Une fois que je change ma machine virtuelle Chrome pour prétendre être « Safari sur iPhone », nous revisitons l’URL qui a été envoyée à mon téléphone :
Nous avons écrit plusieurs fois dans le passé à propos de ces enquêtes sans fin. Leur objectif est de collecter autant de données personnelles vous concernant que possible et de vous montrer autant de publicités que possible. Ils génèrent ensuite des revenus en vous montrant des publicités pendant l’enquête, mais aussi en vendant les informations personnelles qu’ils vous recueillent à des organisations qui ont besoin de « prospects commerciaux qualifiés ». Ils diront à ces organisations que vous recherchez des choses comme des économies sur les frais de scolarité, l’assurance maladie, l’assurance automobile, l’électronique, un nouveau véhicule, etc. leurs spams !
Nous avons demandé à nos amis de Zetalytics, via leur outil Zone Cruncher, « Alors où dans le monde se trouve l’adresse IP n9cxr[.]Info? » Ils nous ont dit qu’il est situé à Hong Kong sur un serveur hébergé par Alibaba Inc.
C’est très intéressant ! Merci, Zetalytics ! Pourriez-vous également nous indiquer D’AUTRES NOMS DE DOMAINE récemment vus sur cette même adresse IP ? Après tout, nous avons reçu trois de ces domaines dans les trois messages que j’ai reçus sur mon téléphone personnel !
Tous ces domaines sont bien sûr enregistrés auprès du registraire de domaine scummy NameCheap. Ils prétendent que si nous les informons de domaines défectueux, ils les désenregistreront. Une fois que j’aurai posté ceci, je leur enverrai une copie et ferai rapport de ce qui se passe.
D’ailleurs, le contenu n’est pas exactement le même à chaque visite. Ma prochaine visite sur l’URL n9cxr m’a plutôt donné cette fenêtre contextuelle :
Alors, comment arrivons-nous à la fausse page AT&T ? C’est là qu’intervient un outil que le directeur de CAUCE, Neil Schwartman, m’a montré. Bien que je ne recommande pas nécessairement l’entreprise, ce petit plug-in Chrome est parfait pour cartographier les chemins de redirection ! (Recherchez l’extension Chrome « Ayima Redirect Path » et n’oubliez pas que vous ne devez examiner que les URL potentiellement hostiles dans une machine virtuelle ! )
Qu’est-ce que tout cela signifie? Il nous indique que le premier serveur Web de l’URL a affirmé que la page que nous recherchions « dhmxmcmBTQ » avait été temporairement redirigée vers « themechallenge[.]club » et que nous devions demander à ce serveur une « clé » particulière.
Cette clé a amené le serveur à nous envoyer un Javascript qui nous a redirigé vers une autre URL sur leur site Web, qui à son tour a effectué une « redirection META » vers le serveur Web « go.metreysi[.]info » où nous devrions leur dire que nous avons été envoyés par un certain « cnv_id ». Ce serveur a ensuite prétendu que nous avions cliqué dessus et nous a envoyé via une autre « redirection temporaire 302 » vers un serveur Web appelé « redirect.usersupport[.]rapporter. » UserSupport a ensuite fait une autre redirection qui nous a amenés sur le site Web « att.usersupport[.]rapporter. »
Plus de domaines à rechercher dans ZoneCruncher !
https://themechallenge[.]club/click.php?key=abrrkduwznt79g18cx66
go.metreysi[.]info => hébergé sur LeaseWeb au 23.108.57[.]187
redirect.usersupport[.]net => hébergé sur 2606 :4700 :3032 ::6815 :2b25
att.usersupport[.]net => hébergé sur 2606 :4700 :3031 ::ac43 :da02
Je suppose que tous ces autres sites « go » qui partagent la même adresse IP seront également impliqués dans des escroqueries illégales de « redirection » qui commencent par SMS Blasting.
Au fait, vous souvenez-vous de la « clé » que nous devions passer ? De la même manière que notre User-Agent, si vous visitez l’un de ces sites et que vous ne lui transmettez pas de « clé », il vous redirigera simplement vers 127.0.0.1, ce qui signifie « visitez votre propre machine ».
Pas seulement AT&T !
L’une des autres astuces de Zetalytics est de pouvoir me montrer d’autres noms d’hôtes sur le même domaine. (Le terme pour cela est appelé « PassiveDNS »)
Cela ressemble à « UserSupport[.]net » est également utilisé pour imiter TikTok, CostCo, Walmart et Google, la compagnie maritime UPS, FedEx et US Postal Service, et les fournisseurs de téléphonie mobile, AT&T, Comcast, Spectrum, T-Mobile et Verizon !
Comme je n’ai pas reçu ces messages SMS en particulier, je ne peux pas y accéder. (J’ai la mauvaise « clé » pour démarrer la chaîne.) Mais j’aimerais en voir d’autres si vous souhaitez partager une capture d’écran !
Liste des domaines.info (et.xyz) abusant du spam par SMS qui seraient associés à ces campagnes. Il est logique qu’il y en ait exactement 100.
1trouver[.]Info
1fwnx[.]Info
1nvc[.]Info
2ecc[.]Info
2gtex[.]Info
2ofgm[.]Info
3mgie[.]Info
3ohm[.]Info
4gogm[.]Info
4onnr[.]Info
4onnr[.]Info
6ghme[.]Info
6nbfu[.]Info
6omrf[.]Info
6wqbv[.]Info
7botm[.]Info
7 Gobep[.]Info
7 Gobep[.]Info
7uwhn[.]Info
7wxcd[.]Info
8bmxw[.]Info
9bmdx[.]Info
a2sct[.]Info
a7tev[.]Info
applicationsc[.]Info
applicationsf[.]Info
bjdz2[.]xyz
bmeq9[.]Info
livre[.]Info
livrex[.]Info
panier[.]Info
panier[.]Info
cartz[.]Info
face[.]Info
face[.]Info
faceh[.]Info
facem[.]Info
faceu[.]Info
visage[.]Info
fuwd2[.]Info
gg0l[.]Info
gi3t[.]Info
gi3t[.]Info
gitn4[.]Info
aller4[.]Info
gotr6[.]Info
gr8f[.]Info
avoir[.]Info
avoir[.]Info
avoir[.]Info
avoir[.]Info
avoir[.]Info
avoir[.]Info
j’ai[.]Info
aiou[.]Info
cacher[.]Info
cacher[.]Info
cache-moi[.]Info
cacher[.]Info
cacher[.]Info
j1bcs[.]Info
j1bcs[.]Info
j2bmf[.]Info
k2ave[.]Info
k4acr[.]Info
k4acr[.]Info
k8bvz[.]Info
kpl5[.]Info
kpp8[.]Info
kpp8[.]Info
kse0[.]Info
ktf4[.]Info
l1bmz[.]Info
l5brv[.]Info
lgte3[.]Info
m2cxn[.]Info
m6cda[.]Info
mbdz2[.]xyz
mqbvn[.]Info
n4csv[.]Info
n9cxr[.]Info
nomb[.]Info
pexw0[.]xyz
qkkk2[.]xyz
pluie[.]Info
pluie[.]Info
pluie[.]Info
s1vrk[.]Info
s2avr[.]Info
s2avr[.]Info
s4asc[.]Info
s6axe[.]Info
s7axm[.]Info
s8avx[.]Info
toer9[.]Info
toer9[.]Info
vbjh9[.]xyz
wodm7[.]Info
motc[.]Info
wosn9[.]Info