Une fois que je change ma machine virtuelle Chrome pour prétendre être « Safari sur iPhone », nous revisitons l’URL qui a été envoyée à mon téléphone :
Nous avons écrit plusieurs fois dans le passé à propos de ces enquêtes sans fin. Leur objectif est de collecter autant de données personnelles vous concernant que possible et de vous montrer autant de publicités que possible. Ils génèrent ensuite des revenus en vous montrant des publicités pendant l’enquête, mais aussi en vendant les informations personnelles qu’ils vous recueillent à des organisations qui ont besoin de « prospects commerciaux qualifiés ». Ils diront à ces organisations que vous recherchez des choses comme des économies sur les frais de scolarité, l’assurance maladie, l’assurance automobile, l’électronique, un nouveau véhicule, etc. leurs spams !
Nous avons demandé à nos amis de Zetalytics, via leur outil Zone Cruncher, « Alors où dans le monde se trouve l’adresse IP n9cxrInfo? » Ils nous ont dit qu’il est situé à Hong Kong sur un serveur hébergé par Alibaba Inc.
C’est très intéressant ! Merci, Zetalytics ! Pourriez-vous également nous indiquer D’AUTRES NOMS DE DOMAINE récemment vus sur cette même adresse IP ? Après tout, nous avons reçu trois de ces domaines dans les trois messages que j’ai reçus sur mon téléphone personnel !
Tous ces domaines sont bien sûr enregistrés auprès du registraire de domaine scummy NameCheap. Ils prétendent que si nous les informons de domaines défectueux, ils les désenregistreront. Une fois que j’aurai posté ceci, je leur enverrai une copie et ferai rapport de ce qui se passe.
D’ailleurs, le contenu n’est pas exactement le même à chaque visite. Ma prochaine visite sur l’URL n9cxr m’a plutôt donné cette fenêtre contextuelle :
Alors, comment arrivons-nous à la fausse page AT&T ? C’est là qu’intervient un outil que le directeur de CAUCE, Neil Schwartman, m’a montré. Bien que je ne recommande pas nécessairement l’entreprise, ce petit plug-in Chrome est parfait pour cartographier les chemins de redirection ! (Recherchez l’extension Chrome « Ayima Redirect Path » et n’oubliez pas que vous ne devez examiner que les URL potentiellement hostiles dans une machine virtuelle ! )
Qu’est-ce que tout cela signifie? Il nous indique que le premier serveur Web de l’URL a affirmé que la page que nous recherchions « dhmxmcmBTQ » avait été temporairement redirigée vers « themechallengeclub » et que nous devions demander à ce serveur une « clé » particulière.
Cette clé a amené le serveur à nous envoyer un Javascript qui nous a redirigé vers une autre URL sur leur site Web, qui à son tour a effectué une « redirection META » vers le serveur Web « go.metreysiinfo » où nous devrions leur dire que nous avons été envoyés par un certain « cnv_id ». Ce serveur a ensuite prétendu que nous avions cliqué dessus et nous a envoyé via une autre « redirection temporaire 302 » vers un serveur Web appelé « redirect.usersupportrapporter. » UserSupport a ensuite fait une autre redirection qui nous a amenés sur le site Web « att.usersupportrapporter. »
Plus de domaines à rechercher dans ZoneCruncher !
https://themechallengeclub/click.php?key=abrrkduwznt79g18cx66
go.metreysiinfo => hébergé sur LeaseWeb au 23.108.57187
redirect.usersupportnet => hébergé sur 2606 :4700 :3032 ::6815 :2b25
att.usersupportnet => hébergé sur 2606 :4700 :3031 ::ac43 :da02
Je suppose que tous ces autres sites « go » qui partagent la même adresse IP seront également impliqués dans des escroqueries illégales de « redirection » qui commencent par SMS Blasting.
Au fait, vous souvenez-vous de la « clé » que nous devions passer ? De la même manière que notre User-Agent, si vous visitez l’un de ces sites et que vous ne lui transmettez pas de « clé », il vous redirigera simplement vers 127.0.0.1, ce qui signifie « visitez votre propre machine ».
Pas seulement AT&T !
L’une des autres astuces de Zetalytics est de pouvoir me montrer d’autres noms d’hôtes sur le même domaine. (Le terme pour cela est appelé « PassiveDNS »)
Cela ressemble à « UserSupportnet » est également utilisé pour imiter TikTok, CostCo, Walmart et Google, la compagnie maritime UPS, FedEx et US Postal Service, et les fournisseurs de téléphonie mobile, AT&T, Comcast, Spectrum, T-Mobile et Verizon !
Comme je n’ai pas reçu ces messages SMS en particulier, je ne peux pas y accéder. (J’ai la mauvaise « clé » pour démarrer la chaîne.) Mais j’aimerais en voir d’autres si vous souhaitez partager une capture d’écran !
Liste des domaines.info (et.xyz) abusant du spam par SMS qui seraient associés à ces campagnes. Il est logique qu’il y en ait exactement 100.
1trouverInfo
1fwnxInfo
1nvcInfo
2eccInfo
2gtexInfo
2ofgmInfo
3mgieInfo
3ohmInfo
4gogmInfo
4onnrInfo
4onnrInfo
6ghmeInfo
6nbfuInfo
6omrfInfo
6wqbvInfo
7botmInfo
7 GobepInfo
7 GobepInfo
7uwhnInfo
7wxcdInfo
8bmxwInfo
9bmdxInfo
a2sctInfo
a7tevInfo
applicationscInfo
applicationsfInfo
bjdz2xyz
bmeq9Info
livreInfo
livrexInfo
panierInfo
panierInfo
cartzInfo
faceInfo
faceInfo
facehInfo
facemInfo
faceuInfo
visageInfo
fuwd2Info
gg0lInfo
gi3tInfo
gi3tInfo
gitn4Info
aller4Info
gotr6Info
gr8fInfo
avoirInfo
avoirInfo
avoirInfo
avoirInfo
avoirInfo
avoirInfo
j’aiInfo
aiouInfo
cacherInfo
cacherInfo
cache-moiInfo
cacherInfo
cacherInfo
j1bcsInfo
j1bcsInfo
j2bmfInfo
k2aveInfo
k4acrInfo
k4acrInfo
k8bvzInfo
kpl5Info
kpp8Info
kpp8Info
kse0Info
ktf4Info
l1bmzInfo
l5brvInfo
lgte3Info
m2cxnInfo
m6cdaInfo
mbdz2xyz
mqbvnInfo
n4csvInfo
n9cxrInfo
nombInfo
pexw0xyz
qkkk2xyz
pluieInfo
pluieInfo
pluieInfo
s1vrkInfo
s2avrInfo
s2avrInfo
s4ascInfo
s6axeInfo
s7axmInfo
s8avxInfo
toer9Info
toer9Info
vbjh9xyz
wodm7Info
motcInfo
wosn9Info