20:20
20/9/2013

Wakacje się skończyły, więc nasi polscy specjaliści od fałszywych informacji dotyczących wypadków drogowych wracają do spamowania Facebooka. Tym razem newsy mają tytuł “Tragiczny wypadek w centrum, dwie osoby nie żyją. 2013.09.20″ i prowadzą do domeny wladomoscl.pl (“l” zamiast “i”).

wladomoscl.pl

wladomoscl.pl – scamerska strona

Domena wskazuje na adres IP serwera w OVH:

$ host wladomoscl.pl
wladomoscl.pl has address 91.121.209.11
11.209.121.91.in-addr.arpa domain name pointer ks364397.kimsufi.com.

$ whois 91.121.209.11
inetnum: 91.121.208.0 - 91.121.215.255
netname: OVH
descr: OVH SAS
descr: Dedicated Servers
descr: http://www.ovh.com
country: FR
admin-c: OK217-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered

Pod wskazanym adresem znajduje się fałszywy film, który nie daje się odtworzyć pod pozorem przeładowania serwera.

WIADOMOSCI.pl_-_wiadomości_z_regionu

WIADOMOSCI.pl_-_wiadomości_z_regionu – naciągająca na płatne SMS-y strona z fałszywymi informacjami.

Scamerzy proszą o wpisanie numeru telefonu, ale jego podanie zapisze nas do subskrybcji płatnych SMS-ów, o czym można przeczytać na dole strony, niewielkim drukiem w kolorze zbliżonym do tła (jakże podstępnie zaznaczono także zgodę na otrzymywanie informacji handlowych…)

“Serwis Badabee jest usługą subskrypcyjną prowadzoną przez Mobile Dialogue Sp. z o.o. (Warszawa, Aleja Niepodległości 18). (…) Koszt tej usługi to 2,46 PLN/ dzień z VAT. Dezaktywacji subskrypcji można dokonać w dowolnym momencie poprzez wysłanie bezpłatnego SMS o treści STOP BD pod numer 60235. Regulamin serwisu znajduje się tutaj. Pytania prosimy kierować do obsługi technicznej na email:support@badabee.com “

Inne działania tej grupy

Na tym samym serwerze osadzono także strony:

  • http://info-miasta24.pl/sposoby/
    (zawiera fałszywe instrukcje dotyczące darmowego doładowania telefonu, wymuszając instalację aplikacji na Facebooku od id=165484440310996, zapewne służącej do rozsyłania spamu)

    info-miasta24.pl_sposoby_

    info-miasta24.pl – kolejna scamerska strona

  • http://uri.pl/tmp
    (instaluje złośliwe oprogramowanie podszywające się pod kodek video rzekomo wymagany do obejrzenia filmu Drogówka)
  • Drogowka

    Scam z fałszywą stroną dot. filmu Drogowka

Co robić jak żyć?

Jeśli widzicie, że ktoś z Waszych znajomych postuje na Facebooku ten film, dajcie mu znać — najprawdopodobniej nie jest tego świadomy. Niech przejrzy zainstalowane aplikacje i usunie wszystkie te, które wyglądają podejrzanie.

Tego typu ataki możecie nam zgłaszać przez naszego Facebooka. O tej sprawie poinformował nas Marcin P — dzięki!

PS. Ciekawe czy za atakami stoi ta sama grupa, której spamerskie domeny namierzyliśmy najpierw w kwietniu, a potem w maju tego roku?

Przeczytaj także:

59 komentarzy

Dodaj komentarz
  1. Ja podobne linki widziałem jakiś czas temu i podejrzewałem, ale nie podejrzewałem, że pod tym może się kryć coś złęgo, na szczęście nie kliknąłem mam już jedną wróżkę na głowie ;)

  2. Moi znajomi niestety są tępi i nie reagują. Już dawno pisałem na swojej tablicy o tego typu sytuacjach i do nikogo to nie dociera. Może jak złapią konkretnego wirusa, który zniszczy im wszystko to zmądrzeją. Czasem ręce opadają ;/

    • świetnie Ciebie rozumiem, mam identyczną sytuacje

  3. Mnie strona pokazała, że nie mam kodeka i kazał ściągnąć http://download.uri.pl/uri-decoder.exe https://www.virustotal.com/pl/file/f8a44e527b5bcc48f8fa7e44aa8062371e82e6a22771de691d2bce13c87e6dd8/analysis/ – nie wiem co to jest, nie uruchamiałem.

  4. Tak to jest jak ciemna masa Facebook’a klika we wszystko co popadnie. ;)

  5. Tu rejestr KRS tej firmy:

    http://www.krs-online.com.pl/mobile-dialogue-sp-z-o-o-krs-357878.html

    Panowie Witerski i Dimitropoulos mają już szczytną przeszłość w tego typu działalności i to 11 lat temu:

    http://forum.gazeta.pl/forum/w,24,85283025,94784924,Loteria_Pusty_SMS_.html

    A tu profil tego pana na LinkedIn:

    http://www.linkedin.com/pub/grzegorz-witerski/1/712/875

    Ot, nie wiem co to da, ale może się komuś przyda

    • Tylko, że oni nie mają z FB nic wspólnego. Udostępniają tylko spamerom program partnerski, spamerzy dostarczają numery, oni wypłacają kasę.

    • Wprost nie mają nic wspólnego, ale firmują szemrany interes. Myślisz, że nie wiedzą na czym zarabiają???

  6. cwaniaki, spamerzy, etc. z drugiej strony wladomoscl.pl i reszta ich pomysłów są naprawdę podstępne :) poszerzają świadomość ;)

  7. Mnie zastanawia ten fragment:

    “Scamerzy proszą o wpisanie numeru telefonu, ale jego podanie zapisze nas do subskrybcji płatnych SMS-ów, o czym można przeczytać na dole strony, niewielkim drukiem w kolorze zbliżonym do tła (jakże podstępnie zaznaczono także zgodę na otrzymywanie informacji handlowych…)”

    Czy to oznacza, że można zapisać do tej usługi każdego? :|
    Nie chciałbym być ofiarą głupiego żartu.

    • Trzeba wysłać SMS najpierw.

    • A co za problem pod nieobecność kumpla wysłać takiego smsa z jego telefonu?
      Nie przesadzając jednak: Zastanawia mnie czy mogą postępować w ten sposób. Zgodnie z prawem w loteriach i regulaminach musi być jasno napisane jaka jest kwota odpowiednią wielkością czcionki (jakiś ułamek rozmiaru czcionki zachęcającej do wysłania) i nawet odpowiednim kolorem (którego kontrast musi być również odpowiednio przeliczony). Dodatkowo nie mogą zaznaczyć za użytkownika żadnego podpunktu samoistnie. Wszelkie takie muszą być początkowo odznaczone.
      BTW: Nie dajcie się również nabrać na “darmowe doładowania” reklamowane na profilu fb choćby PLCM.pl. Za subskrypcję wychodzi łącznie 80 czy 90 złotych, a dostajemy 25-30. Ta sama firma, ten sam myk.

  8. “Nie masz zainstalowanego kodaka” seems legit :D

  9. A strona główna wladomoscl.pl wyrzyguje graficzke ‘hacked’ ;)

    • szybko… ;)

    • W takich momentach odzyskuję wiarę w ludzkość… :)

    • hahaha fajnie :)

  10. podobną stroną było ilepunktowkarnych.pl, teraz też wyrzuca hacked ;)

  11. ja mam nadzieje ze wkoncu ktos sie takimi oszustami zajmie. ludzie ciezko pracują, zusy i inne srusy płaca. a te matoły najnormalniej w swiecie nas okradają i to bezkarnie. W internecie jest pelno takich oszustw. Uwazajcie. np katalog elov.pl :) wejdzicie i zobaczcie jaki maja regulamin i jak oszukują ludzi… nawet neiw wchodzcie bo im pozycja w googlach skoczy .. wpiszcie ich nazwe w wyszukiwarce i poczytajcie a takich gowien pelno.. jak ktos tutaj ma wiedze to ta stroen tez poinni zhackować ;)

  12. ddos. sku*

    • Słusznie. Ja np DOSuję plikostradę.pl. Rejestracja przez
      tor-a, założony specjalnie na tę okazję mail i już drugi miesiąc
      odwlekam i negocjuję z nimi zaległe opłaty. A że sporadyczni
      odpowiadają mi “z automatu”, więc mam złośliwą satysfakcję że ktoś
      tam na swoją pensje zarabia :)

  13. https://www.facebook.com/settings?tab=applications Wejdź na
    tę stronę i zobacz jakie aplikacje masz dodane, niektóre z nich
    mogą publikować posty w twoim imieniu, niekoniecznie ładne i
    grzeczne. Możecie podać ten post dalej. Pozdrawiam Patryk

  14. linc0ln.dll i wszystko jasne :)

  15. Ja kliknąłem w ten link, ale zobaczyłem że chce mi się coś ściągnąć (jakaś dziwna nazwa), to odpuściłem. Nie mam zamiaru czegoś ściągać z nie wiadomo jakiego pochodzenia. ;)

    • jakby nazwa nie była dziwna, to byś to uruchomił?

  16. już się nimi ktoś zajął, i bardzo dobrze V Hacked

  17. jedna z tego typu stron jawnie zdemaskowała
    właściciela(Jakub K.) poprzez tag meta “fb:adminid” (co prawda mógł
    to być fałszywy tag ale na to nie wyglądało)

  18. Ostatnio było lepsze – rózne osoby rozsyłały po czatach
    (tych prywatnych) wiadomości z linkiem, który przekierowywał na
    plik .exe (jakiśtam image-WWW-FACEBOOK-COM.exe). A znajomi nic nie
    wiedzą ;)

  19. Chciałbym zauważyć że: strona twojemiastofb.pl HACKED
    strona wiadomoscl.pl HACKED PSZYPADEG? NIE SONDZE

  20. Zaktualizowałem dziś W7 i po włączeniu kompa non stop uruchamia mi się IE i próbuje łączyć z http://offers.lollipop-network.com (jakiś konkurs “wygraj iPada”).
    Ktoś ma pomysł co to jest i jak się tego pozbyć?
    Norton nic z tym nie zrobił.
    Zablokowałem IE dostęp do netu ale ciągle się otwiera próbując łączyć z tym lollipopem co mnie już trochę wqurwia.
    Nie używam od wieków IE (to nie jest domyślna przeglądarka) więc na pewno sam nic nie spieprzyłem i przyczyna najwyraźniej tkwi w aktualizacji W7.
    Jakieś sugestie?
    (przepraszam za OT)

    • A może IE jest dodany do autostartu?

    • Wystartuj w tym konkursie

    • ściągnij innego torrenta W7, nie tego pełnego rootkitów. lol

  21. Pospieszyłem się ze zwalaniem winy na MS, który niewinny tu
    niczym niemowlę. Moja wina – ściągnąłem był sobie wczoraj coś
    takiego: CPUFreeBenchMark 2 (189 KB) i razem z tym (ta sama pora
    utworzenia) ściągnęło się coś takiego: Lollipop, Lollipop Network,
    S.L. Usunięcie tego programiku załatwiło (chyba) problem. Programik
    czaił się parenaście godzin i ruszył do akcji akurat po
    aktualizacji W7, stąd moje początkowe podejrzenia. Jeszcze raz
    przepraszam za OT, oba wpisy do skasowania.

  22. Jak przewalisz ks364397.kimsufi.com przez
    https://www.ovh.pl/cgi-bin/order/renew.cgi to w ostatnim kroku
    wypluje login w OVH w formie XY1234-OVH, gdzie X to pierwsza litera
    nazwiska, Y pierwsza litera imienia właściciela usługi… just
    sayin’

  23. ta firma miała już na karku UOKiK. Poza tym za jakimś polskim pionkiem w zarządzie jest światowy potentat (zatrudnia 11 osób zatrudnia LOL) notowany na londyńskiej giełdzie. Jeden koktajl M i po firmie.

    • A coś więcej o tym pionku i potentacie? ;]

  24. Cóż… Spóźniliście się z tym… Mój znajomy jest od połowy
    roku zainfekowany wirusem właśnie z tego ataku który już widziałę
    od 6-10 miesięcy

  25. tutaj link do analizy “kodeka” :
    http://anubis.iseclab.org/?action=result&task_id=1c260932ebd6380f4455e14194f8950fc&format=txt

  26. Ja dostałem wariant z rodzina z dwojgiem czterolatków nie żyje. Jeszcze bardziej alarmujące no i może to znak że scamerzy też czytają niebezpiecznika.

  27. Jeszcze jedna stronka… Tym razem o psychopacie grasującym w kraju.
    http://wiadomosci-news.pl/zobacz-78-alarm_psychopata_grasuje_w_kraju.html

  28. Mimo wszystko serwis branżowy, więc co stoi na przeszkodzie?

  29. Nie mam facebooka nie mam problemu jednak na pewno dużo osób dało się na to złapać.

  30. Podesłał Marcin P trochę kojarzy mi się z Amber Gold. :)

  31. Ciekawostka, po wejściu na wladomoscl.pl pokazuję się
    wielki baner “HACKED”. Pozdrawiam

  32. A ja przewrotnie zapytam, w czym reklama nieistniejącego wypadku jest gorsza od reklamy emerytury pod palmami? Czy nie jest tak, że obecna wersja kapitalizmu zezwala, a nawet promuje dowolne strzyżenie ludzi z pieniędzy o ile nie używa się do tego siły fizycznej?
    “Wszystko od 2 złotych”, “za każde wydane 100 zł. oddamy ci 10 zł” i inne tego typu sztuczki wykorzystujące ludzi są na porządku dziennym. Czy przy tych reklamach jest coś wyjaśnione, choćby drobnym i słabo widocznym drukiem?

    Żeby nie było wątpliwości, nie ma to być pochwała naciągaczy, a raczej pokazanie, że liczba takich, wątpliwych moralnie, działań jest znacznie większa i w większości akceptowana przez obecne systemy gospodarczo-polityczne.

    Jeżeli do tego dodać, że goście od opisanego scama mają zarejestrowaną firmę czyli opłacają podatki, zapewne także stosują elastyczny czas pracy i raczej nie utrzymują pasożytniczych związków zawodowych, to robi się i śmieszno i straszno :)

    • true i nie ma w tym nic przewrotnego :(

  33. Wie ktoś może jak usunąć tego “kodeka” z komputera? Ja niestety za bardzo sie na tym nie znam a niedawno kupowalam komputer, wiec uwierzyłam, ze owego kodeku nie mam i zainstalowałam. Chciałabym się tego pozbyć, kto wie co to jest..

  34. ComboFix i dobry antywirus załatwi sprawę.

  35. Uruchomiłam ten program, program antywirusowy jaki jest zainstalowany to Eset, “Uri” nadal się wyświetla w przegladarce jako główna strona startowa, próba zmiany nic nie dała.. Może to niegroźne..

    • Sprawdź sobie parametry skrótów do przeglądarki (klikając
      prawym przyciskiem na “Właściwości”)- część złośliwego
      oprogramowania dopisuje URL jako parametr uruchomienia
      programu

    • Jaka to przeglądarka?

  36. Mam zainstalowanego firefoxa, szukam..

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: