Pull to refresh

Навязывание МТ-подписки

Information Security *
Только что случилась неприятная ситуация.

Моя жена разместила резюме на нескольких сайтах. Периодически заходит и обновляет.
Буквально 15-20 минут назад неизвестная девушка позвонила с номера (7 499 704 16 31). Далее диалог:

Девушка (Д): Добрый день. Ваше резюме размещено на одном из наших сайтов. На сайте не работает автоматическое продление публикации. И что бы его продлить бесплатно я вам сейчас отправлю смс с кодом, а затем перезвоню и вы мне его сообщите.
Жена (Ж): На каком именно сайте?
Д: Я не могу вам сказать, т.к. мы обслуживаем много сайтов.
Ж: Хорошо, отправляйте.


В это время я был рядом, сразу понял что это развод.
После получения смс все опасения подтвердились. В смс был код, адрес сайта и телефон бесплатной линии поддержки.
Адрес сайта: www.RJob.tk. (46.182.24.228) Уже не работает. Скорее всего сработала абуза регистратору.
Домен явно привязан к партнерке.
IP-адрес вроде бы от Селектела.
По 46.182.24.228 открывается форма авторизации Уже не открывает. Скорее всего Селектел сработал. Молодцы.

На сайте внизу расписаны условия подписки. Хотя это не важно.
Все работает через ИнкорМедиа (номера). Номер поддержки 8-800-5555-638.

Через пару минут после получения смс девушка перезвонила.
Д: Сообщите полученный код.
Ж: Пожалуйста представьтесь.
Д: Виктория
Ж: Как называется ваша компания?
Д: Инмедиа.
Ж: Девушка, мы проверили сайт из смски, посмотрели все условия. Вы пытаетесь меня подписать на мт-подписку без моего согласия. Все данные о вас будут переданы контент-провайдеру.
Д: Ну не хотите — как хотите.

Позвонили в инкормедиа. Из разговора с оператором call-центра раз мы не передали код, то и волноваться не надо, а то что так нагло навязывают услугу им безразлично.

Сейчас пытаюсь раскопать к какой из партнерок привязан данный домен. Позже отпишусь.

P.S. Честно не искал на хабре о подобных схемах мошенничества, возможно уже писали ранее.
P.S.S. Многие ведутся на такой способ мошенничества. Так что будьте аккуратны сами и предупредите близких.
P.S.S.S. Резюме были размещены на HH.ru, SuperJob.ru и региональный сайт 59.ru
Выяснилось, что некоторым знакомым также звонили через некоторое время после размещения резюме.

UP: выяснил биллинг, описал суть. Будут разбираться.
UP2: теперь и мошеннические сайты в облаках
UP3: биллинг оказался не тот, но этот сайт ранее работал через них и был заблокирован. Ищем дальше.

UP4: Еще одна альтернатива развода: habrahabr.ru/blogs/infosecurity/134358/#comment_4460619

UP5: Началось кармаволнение :) Кому-то не нравится то о чем написано.
UP6: Хорошая заметка habrahabr.ru/blogs/infosecurity/134358/#comment_4461017
UP7: Написал регистратору домена.
По данной схеме мошенники могут работать с любой тематикой объявлений. Например, недвижимость, машины и т.д. Так что будьте внимательны и осторожны.
UP8: Сайт уже не открывается.
UP9: По ip также не открывает, скорее всего сработали в Селектеле.
Tags:
Hubs:
Total votes 225: ↑198 and ↓27 +171
Views 11K
Comments Comments 87