Hodil som si to do Google Prekladača, podľa všetkého popis nejakého spôsobu, ktorým sa dajú v americkej lotérii vyhrať obrovské peniaze. Vraj absolútne nič nezákonné a dokonca etické....no, neviem, čo to akože má byť. Daný odkaz, čo mi poslali, som otestoval na Virustotal, výsledok:Hi,
GREETINGS!!!
Did you know that there are S.E.C.R.E.T patterns
that exist within every single draw game?...
Or that using them can allow you to W.I.N the
lottery multiple times per month, every month?
This CODE, if leaked, could demolish the
entire U.S. lotto industry.
Copy/Paste =>> hxxp://migre.me/swb8E
The good news is, this is completely honest and
ethical... Absolutely nothing illegal...
Regards,
P. Martin
https://www.virustotal.com/sk/url/1ce0b ... 452343853/
Podľa Dr. Web ide o infikovanú stránku, CLEAN MX to identifikuje ako podozrivú stránku. Hneď som znefunkčnil odkaz v citácii, aby na to nejaký neborák neklikol.
Zaujímavosťou je, že podpísaný je nejaký P.Martin. E-mail pri tom prišiel z e-mailovej adresy nejakého pána Sancheza. Čo si o tom myslíte? Tipujem to na hoax, navádzanie k podvodom a navyše posielanie odkazu na infikovanú stránku. Pokiaľ je to tak, tak to zaraďte do databázy hoaxov, aby na to nejaký neborák neskočil a netvoril ten infikovaný odkaz. Oba e-maily som, samozrejme, okamžite vymazal.
EDIT: Odosielateľ použil krycí server Migre.me. Trochu som si o tej službe niečo zistil. Služba je písaná v španielčine, avšak koncovka .me, je podľa Wikipédie národná dómena štátu Čierna Hora. Pozrel som si jazyky, používané v Čiernej Hore, sú to: srbčina, gegská albánčina, bosniančina, chorvátčina. Ale žiadna španielčina. Samozrejme, to sú len oficiálne jazyky. Podľa jazykovej štruktúry sú najpoužívanejšie jazyky v Čiernej Hore tieto: srbčina, čiernohorčina, bosniančina, albánčina, srbochorvátčina, rómčina, nejaký zvláštny bosniansky dialekt a chorvátčina. Samozrejme, podľa Wikipédie 5,65 % obyvateľov Čiernej Hory rozpráva inými jazykmi. V tabuľke etnických štruktúr som Španielov takisto nenašiel. Podľa mňa po španielsky hovorí v Čiernej Hore iba málo ľudí.
A voilá! Hodil som to do Google Prekladača ako rozpoznať jazyk a nie je to španielčina, ale portugalčina! To som si mohol myslieť! Problémom je, že ani portugalčina nie je v Čiernej Hore rozšírená. Samozrejme, že som si španielčinu s portugalčinou pomýlil. Sú to podobné jazyky. Podobný omyl sa stal Jacquesovi Paganelovi v Deťoch kapitána Granta. Takže rekapitulácia, čo si môžeme o strojcovi nášho hoaxu domyslieť. Podľa všetkého ide o Portugalca. Inak by asi nevedel prečítať text na Migre.me. A každý človek radšej využíva stránku s domovským jazykom, ako s nejakým iným. To, čo mi však nejde do hlavy je, prečo je portugalská stránka na čiernohorskej dómene. A je trochu zvláštne, že náš tajomný pán Sanchez používa čiernohorskú dómenu, pritom je Portugalec. Trochu zvláštne, nemyslíte?
EDIT: Na Virustotal som zistil IP adresu, ktorá registrovala tú stránku. Podľa Geolocate ide o dynamickú IP, registrovanú u spoločnosti UOL Cloud Computing. V Južnej Amerike, v Brazílii. To som si mohol myslieť. Portugalčina je v Brazílii úradný jazyk a aj najrozšírenejší - podľa Wikipédie hovoria skoro všetci Brazílčania po portugalsky. Inak Geolocate označil aj mesto, Sao Paulo, ale tam som si nie celkom istý, či tomu môžem dôverovať. Jedno je isté: za týmto podvodom určite nestojí žiadny P. Martin. Stojí za ním tajomný Brazílčan Sanchez, hovoriaci po portugalsky, ktorý využíva čiernohorskú dómenu na skrytie http://www.adresy svojej infikovanej stránky! Je možné, že náš tajomný Sanchez býva v Sao Paule, najväčšom brazílskom meste. Viete čo, overím si tú IP aj na iných serveroch. Možno sa dopátram aj k tomu, v ktorom brazílskom meste Sanchez býva.
Možno už mám aj adresu. LACNIC, register juhoamerických IP adries, označil mesto Sao Paulo aj presnú adresu! Link:
http://rdap.lacnic.net/rdap-web/ip?key=200.98.131.46
Aha, tak zrejme planý poplach. Asi ide len o adresu firmy, ktorá Sanchezovi zaregistrovala IP. Mám však dôvod si myslieť, že Sanchez býva v Sao Paule. Pochybujem, že by tá sieť siahala po celej Brazílii. Sao Paulo je strašne veľké mesto. Pokojne to mohlo siahať len po hranice Sao Paula a stále je to veľká sieť. Neviete niekto, či daná sieť siaha aj do iných juhobrazílskych miest, napríklad Rio de Janeiro? Podotýkam, juhobrazílskych, na severe Brazílie je len Amazonský dažďový prales. Zaujímavé však je, že LACNIC identifikuje server, na ktorom IP hosťuje, ako Universo Online. Geolocate to identifikuje inak. Takže si zhrňme doterajšie informácie:
E-mail poslal pán Sanchez, Brazílčan, obyvateľ najväčšieho brazílskeho mesta Sao Paulo. Hovorí po portugalsky. Na krytie linkov používa zvláštny server zrejme čiernohorského typu, ktorý však hovorí po portugalsky.
Práve mi napadlo, že ten e-mail je v angličtine. Sanchez ako portugalsky hovoriaci Brazílčan ho určite musel preložiť. Zvláštne, že použil taký dobrý preklad. Sanchez je zvláštny človek. Čo o ňom ešte môžeme zistiť?
EDIT: Nové stopy! Zdá sa, že sme boli na zlej stope. Hodil som si text e-mailu do Googlu a vypľulo mi to niekoľko odkazov v angličtine.
https://blog.korumail.com/phishing/como ... ng-attack/
V e-maile tam je podpísaná nejaká Amanda. Ja som tam mal P.Martina. Obe mená sú falošné, o tom niet pochýb. Ďalej sa v článku píše, ako vyzerala URL adresa bez masky. Zaujímavé je to, že takisto ide o stránku na čiernohorskej dómene. Keď som si ale pozrel vonkajší výzor URL, bolo to iné, ako to prvé URL.
https://www.virustotal.com/sk/url/0b4d6 ... 452364402/
Ako infikovanú stránku to identifikuje len Dr. Web. Čo je zvláštne, je to, že je tam rovnaká IP adresa. Stránka je síce na čiernohorskej dómene, no je registrovaná v meste Cebu vo Filipínach. Veľmi zaujímavé. Google Mapy mi poskytli údaj, že Cebu nie je mesto, ale jeden z ostrovov vo Filipínach. Ďalšie v údaje v logu mi poskytli detailnejšie informácie. Stopy vedú do mesta Liloan, konkrétne do malej mestskej štvrte San Vicente. Podľa fotografií ide o mestskú štvrť vo vidieckom štýle (činžiaky tam nie sú žiadne). Je tam pomerne bujná vegetácia a tropické, vlhké podnebie. Myslím si, že je nutné zistiť, kto na tom ostrove žije - aký národ.
Podľa anglickej Wikipédie je tam najviac rozšírená takzvaná cebuánština. Sú tam rôzne ázijské národy, ale nič čo sa, podobá španielčine.
Nuž, a teraz si zhromaždíme fakty a zamyslíme sa. Myslím si, že nejaký primitívny obyvateľ Filipín by takýto podvod nedokázal vymyslieť. Mám dojem, že Filipíny sú iba zásterka. Na Filipínach strojca podvodu určite nie je. E-mail však prišiel z inej adresy. Je takisto podivné, že celá stránka je na čiernohorskej dómene. Sú tu tri možnosti:
PRVÁ ALTERNATÍVA: Sanchez je iba obeť. Rovnako tak aj človek, ktorý poslal ten druhý e-mail. Reálny strojca podvodu nie je ani jeden, ani druhý. Sanchez naletel a posiela e-mail ďalej.
DRUHÁ ALTERNATÍVA: Sanchez a muž z Filipín sú spojenci. Táto alternatíva je nepravdepodobná - že by sa spojili dvaja ľudia z opačných koncov zemegule?
TRETIA ALTERNATÍVA: Niekto má veľké množstvo e-mailov a posiela správy sám.
Čo sa mi nepáči, je však tá infikovaná stránka. Smeruje to do troch krajín. Podľa analýzy zo stránky, ktorú som uviedol, ide o filipínsku stránku. Podľa mojich analýz ide o brazílsku stránku. Je to pritom na čiernohorskej dómene. Je podozrivé, že brazílska dómena pripomína meno Sanchez. Akú úlohu má Sanchez v tomto rozsiahlom podvode?
Je toho na mňa veľa. Čo si o tom myslíte? Tak rozsiahlo vykonštruovaný podvod som ešte nevidel.
EDIT: Takže, opäť sme o krôčik ďalej! Brazília bola falošná stopa. Keď sme totiž išli po stope toho linku, šli sme po stope masky, a to Migre.me! Zistil som to, keď som si do Virustotalu hodil hlavnú stránku Migre.me. Chcel som totiž prísť na to, prečo človek, ktorý založil Migre.me, hovorí po portugalsky, a pritom je stránka z Čiernej Hory. Podľa IP som chcel zistiť adresu. Nuž - vyzerá to tak, že zakladateľ Migre.me je Brazílčan, ktorý si stránku z neznámych príčin založil na čiernohorskej dómene. Tento Brazílčan je ale falošná stopa. Myslel som si, že je to Sanchez, ale nie je! Ten Brazílčan - to je iba maska! Celý server Migre.me je totiž maska! Hlavná stránka má totožnú IP so zamaskovanou stránkou, po ktorej ideme! Keď si do Virustotalu hodíme pravú adresu stránky, zistíme, že tu je síce IP neidentifikovateľná, ale pravdepodobne ide o úplne inú IP - o tú z Filipín! Teraz je tu už iba jediná záhada - akú úlohu v prípade hrá Čierna Hora? Stránka LottoCrusher, má síce IP vo Filipínach, ale je na čiernohorskej dómene. Myslím si však, že Čierna Hora je iba zásterka a človek, ktorý toto všetko naplánoval, sídli na Filipínach. Možné je však aj to, že je to Čiernohorec, ktorý má IP zaregistrovanú niekde na Filipínach. Je totiž podozrivé, že náš človek narazil na server Migre.me. Ja si však myslím toto: jedného z tých chudobných vidiečanov, ktorí žijú na Filipínach, už prestalo baviť rybárčenie, alebo čo tam na Filipínach robia, z tej horúčavy mu preplo a začal rozosielať tieto spamy. Ostáva už iba jedna otázka: čo s tým má Sanchez? Je Sanchez komplic, ďalšia obeť, alebo žiadny Sanchez neexistuje a je to umelo vytvorený e-mail tým Filipínčanom? Ja si myslím, že nejaký opálený Filipínčan, hovoriaci cebuánštinou, by sa sotva dokázal spojiť so Španielom Sanchezom. Jazyková bariéra je veľká prekážka. Čo je podozrivé, je to, že v niektorých e-mailoch sa pisateľ podpisuje ako Amanda, a Sanchez sa podpisuje ako P.Martin. Myslím si, že Sanchez je iba ďalšia obeť. Ľahkovážny, sprostý, ale veselý Španiel, ktorý naozaj naletel na to, že je možné položiť na kolená americkú lotériu pomocou nejakých podvodov. Sanchez nevedomky pomáha nášmu Filipínčanovi (pre lepšiu orientáciu ho nazveme Pán F) a spoločne s portugalským serverom Migre.me vytvára ilúziu, že e-mail reálne rozosiela nejaký Brazílčan menom Sanchez.