# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Курьер в Газпром с ЗП 130тыс руб. В суть развода? Помогите разобраться

## Kubinec

Добрый день.

Читаю РБК, вижу объявление Яндекс.Директ примерно такого содержания: Курьер в Газпром ЗП 130 тыс руб. Срочно!
Понятно,  что какой-то развод. Но интересно же. Щелкаю по объявлению попадаю на  сайт, который грубо имитирует сайт какой-нибудь Государственной службы по труду. В  адресной строке домен u5fr32j.ru. На странице все та же информация про  эту волшебную вакансию. Чуть ниже маленький опрос в три поля, типа: как  зовут, сколько лет, когда сможете начать работу. Кнопка Продолжить. Нажимаю.  Далее идет анимация прогресс бара с 1 до 100% и типа информация найдена.  Снова щелкаю Продолжить. Введите номер телефона для связи с вами. Ввожу от балды. Вам  выслано СМС, введите код из него. Ввожу от балды код. Ошибки нет, снова возвращаюсь  ко вводу номера. Так еще раз делаю, код от балды не прокатывает.(свой  мобильник не указывал). Думаю потом еще посмотрю эту штуку, добавляю к  себе закладку. На этапе добавления закладки адрес страницы был такой  *удалено*.

Через  полчаса тыкаю на закладку, редирект и я попадаю официальный портал  вакансий компании Газпром-нефть, вот сюда  *удалено*. 
Далее пытаюсь попасть  на страницу с чудо вакансией. Если адрес вида *удалено*...., то  редирект на оф. портал вакансий Газпром-нефть. Если чисто домен вбить в  адресную строку, то переход на оф. сайт Федеральной службы судебных  приставов. Меняю idи pid в ссылке - тоже редирект. 
К описанию чудо вакансии попасть не могу, только редиректы или 404. Попробуйте сами.

Как  ни странно про вышеупомянутый домен ничего мошеннического в гугл не  нахожу. Вообще упоминания о нем крайне скудные. Также удивляет то, что  домену уже целых полгода. Virustotal также про вышеприведенную ссылку  говорит только хорошее. Только мой Avast ругается при попытке перехода http://savepic.su/6329497.png (а тем временем Avast'ом не сканируюся URL на Virustotal, (интересно почему)).

Вопросы:
1. Чем чревато ввести свой номер телефона, а потом код из пришедшего смс?
2. Почему явно левый сайт, которому уже полгода не проскользнул в сводках про эти самые левые сайты? 
3. Как они так сделали, что попасть на искомую страницу не получается(я же сделал закладку)? и как все-таки это сделать?

Заранее спасибо за ответы. Надеюсь вам как и мне будет интересно с этим разобраться.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Val_Ery

> Курьер в Газпром ЗП 130 тыс руб. Срочно! Понятно, что какой-то развод.


Прочитал пост из-за этой фразы  :Smiley: 
Потому что есть знакомые в газпроме, и я примерно представляю что это за конторка и как тама "работают"...

Поэтому, первым делом посмотрел на домен. То, что он так называется, на самом деле ни о чём. Потому что Вы и сами наверняка видели то, что называется короткими ссылками. Ну, типа youtu.be или ly.что-то там. Правда, большая часть владельцев ресурсов пытаются сделать эти ссылки как-то по смыслу связанными с доменными именами. Пример с ютюбом в этом плане показателен, ибо труба получается везде: как в домене, так и в короткой ссылке.
В Вашем примере, предполагаю (так оно или нет - отпишитесь пожалуйста), что в цифирях присутствует код Вашего региона. Получается Брянск. Нет?

Далее, по Вашему совету смотрю редиректы:
только домен - 3HgCLgP.gif
домен с прибабахом job - ImQ67YE.gif
Прикольно!!!

По поводу всякой разной заразы оттуда... Просто домен, по утверждениям fortinet и malwaredomains, содержит малварю. Малварей обзывают скрипты, которые связаны со счетчиками yadro, причем на ресурсе фссп. Больше нету ничего, и ничего быть не может.

Теперь о домене...
Обратили, наверное, внимание на адрес? Северо-американские соединенные штаты, Serverel Corp., конторка, которая предоставляет выделенные сервера и некоторые другие услуги. Среди которых - управление веб-кластерами, зеркала баз данных и т.д. и т.п. Дальше - редиректы на фссп, которая в ростелекомовом облаке... Вообще, с дружбой ростелекома с подобными решениями я сталкивался во времена, когда пользовался их интернетом. Знаете, интересно так: динамический адрес, ростелеком, казалось бы российский, а иногда смотришь на IP и понимаешь, что работаешь из Калифорнии  :Smiley:  Поэтому и ушел от них побыстрому.

Наконец-то добрался до предположений...
Значит, думаю, что развод здесь не такой, о котором думаете Вы. Потому что проявляется конторка, которая неоднократно "выплывала" со всевозможными "проектами" по изыманию средств со всяких неплательщиков: то сидят в соц.сетях, то работают через всякие службы знакомств с задачей пригласить на свидание должника и тама его повязать... Помните такое? По-моему, в Коми "знакомствами" грешили, неугомонные наши.
У нас последние месяца два на наиболее оживленных перекрестках они дежурят вместе с гибдд'шниками: рядом с каким-нибудь полицейским фордом стоит большой газел с надписью фссп, отлавливают  :Smiley:  

Здесь цель понятна - связать некий телефон с некоей личностью, если предположить, что ищущий работу врать относительно ФИО и телефона не будет. Для этого создается некий агрегатор, который будет собирать данные (тот самый домен), а вот относительно Вашей будущей работы (найдете или нет) - вопрос не государственного масштаба  :Smiley:  Главное - узнать, по какому номеру искать неплательщика каких-нить кредитов.

----------


## Kubinec

Val_Ery, какая же это короткая ссылка? Во первых, она не короткая! Во-вторых, при переходе по короткой ссылке сразу происходит редирект. А я был на странице долгое время и даже добавил в закладки. 
Нет, не из Брянска. Из Москвы с московским же ip(без всяких прокси итд)




> Вашему совету смотрю редиректы .... Прикольно!!!


А что прикольного? Я не силен в вебе, но вроде это же стандартная картина. Когда на основном сайте, куча маленьких счетчиков и баннеров с других доменов.




> Просто домен, по утверждениям fortinet и malwaredomains, содержит малварю.


А где вы видите эти их утверждения? Судя по отчету вирустотал все чекеры, в том числе и вами умомянутые, считают сайты фссп, газпром-нефть и u5fr32j.ru безмалварными.
У меня только, как уже сказал, Аваст ругается на сайт газпром-нефть. Даже если просто из поиска яндекса на него заходишь или сам адрес вбиваешь. Но это ложная тревога с очень большой вероятностью. 

Про ваше предположение. Ну не знаю. То есть, вы полагаете, что ФССП создала левый сайт с левой обманной инфой, чтобы просто собирать пары имя-телефон. (Кстати, не помню точно, но вроде отдельных полей для фамилии, имени и отчества там нет. Только поле типа "Как вас зовут?" Что предполает, что люди пишут туда примерно так: "Денис Семенов", "Татьяна Владимировна", "Сергей" итд. Но предположим что все таки там отдельные поля для Ф, И и О и некоторые люди действительно их туда вводят). Далее, получив пару фио-номер, ФССП ищет фио в реестре неплательщиков(или кого там). Ну а дальше что? фио однозначно не идентифицирует человека. Допустим в их реестре нашелся такой фио, но это не значит, что человек тот же самый. И что они будут его приглашать на собеседование, разыгрывать спектакль, выманивать под неким предлогом паспорт и уже по паспорту проверять в своем реестре. И если все чисто и у человека просто фио совпадает с должником, то просто извиняться? Так что ли?! Мне кажется, этот вариант крайне малореален. По моему есть какие-то другие способы найти человека (тем более для околосиловых ведомств, тем более в рамках делопроизводства).

Мне кажется, что создатели u5fr32j.ru никак не связаны с сайтами, на которые сделаны редиректы. А сделаны они для маскировки. Типа как фишинговый портал банка, но если нажмешь какой-нибудь баннер, то попадешь на реальный сайт банка.

----------


## Val_Ery

> Про ваше предположение. Ну не знаю.


Ну, да... Это всего лишь предположение... Я же ничего не утверждаю...




> вроде отдельных полей для фамилии, имени и отчества там нет


Ну, это как бы и неважно. Просто вспомните, как Вы оформляли свою СИМку... Получится, что номер телефона = паспортные данные = полная идентификация личности с той самой фотографией, где все на уголовников похожи.
Согласен, "попахивает" паранойей. Может, введи Вы реальный номер с реальным подтверждением, Вы бы просто подписались на получение платного контента посредством СМС, или Вам открылась бы форма, предлагающая ввести номер карты для перечисления аванса как готовому выйти на работу сотруднику... Х.з. Формы я не видел...

Ещё момент, мы прицепились к этому ресурсу несчастному. Может всё проще? 
Когда ходишь по сети с адблоком, просто не знаешь, чего там пытаются показать. Я на рбк вообще не наблюдаю рекламы от яндекса. Сейчас отключил этот адблок. Да, полезли всякие фреймы гугловые с теневыми DOM'ами, брюнетка какая-то в бюстгалтере (тоже кампания гугловая)... Не наблюдаю никакого яндекс.директа, в трех браузерах посмотрел. Или я не вижу чего-то?..




> А где вы видите эти их утверждения? Судя по отчету вирустотал все чекеры, в том числе и вами умомянутые, считают сайты фссп, газпром-нефть и u5fr32j.ru безмалварными.


cVyFbW6.png
Тут дело вот в чем... Все эти оценки опасности выводятся на основе неких собранных данных. Эти данные периодически обновляются. Например, ядро (yadro) в базы фортинета было добавлено и проверено 29 октября, в базы BH DNS (черные дыры, да  :Smiley:  ) - 21 сентября. Причина добавления - Executed Writes - с жалобой на таку ссылку:

```
<a href='http://www.liveinternet.ru/stat/fssprus/' target=_blank><img src='//counter.yadro.ru/hit;fssprus?t16.18;r;s1176*885*24;uhttp%3A//fssprus.ru/iss/ip/;0.5543469646479778' alt='' title='LiveInternet: ?>:070=> G8A;> [email protected]>A<>[email protected]>2 70 24 G0A0, ?>A5B8B5;59 70 24 G0A0 8 70 A53>4=O' border='0' width='88' height='31'></a>
```

 Это ядро постоянно в подобных данных: то вылезет как зараза, то пропадет... Его я просто упомянул, потому что было; без утверждений, что это реальная гадость. 
А вот чего там с обновлениями данных на вирустотал - не знаю, может, они более свежие? Хотя, 29-ое, на момент моего предыдущего коммента свежее не было...

На счет Аваста и Газпрома - ничего сказать не могу. Вы, вероятно, правы относительно ложных срабатываний. У меня-то антивируса в принципе нет последние пять лет. Только сталкивался неоднократно в разных местах с тем, что все эти экраны авастовые, блокировки ПНП, контроль сетевых подключений... только усложнят работу пользователей. Даже рекомендовать его клиентам в качестве защиты перестал  :Smiley:

----------


## Kubinec

> Просто вспомните, как Вы оформляли свою СИМку...


Дык если у них каким-либо образом есть доступ к базе данных пользователей мобильных операторов, то смысл им левый сайт заводить.




> Может, введи Вы реальный номер с реальным подтверждением, Вы бы просто подписались на получение платного контента посредством СМС


 так вот и интересно можно так подписаться на что-нибуль или нет.

Ссори, не на главном сайте РБК, а на его подсайте, на quote.rbk.ru rbk.png

Наверное тот чекер, которым вы смотрите(который у вас на скрине) и вирустотал имеют разные версии баз, поэтому разный результат.

Спасибо вам за разъяснения.
Все ж большинство вопросов из шапки остались без ответа. Будем надеяться кто-нибудь еще подключится к дискусии.

----------

