AT&T Free Msg : Vous savez que vous ne devriez pas cliquer… alors nous l'avons fait pour vous !

Une fois que je change ma machine virtuelle Chrome pour prétendre être « Safari sur iPhone », nous revisitons l’URL qui a été envoyée à mon téléphone  :

Nous avons écrit plusieurs fois dans le passé à propos de ces enquêtes sans fin. Leur objectif est de collecter autant de données personnelles vous concernant que possible et de vous montrer autant de publicités que possible. Ils génèrent ensuite des revenus en vous montrant des publicités pendant l’enquête, mais aussi en vendant les informations personnelles qu’ils vous recueillent à des organisations qui ont besoin de  » prospects commerciaux qualifiés « . Ils diront à ces organisations que vous recherchez des choses comme des économies sur les frais de scolarité, l’assurance maladie, l’assurance automobile, l’électronique, un nouveau véhicule, etc. leurs spams !

Nous avons demandé à nos amis de Zetalytics, via leur outil Zone Cruncher, « Alors où dans le monde se trouve l’adresse IP n9cxr[.]Info ? » Ils nous ont dit qu’il est situé à Hong Kong sur un serveur hébergé par Alibaba Inc.

C’est très intéressant ! Merci, Zetalytics ! Pourriez-vous également nous indiquer D’AUTRES NOMS DE DOMAINE récemment vus sur cette même adresse IP  ? Après tout, nous avons reçu trois de ces domaines dans les trois messages que j’ai reçus sur mon téléphone personnel !

Tous ces domaines sont bien sûr enregistrés auprès du registraire de domaine scummy NameCheap. Ils prétendent que si nous les informons de domaines défectueux, ils les désenregistreront. Une fois que j’aurai posté ceci, je leur enverrai une copie et ferai rapport de ce qui se passe.

D’ailleurs, le contenu n’est pas exactement le même à chaque visite. Ma prochaine visite sur l’URL n9cxr m’a plutôt donné cette fenêtre contextuelle  :

Alors, comment arrivons-nous à la fausse page AT&T ? C’est là qu’intervient un outil que le directeur de CAUCE, Neil Schwartman, m’a montré. Bien que je ne recommande pas nécessairement l’entreprise, ce petit plug-in Chrome est parfait pour cartographier les chemins de redirection  ! (Recherchez l’extension Chrome  » Ayima Redirect Path  » et n’oubliez pas que vous ne devez examiner que les URL potentiellement hostiles dans une machine virtuelle  ! )

Qu’est-ce que tout cela signifie ? Il nous indique que le premier serveur Web de l’URL a affirmé que la page que nous recherchions  » dhmxmcmBTQ  » avait été temporairement redirigée vers  » themechallenge[.]club » et que nous devions demander à ce serveur une « clé » particulière.

Cette clé a amené le serveur à nous envoyer un Javascript qui nous a redirigé vers une autre URL sur leur site Web, qui à son tour a effectué une  » redirection META  » vers le serveur Web  » go.metreysi[.]info » où nous devrions leur dire que nous avons été envoyés par un certain « cnv_id ». Ce serveur a ensuite prétendu que nous avions cliqué dessus et nous a envoyé via une autre « redirection temporaire 302 » vers un serveur Web appelé « redirect.usersupport[.]rapporter. » UserSupport a ensuite fait une autre redirection qui nous a amenés sur le site Web « att.usersupport[.]rapporter. »

Plus de domaines à rechercher dans ZoneCruncher  !

go.metreysi[.]info => hébergé sur LeaseWeb au 23.108.57[.]187

redirect.usersupport[.]net => hébergé sur 2606 :4700 :3032 ::6815 :2b25

att.usersupport[.]net => hébergé sur 2606 :4700 :3031 ::ac43 :da02

Je suppose que tous ces autres sites  » go  » qui partagent la même adresse IP seront également impliqués dans des escroqueries illégales de  » redirection  » qui commencent par SMS Blasting.

Au fait, vous souvenez-vous de la  » clé  » que nous devions passer ? De la même manière que notre User-Agent, si vous visitez l’un de ces sites et que vous ne lui transmettez pas de  » clé « , il vous redirigera simplement vers 127.0.0.1, ce qui signifie  » visitez votre propre machine « .