Вирус или нововведение в безопасности Вконтакте?

[@bobermaniac]

Волшебная платная входящая СМС с подтверждением?

[@conturov]

Это называется подписка.
Вы таким образом подписываетесь на услугу и с вас будут списывать средства пока вы не отпишитесь. Для отписки тоже требуется кодовое слово которого вам конечно не сообщили.

Подписки работают так:
Сначала проходит биллинг на большую сумму, например 300руб. если списание не прошло то понижается на половину, т.е. 150руб и так далее пока с вас все равно не спишут средства.

[@conturov]

Но простые пользователи то об этом не знают и вводят свой телефон, получают SMS и вводят код.

Они ведь думают что деньги снимаются только если отослать SMS на нужный номер и с нужным кодом.

Где-то около года назад подписки были очень популярны, было куча партнерок, такие как определение местоположения и т.п., но потом их вроде как прикрыли и их стало намного меньше.

[@Aliance]

Их все равно очень много, могу привести в пример минимум 200 штук :)

[@conturov]

И то правда, но уже не так активны они.

[@Aliance]

Ну тут смотря с чем сравнивать… За период «год назад» у меня сведений нет, но вот за последние 2-3 месяца, судя по их прибыли, они очень даже успешны все :( Правда откуда берутся такие наивные люди для меня остается загадкой?! ((

[@AHDPEu]

А у меня есть статистика «год назад»
Были такие партнёрки «Секреты Вконтакте»
Конверсия этих партнёрок просто зашкаливала за все разумные пределы.
Ради эксперимента создал рекламную компанию в гугли и бегуне, привлекая парнёров.
За 100$ — 12 очень активных парнёра. За первые 2 дня я окупил затраты. Пик — 350$ за сутки. И это только реферальными 5%.

1 из рефералов стабильно зарабатывал по 1000-1200$. Есть подозрение, что подобным способом — как в статье, только в крайне меньших масштабах.

А уж сколько сайтов и групп вконтакте осталось после взлёта темы «секреты вконтакте» и говорить страшно.

Я тогда писал статью, как за 2 часа работы отдыхать месяц =)

[@Harkonnen]

А где статья? :)

[@AstaRoth]

Ничего их не прикрыли, МТС легально спамит: www.mpoisk.ru/friends/

[@conturov]

Не, «Локатор» это другое. Там подтверждение обоих абонентов необходимо, а тут когда пароль вводишь из SMS с тебя начинают списывать все деньги с кошелька. Причем могут начать списывать через неделю когда уже и забыл что и где вводил.

[@Voley]

Вирус на мак ос вызывает только фейспалм

[@drakmail]

Скорее всего, уязвимость в Firefox.

[@hoodoy]

первая ссылка — статья датируется 2004-м годом… ээ…
вторая — читаем название ресурса и пропускаем(хотя я прочел чего там понаписали школьники)
третья — здесь вроде есть полезная инфа, если сопоставить с топиком, то автор мог стать жертвой нейкого трояна Mac.DnsChange (http://vms.drweb.com/virus/?i=441242) поражающего макос компьютеры.

[@drakmail]

У меня всё нормально работает в FF4b10. Попробуйте удалить полностью ФФ (вместе с профилем) и установить заново.

[@Colobock]

по баллонам попинал, фары протирал…

[@kabachok]

а если в hosts прописать этот ip к домену vkontakte.ru?

[@kabachok]

ЧТД

[@yasha_somov]

QED )

[@BuriK666]

% host vkontakte.ru
vkontakte.ru has address 87.240.188.254
vkontakte.ru has address 87.240.188.249
vkontakte.ru has address 87.240.188.250
vkontakte.ru has address 87.240.188.251
vkontakte.ru has address 87.240.188.252
vkontakte.ru has address 87.240.188.253
vkontakte.ru mail is handled by 10 mail.vkontakte.ru.
Если у Вас /etc/hosts чист, советую сменить NS сервера.

[@NicholasSerov]

route print в cmd сделайте и покажите.

[@NicholasSerov]

Ну, а если там сами что-нибудь увидите, то: route delete *

[@ayurganov]

Ну, а вы читайте внимательней пост ;)

[@NicholasSerov]

Ок. Просто страницу не обновлял, зашел и только через некоторое время написал :)

[@itspoma]

эх, первый пост, первый пост… а все могло быть по другому…

[@Ofigenen]

По ссылке из поста советуют: «Всё чисто офицыально просто впишы этот номер где требуют и вуаля!»
И вы до сих пор сомневаетесь?.. Вписывайте, всё официально.

[@stetzen]

>Отрываю vkontakte.ru через сафари, ipad и телефон — везде одно и то же: сразу же происходит редирект на vk.com

Похоже, авторы вируса написали что-то FF & IE оnly, которое не грузится в WebKit и передает управление дальше, к редиректу.

[@sust]

Предлагаю деассемблировать файрфокс! В список расширений не смотреть ни в коем случае.

[@Smerig]

Может кто-то в сети траф перехватывает?

[@LDZ]

У пользуюсь услугами одного из крупнейших операторов рынка.
На мой взгляд, это маловероятно.

[@MazaFakagro]

а DNS чей используете?

[@barker]

Нет, не выдумывайте, так не бывает, давайте пруфинк. Все схемы предполагают активность со стороны подписчика, т.е. ввести пароль пришедшую в смс, например.

[@ascending]

Да не сложно распознать, если знать, что такие смс есть.
Во-первых, они приходят с сервисного номера оператора, например для МТС один из номеров это 770880.
Во-вторых сообщение имеет вид «Код 1234 активации подписки «Название подписки» 88005551200 (беспл.)». Последние цифры это номер телефона поддержки оператора, после звонка куда деньги в абсолютном большинстве случаев возращают. Enum и другие сервисы будут всё-таки слать смс в несколько другом формате.
Ну и в-третьих, после введения кода приходит смс со списанной суммой и информацией отказа от подписки, поэтому тут уже любой догадается, что с него сняли деньги и может позвонить в поддержку оператора.

[@menraen]

Здесь уже упоминали Enum. Есть еще такой сервис как Приват24. Да и вообще много где входящая СМС с кодом используется в качестве дополнительного подтверждения регистрации/транзакции/etc. Так что расчет авторов этого кидалова _очень_ правильный :(

Блин! Вот чем больше вижу такой фигни, тем больше убеждаюсь что любую неплохую идею (в данном случае — мобильные микроплатежи) можно превратить в натуральный адЪ и жупелЪ. И закончится ведь тем, что даже если микроплатежи не запретят законодательно, то у народа всё-равно закрепится стереотип «отправь СМС == лохотрон». А ведь насколько просто было бы операторам изначально сделать эту услугу опциональной и требующей активации со стороны абонента!

[@VolCh]

Недавно Google App Engine аккаунт так потверждал

[@webmaks]

Если это произошло 2-3 дня назад, то скорей всего был вирус. С чем это связано точно не знаю. К примеру я не могу отправлять комментарии с vk.com. Не было кнопок. А с vkontakte.ru спокойно. С других браузеров все работало нормально. После у меня просто появилась табличка вверху анкеты с просьбой очистить куки и зайти заново. Проблема исчезла. Может у меня косяк был, не знаю. В течении недели контакт много чего модифицировал. :) Может где и сбились.

[@kottt]

Рекомендую проверить настройки роутера: там мжет быть включен удаленный менеджмент и сменены dns
Подобная проблема у меня была осенью, вот обсуждение на форуме касперского
http://forum.kaspersky.com/index.php?s=&showtopic=184167&view=findpost&p=1468724

[@bdyu]

Кстати, да. Возможно на роутере подменены dns серверы.
Если у вас wi-fi роутер, то какой нибудь подлый сосед вполне мог подобрать пароль к точке доступа и если пароль на админку простой, залезть и что-нибудь там поменять.

[@LDZ]

да, роутер с wi-fi.
Кстати, тогда же заметил, что не могу залогиниться в панель управления роутера.
Сделал хард-ресет, поменял все пароли, сменил алгоритм шифрования wi-fi.

Т.е. есть достаточно веские основания считать, что кто-то подменил мне dns через роутер.
Сейчас ниаких проблем нет. При пинге vkontakte.ru выдается нормальный ip

[@LDZ]

Хотя насколько я знаю, в пределах радиуса вещаняи wifi нет ни одного человека, способного провернуть подобное. Дом очень маленький, все друг друга знают.
Есть большое подозрение, что кто-то залез через роутер удаленно.

Однако, почему именно ко мне?

Роутер, кстати, ASUS WL-500gP.
Прошивка родная.
Пароль для доступа менял.
Раздаваемый wifi был запоролен и шифровался через wpa

[@kottt]

Повторюсь, возможно, этот «кто-то» — просто программа. И используется либо уязвимость прошивок роутера, либо просто открытый доступ через WAN. В топике на форуме касперского, о котором я говорил, были люди с роутерами D-Link 2500 и около того и с асусами подобными вашему

[@bdyu]

По поводу уязвимости в стандартных прошивках ничего сказать не могу, а про то что пароль на wi-fi легко подбирается брутфорсом это точно. Даже последний нуб в состояние это сделать. Покупаешь диск на горбушке, запускаешь брутфорсер и вперед. неделя-две. максимум месяц. Насчет внешнего доступа не знаю, возможен ли там брутфорс, но если теоритически врядли там стоит какая либо защита от этого, особенно на стандартных прошивках. Лично я себе поставил на wl520gu прошивку от олега.

[@eigrad]

Два русских словарных слова c ошибками набранные в английской раскладке, и пара специальных символов в середине. WPA2-PSK. Можешь начинать ломать.

Я бы предположил что червь или уже находится в локалке автора, или сломал роутер снаружи. Но если это не червь, а троян, то всё ещё проще.

[@bdyu]

Цитата:«Раздаваемый wifi был запоролен и шифровался через wpa»

[@kottt]

Настоятельно также рекомендую перепроверить, закрыт ли доступ к удаленному администрированию девайса. Есть предположение, что сервисный логин support имеет какой-то стандартный пароль у разных производителей и существует зараза, которая ищет роутеры с открытым доступом через WAN

[@LDZ]

Вечером посижу, поизучаю мануал, возможно действительно есть какой-то сервисный логин со стандартным паролем.

[@MazaFakagro]

по умолчанию доступ к админке извне закрыт (wl500w)

[@dmitryrublev]

Вы бы про это апдейтом в топике написали, как про одну из вероятных причин всего случившегося.

[@menraen]

А я ведь предупреждал :( (С) Зелёный

Честно говоря меня в этой ситуации удивляет только одно: почему мошенники так долго не обращали внимания на домашние «недо-роутеры»? Специально не буду вдаваться в подробности, но поверьте мне на слово: такие роутеры — практически самое уязвимое место в домашней сети :(

[@LionAlex]

это ASUS wl500g «недороутер»?

[@menraen]

Вы не поверите! Причем даже (особенно) с установленной (но не обновлеямой) DD-WRT.

www.dd-wrt.com/site/content/dd-wrt-httpd-vulnerability-milw0rmcom-report

А вообще достаточно просто задаться вопросом: «Сколько раз вы накладывали связанные с безопасностью патчи на ОС стоящую на вашем ПК? А на ОС стоящую на вашем роутере?», — и всё станет понятно :(

[@resident]

vkontakte.ru резолвится не на реальный ip у тебя. у vk.com и vkontakte.ru одинаковые A записи.

[@ValdikSS]

Способов куча такое сделать, тут нужно неплохо в сетях разбираться и смотреть. Например, если у вас обычное IPOE подключение, кто-то у себя мог поставить dhcp сервер и выдавать вам ваш же ip, но с другими NS записями. Есть еще атаки типа dns rebind. Это первое что в голову пришло.

[@squint]

Ох уж эти цыгане)

[@Andrewus]

Вполне может быть проблема в DNS где-то по дороге.
Скажем, у локального провадера.
Или банальная подмена кэша DNS с помощью уязвимости браузера.

[@vasili4]

столько уловок — только чтобы получить номера красоток из соц.сети? стоит ожидать на рынках базки с номерами телефонов «самых сексуальных девчёнок вКонтакте»
не вижу зачем ещё им твой номер телефона ) так что бояться особо нечего.
Учитывая, что форма ожидает номера ввода кода с смс, скорее всего в Рыбнице находится один из разработчиков-фрилансеров. Видимо, где-то забыли отрубить дебаг-мод и всё

[@Aliance]

Это подписки, уже же писали.

[@vasili4]

код с смс вводится на страницу вКонтакте. От юзера не требуют ничего отсылать с телефона, значит никуда его подписать невозможно. С телефона никаких действий не совершается

[@Aliance]

Извиняюсь, ответил ниже

[@Aliance]

Когда требуют отослать с телефона — это т.н. «шлюз» (аля «пошлите смску с текстом 0 на короткий номер 1111 и будет вам счастье»).
Когда просят ввести номер телефона и вам вышлют код доступа/пароль — это подписка.

Код вводиться не на страницу вконтакте же, а на ту же страницу, с которой и просят его ввести (по ложному ip) — а значит отсылается на обработчик платника, где обрабатывается и передается на обработчик биллинга и оператора. Соответственно ввод кода — является соглашением с подпиской, соответственно бабки будут снять и хозяин платника получит свой %.

[@vasili4]

Вы правы. Судя по всему, используется как раз вот такая схемка

[@toxicdream]

Ребята, скажу вам по секрету, вконтакте давно уже продвигает идею привязки аккаунта к мобильному номеру. Зайдите в настройки, там все видно :)
У меня привязано уже больше полугода. Если честно, очень удобно.
Наверное, они решили немножко «пропиарить» такую возможность.
Деньги не снимают. Проверено. Если не боитесь светить свой номер мобильника, можете и привязаться :)

[@Aliance]

Вы тему-то вообще читали? Там идет подмена Ip. Привязка от контакта — есть и правда, но facebook-like окошко для подтверждения — это вирус.

[@toxicdream]

Ой, простите великодушно! :(

[@Melnaron]

Всем привет!

Дело было так: однажды вечером мне звонит мой знакомый (который не очень разбирается в тонкостях файла hosts и того за что он отвечает, да и вообще в комп. безопасности) и говорит что его не пускает на vkontakte.ru — он вводит свои мыло и пароль, а ему пишут что неверный логин или пароль… В итоге я сразу почуял неладное в его файле hosts и подмену главной страницы сайта. Попросил его прислать мне содержимое файла C:\Windows\System32\drivers\etc\hosts, на что получил вот такой вот ответ:

194.28.113.42 www.m.vkontakte.ru
194.28.113.42 m.vkontakte.ru
194.28.113.42 www.google.com
194.28.113.42 google.com
194.28.113.42 www.vkontakte.com
194.28.113.42 vkontakte.com
194.28.113.42 www.wap.odnoklassniki.ru
194.28.113.42 wap.odnoklassniki.ru
194.28.113.42 www.odnoklasniki.ru
194.28.113.42 odnoklasniki.ru
194.28.113.42 www.google.ru
194.28.113.42 google.ru
194.28.113.42 www.odnoklassniki.ru
194.28.113.42 odnoklassniki.ru
194.28.113.42 www.yandex.ru
194.28.113.42 yandex.ru
194.28.113.42 www.vkontakte.ru
194.28.113.42 vkontakte.ru
194.28.113.42 www.webmoney.ru
194.28.113.42 webmoney.ru
194.28.113.42 www.durov.ru
194.28.113.42 durov.ru
194.28.113.42 www.odnoklassniki.ua
194.28.113.42 odnoklassniki.ua
194.28.113.42 www.odnoklasniki.ua
194.28.113.42 odnoklasniki.ua
194.28.113.42 www.loveplanet.ru
194.28.113.42 loveplanet.ru
194.28.113.42 www.mamba.ru
194.28.113.42 mamba.ru
194.28.113.42 www.google.ua
194.28.113.42 google.ua
194.28.113.42 www.google.kz
194.28.113.42 google.kz
194.28.113.42 www.bing.com
194.28.113.42 bing.com
194.28.113.42 www.yandex.com
194.28.113.42 yandex.com
194.28.113.42 www.ya.ru
194.28.113.42 ya.ru
194.28.113.42 www.mail.ru
194.28.113.42 mail.ru
194.28.113.42 www.my.mail.ru
194.28.113.42 my.mail.ru
194.28.113.42 www.qiwi.ru
194.28.113.42 qiwi.ru
194.28.113.42 www.vk.com
194.28.113.42 vk.com
194.28.113.42 www.rambler.ru
194.28.113.42 rambler.ru
194.28.113.42 www.gmail.ru
194.28.113.42 gmail.ru
194.28.113.42 www.aport.ru
194.28.113.42 aport.ru
194.28.113.42 www.msn.com
194.28.113.42 msn.com
127.0.0.1 vkontakte.ru
127.0.0.1 www.vkontakte.ru
127.0.0.1 vk.com
127.0.0.1 www.vk.com

GeoIP tools по этому ип-адресу выдавали следующую инфу:

IP Address: 194.28.113.42
Base Domain: lan-rybnitsa.com
Country: Italy
Region: 05
City: Bologna

lan-rybnitsa.com has address 91.211.200.4
lan-rybnitsa.com mail is handled by 10 mail.lan-rybnitsa.com.

IP Address: 91.211.200.4
Host Name: h4-200.net.lan-rybnitsa.com
Country: Moldova, Republic Of
Country code: MD (MDA)

На самом lan-rybnitsa.com висит какой-то сайт с заголовком `Сеть доступа в интернет «Специалист» город Рыбница`.

На этом история и закончилась путем восстановления стандартного содержимого файла hosts, проверки ос на наличие вирусов (у приятеля оказалось не было установлено ни одной антивирусной программы) и удалением нескольких вирусов и троянов.

[@menraen]

На самом lan-rybnitsa.com висит какой-то сайт с заголовком `Сеть доступа в интернет «Специалист» город Рыбница`.

Ну так это провайдер мошенников. Смотрим whois:

---поскипано---

organisation: ORG-SL206-RIPE
org-name: Specialist, Ltd
org-type: OTHER
descr: Specialist, Ltd, Rybnitsa, MD
address: I. Soltysa 12, Rybnitsa, MD
phone: +373-777-12921
phone: +373-693-18189
phone: +373-777-65071
fax-no: +373-555-43073
mnt-ref: MONITORING-MNT
abuse-mailbox: abuse@lan-rybnitsa.com
mnt-by: SPECIALIST-MNT
source: RIPE # Filtered

Пишем письмо на abuse@lan-rybnitsa.com со ссылкой на этот пост. Если нет реакции — можно написать в RIPE.

[@LDZ]

Письмо ушло, жду ответ.
Выложу в апдейт

[@menraen]

Ответа от abuse-службы вы в большинстве случаев не дождетесь, т.к. политика безопасности. Судить о результативности жалобы можно лишь по факту принятия мер — т.е. в данном случае если IP-адреса перестанут быть доступными.

[@neptune]

Если hosts не менялся — и ping резолвит адрес 194.*, получается только подмена на dns серверах через которые вы сидите.

Смотрите что говорит dig vkontakte.ru, обратите внимания на адреса dns серверов. Если сидите за роутером — берите следующий dns из его настроек. Может быть кто в вашей локальной сети dns испортил и вписал свою зону? Правда сложно представить как, разве что кто-то из «администрации сети»

[@UksusoFF]

а тут еще недавно Касперский ругался на js видео плеера от вконтакте, тоже интересно что ето было :)

[@prabhu]

Рекомендую прошить Ваш роутер (ASUS wl500gp) прошивкой DD-WRT dd-wrt.com/site/support/router-database В поле укажите роутер. Прошился сразу после покупки девайса (ASUS wl500gp).

[@websaiter]

Леди и Джентльмены, ПОЛЬЗУЙТЕСЬ NOSCRIPT!!!

[@Serzhenko]

vkontakte.ru/verifycation.php

По одному слово «verifycation» в url’е становится очевидно, что это не может быть инициативой Администрации VK.

[@bestfriend]

принцессы не какают?

[@Serzhenko]

Принцессы — лингвистки :)