Jakiś czas temu dostałem trochę niedorobiony spam:
Pod wspomnianym adresem ujrzałem pięknie podrobioną stronę logowania mBanku, oczywiście bez certyfikatu.
Czasem mi się nudzi... Wypełniłem ten formularz bzdurnymi wartościami kilka tysięcy razy ;) ale końcu uruchomiły się jakieś funckje ochrony przed DDoS... Równolegle zgłosiłem tę stronę jako phishing do MS i G. Napisałem też maila do firmy hostingowej, ale nie dostałem żadnej odpowiedzi. Nie wiem, które (czy którekolwiek) z tych działań przyczyniło się do tego, ale kiedy parę dni później zajrzałem na stronę ponownie, okazało się, że index.html został usunięty i moim oczom ukazało się to:
Jeden z katalogów to owa spamowa domena. Ale co to jest to drugie? Po kliknięciu znalazłem się na stronie tłumaczącej konieczność pobrania certyfikatu mBanku na telefon wraz z obrazkowym instruktażem, jak po kolei przechodzić wszystkie ostrzeżenia Androida, że właśnie popełniasz samobójstwo. Wyskakuje okienko pobierania pliku apk. Niestety tym razem nie będzie screena. Ta strona również została już zdjęta, a nie porobiłem screenów zawczasu. Nie spodziewałem się, że będę z tym leciał na wykop :P
Jako, że wścibski jestem, pobrałem apkę i zdekompilowałem sympatycznym, acz niedorobionym narzędziem (uwaga: audycja zawieralokowanie produktu) Smali2Java
Już pobieżna analiza kodu pozwala dostrzec, jakimi zadaniami się ta aplikacja zajmuje... Przechwytywanie SMS-ów, historii przeglądania, robienie zdjęcia użytkownikowi frontową kamerą... Łatwo też znaleźć plik konfiguracyjny, który zawiera adres IP i numer portu, na który aplikacja wysyła te wszystkie dane. Są to...
91.239.67.186 i jakże hakierski port 1337.
Do kogo należy ten adres? Zapytałem moje ulubione narzędzie w takich sytuacjach: (uwaga: audycja zawierała lokowanie produktu)
GWhois
biznes-host.pl? No to piszemy maila:
Odpowiedź przyszła dość szybko, ale...
Wydawało mi się, że cały czas rozmawiam z jednym konsultantem (z litości zamazałem dane, bo to tylko pracownik), ale jak zajrzałem pod adres doczepiany do każdego maila, to się okazało, że ta niepodpisana wiadomość była od prezesa firmy (nie zamazuję danych):
Zobacz wpis w KRS
Czyli to nieważne, że właśnie kradzione są SMS-y, a może i pieniądze. Nawet nie podejmiemy próby weryfikacji zarzutów. Niech to sobie idzie drogą formalną, może za miesiąc ktoś wezwie jako świadka, to wtedy będziemy się martwić.
Jeżeli brat twój zgrzeszył, idź i upomnij go w cztery oczy.
Gdy cię usłucha, pozyskałeś swego brata.
Jeżeli cię nie usłucha: weź ze sobą jeszcze jedną lub dwie osoby,
żeby na podstawie zeznania dwóch lub trzech świadków cała sprawa została rozstrzygnięta.
Jeżeli ich także nie chce usłuchać: powiedz to Wykopowi.
A jeśli nawet Wykopu usłuchać nie chce, Niech będzie ci jako PO-wiec i PiS-owiec.
(Mi 18, 15-17)
Komentarze (64)
najlepsze
Co za problem przejść się na policję i przekazać im swoje odkrycie?
@LaPetit: Nie ktoś, a odpowiednie organy powinny zwrócić się. Jeszcze by tego brakowało żeby hostingodawca miał weryfikować zgłoszenia wszystkie i analizować np. czy płaska laska ma ukończone 18lat czy jeszcze nie...
Albo czy wpis na blogu został skopiiowany przez kogoś czy też nie.
W USA sytuacja trochę inaczej
Komentarz usunięty przez moderatora
@MojeMaleOpowiesci:
Tak samo jak kazdy inny hosting...
Tylko na wniosek prokuratury można wyłączyć dostęp do usług. Prezes Grzyb nie jest od tego, on tylko dostarcza infrastrukturę.
Gdyby np okazało się to fejkiem, a Pan Grzyb wyłączył serwer klient mógłby np wycenić straty na xxxxx zł i założyć spór cywilny. Pamiętajcie, prawo w Polsce chroni przestępców!
Az kiedys po prostu administrator serwera sie zorientowal co sie tam znajduje (a nie bylo to trudne bo pliki po prostu lezaly do pobrania w katalogach statycznej strony WWW) i #!$%@? cala zawartosc zostawiajac
Jeśli wykop.pl nie kasuje wpisów o modelkach piszących się na koprofilie to dobrze, jeśli inny podmiot nie kasuje czegoś innego to źle. Naprawdę moment w którym to dostawcy usług teleinformatycznych zaczną decydować jakie treści można a jakich nie utrzymywać w internecie będzie czarnym dniem dla wolności słowa i neutralności internetu.
@o_40855: Za to potrafi zająć dużo przepustowości. Właściwie to dowolne łącze może wysycić jeśli towar jest dobry a ceny hostingu są liczone według znacznie niższych założeń.
Komentarz usunięty przez moderatora