 12, kv 45
Registrant City: Kazan
Registrant State/Province:
Registrant Postal Code: 424000
Registrant Country: RU
Registrant Phone: +7.9819887633
Причем, судя по количеству сообщений от других пользователей, а также по количеству переходов из поисковиков по запросу "pochtaruss.com", рассылка этих SMS происходит в массовом порядке.
В общем выглядит подозрительно, очень смахивает на мошенничество, но в чем суть с первого взгляда - непонятно.
Но как раз массовость рассылки и сыграла на руку - очень много людей получили подобные SMS, в том числе и те, кто уже сталкивался с подобным - схема старая, нехитрая и уже не раз использовавшаяся. Недолгий поиск в Google подсказал, куда рыть дальше.
Оказывается эта ловушка рассчитана только на пользователей Android. Всех остальных заходящих фишинговый сайт молча перенаправляет на сайт Почты России.
Что же видят пользователи Android. Это можно проверить, даже не отходя от настольного компьютера. запускаем Google Chrome, кнопкой F12 открываем Developer Tools и шифруемся например под Samsung Galaxy Note:
Не закрывая Developer Tools переходим на http://www.pochtaruss.net и видим уже совсем другую страницу:
О. неужели нам и правда посылка?! Жмем на кнопку "Информация" и попадаем на сайт ru.androidbrowser.biz, который (вот оно!) предлагает нам обновить наш якобы устаревший браузер:
При прямом переходе на страницу ru.androidbrowser.biz вы ничего не увидите. Картинку выше можно увидеть только при переходе с pochtaruss.net
В общем, что и требовалось доказать - дошедших до этого этапа ждет загрузка зловредного apk с каким-нибудь трояном. Правда тут еще есть последний рубеж обороны - по умолчанию Android не дает загружать программы из непроверенных источников, так что перед установкой пользователю самому придется еще включить разрешение Security/Unknown sources в настройках телефона или планшета.
Правда на какую деятельность направлен этот троян я уже проверять не стал ) Но вот свеженький пример, где аналогичный (а возможно и тот же, но под другим соусом) троян был настроен на похищение денег клиентов Сбербанка посредством СМС-банкинга.
Так что будьте осторожны, обращайте внимание на всякие подозрительные вещи. Да и вообще, кто предупрежден, тот вооружен.
UPD: Хотя первоначальный сайт pochtaruss.net уже не работает, теперь мошенники рассылают SMS со ссылками на аналогичный сайт немного с другим адресом pochtarussa.net
Не забудьте поделиться ссылкой, чтобы как можно больше ваших родных и друзей знали об этой схеме мошенничества!
http://www.whois.com/whois/pochtarussa.net