Внимание! Фишинговые SMS от мошеннического сайта Pochtaruss.net
Вчера один из пользователей gSconto задал вопрос о странной SMS:
всем привет)
Ночью пришла смс-ка такого содержания "628: посылка получена www.pochtaruss.net"
с номера +79922105788
как реагировать на это?
Но при переходе на сайт pochtaruss.net происходит перенаправление на страницу сайта Почты России о почтоматах. При всем при том, почтоматы есть далеко не везде, только в крупных городах. Да и многие из получателей вообще не ожидали никаких посылок в ближайшее время.
Сам же сайт pochtaruss.net, как выяснил Mikrall, зарегистрирован всего 2 недели назад на некоего Александра Фролова из Казани:
Domain Name: POCHTARUSS.NET
Registrar URL: www.publicdomainregistry.com
Updated Date: 12-Aug-2014
Creation Date: 12-Aug-2014
Domain Status: clientTransferProhibited
Registry Registrant ID: DI_38326330
Registrant Name: Alexandr Frolov
Registrant Organization: Private Person
Registrant Street: Lenina 12, kv 45
Registrant City: Kazan
Registrant State/Province:
Registrant Postal Code: 424000
Registrant Country: RU
Registrant Phone: +7.9819887633
Причем, судя по количеству сообщений от других пользователей, а также по количеству переходов из поисковиков по запросу "pochtaruss.com", рассылка этих SMS происходит в массовом порядке.
В общем выглядит подозрительно, очень смахивает на мошенничество, но в чем суть с первого взгляда - непонятно.
Но как раз массовость рассылки и сыграла на руку - очень много людей получили подобные SMS, в том числе и те, кто уже сталкивался с подобным - схема старая, нехитрая и уже не раз использовавшаяся. Недолгий поиск в Google подсказал, куда рыть дальше.
Оказывается эта ловушка рассчитана только на пользователей Android. Всех остальных заходящих фишинговый сайт молча перенаправляет на сайт Почты России.
Что же видят пользователи Android. Это можно проверить, даже не отходя от настольного компьютера. запускаем Google Chrome, кнопкой F12 открываем Developer Tools и шифруемся например под Samsung Galaxy Note:
Не закрывая Developer Tools переходим на www.pochtaruss.net и видим уже совсем другую страницу:
О. неужели нам и правда посылка?! Жмем на кнопку "Информация" и попадаем на сайт ru.androidbrowser.biz, который (вот оно!) предлагает нам обновить наш якобы устаревший браузер:
При прямом переходе на страницу ru.androidbrowser.biz вы ничего не увидите. Картинку выше можно увидеть только при переходе с pochtaruss.net
В общем, что и требовалось доказать - дошедших до этого этапа ждет загрузка зловредного apk с каким-нибудь трояном. Правда тут еще есть последний рубеж обороны - по умолчанию Android не дает загружать программы из непроверенных источников, так что перед установкой пользователю самому придется еще включить разрешение Security/Unknown sources в настройках телефона или планшета.
Правда на какую деятельность направлен этот троян я уже проверять не стал :-)) Но вот свеженький пример, где аналогичный (а возможно и тот же, но под другим соусом) троян был настроен на похищение денег клиентов Сбербанка посредством СМС-банкинга.
Так что будьте осторожны, обращайте внимание на всякие подозрительные вещи. Да и вообще, кто предупрежден, тот вооружен.
UPD: Хотя первоначальный сайт pochtaruss.net уже не работает, теперь мошенники рассылают SMS со ссылками на аналогичный сайт немного с другим адресом pochtarussa.net
Не забудьте поделиться ссылкой, чтобы как можно больше ваших родных и друзей знали об этой схеме мошенничества!
73 комментария
Спасибо огромное, очень во время, я тоже получил такое сообщение.
Респект за проделанную работу по Q&A на эту тему :-)
Не за что :-)
Я бы посоветовал еще в обязательном порядке установить на все андроид-устройства, что есть дома, антивирус. Даже бесплатный Dr.Web light в 99% случаев заблокирует установку зловредного apk.
А я перешла по этой ссылке и кажется загрузилось что то....что теперь делать подскажите?
Удалите из устройства sim-карту.
Установите на устройство антивирус. Хотя бы этот https://play.google.com/store/apps/details?id=com.drweb&hl=ru
После установки запустите полное сканирование. Если есть какой-то троян, то антивирус его найдет и удалит. После этого установите sim-карту на место.
Я в данный момент проверяю телефон пауком, но симку не вынимала, так можно? Уже пишет что есть 1 угроза, но проверка еще не закончена. Я в панике, вдруг уже поздно....карта сбера у мужа, а он в другом городе
В основном подобные трояны "славятся" тем, что отправляют смс на короткие номера и подписывают владельца на оказание каких-либо платных услуг. Вернуть деньги от оператора связи потом конечно же можно, но сделать это будет крайне проблематично. Поэтому я и посоветовал удалить сим-карту сразу же. Успел ли ваш тройн напакостить или нет, я естественно не знаю (это Вы потом в выписке по счету увидите). Но уж коли запустили проверку, то доведите ее до конца и удалите всю "нечисть" с устройства.
А вообще, лучше держать антивирус на телефоне/планшете с 3G постоянно. Обычно он блокирует установку нежелательных и подозрительных приложений.
Ладно если снимут деньги с телефона, а вот если до карты сбера доберутся, это уже печальней ((( Спасибо вам за ответ..
Мне тоже такая СМС-ка пришла, но по времени совпала, минута в минуту, с появление трека о доставке посылки в мое почтовое отделение. Это как понимать?
Больше чем уверен, что это случайное совпадение.
Хороший пост, явно 18 летний школьник создал все эти мошеннические манипуляции и записал все на свое имя. (ну или на бомжа с соседней помойки)
Интересно, откуда у них информация о заказах и номера телефонов покупателей?
Может это внутренний сотрудник решил подзаработать на пенсию?
Да тут не нужны номера телефонов именно покупателей. Нужны просто номера телефонов. Ну а они получаются элементарно. Вам ни разу смс-ки от компаний такси не приходили? ;)
Да точно, берут на любопытство. Либо приходит смс тем кто заказывает посылки(как мы), либо просто человек (который не заказывал ничего) побежит проверять.
....
А с номерами все верно, все продают и перепродают наши номера.
Друг позвонил в такси с моего номера, так уже через 4 часа мне стали приходить смс на номер с рекламой других такси (а симка была новая).
Сайт pochtaruss.net кстати уже не открывается. По крайней мере мне выдает ошибку 403 Forbidden. Видимо или прикрыли, или сам слился.
руки надо сломать за такую х...ю
Спасибо за информацию Мне сегодня ночью тоже пришло такое сообщение только номер тел другой +79584066675
Пришло аналогичное смс, но уже ссылка на другой адрес
351: Бланк на получение посылки: www.pochtarussa.net/?id=085
Пришло сегодня! 622: Акт о приходе посылки http:pochtarussa.net c 89922105792
Пришло аналогичное смс, ссылка на адрес www.pochtarussa.net/?id=3295
с номера +79048473053
Спасибо
Спасибо за помощь. тоже получила такую смс.
Спасибо! Сегодня тоже получил такую смс.
Спасибо а информацию
Пришла тоже такая смс, как раз ждала важные документы. Закачала и установила эту программу, в итоге никуда по ссылки не прошло. Проверила антивирусником нашло 3 угрозы, взяла и удалила их. После чего заблокоровался телефон требует ввести пин код. Помогите, подскажите что делать? Откуда взять пин код?
Интересно насколько слабы отделы К,что не могут пресечь мошенников из Казани
Далеко не факт, что кто-то вообще обращался в отдел К, как показал конкретный опыт по другим мошенникам https://www.gsconto.com/ru/blogs/post/643/Tinydeal.com.ru-moshennicheskii-klon-Tinydeal.com-istoriya-rassledovaniya даже пострадавшие и уже попавшие на деньги не очень то активны в защите своих интересов.
вероятнее всего - это они и занимаются этим, ибо сами себя ловить и наказывать не будут...
Пришла такая же СМСка, дошел по ссылке до скачивания файла и послал их лесом :)
А я вот попалась на эту уловку (((( сняли все деньги с карты, 12т.р. Причем сообщение "о посылке" пришло 5 сентября, после перестали приходить СМС со сбера, о выполненных операциях, особо не предала значения, думала сбой. А когда 17 сентября зашла на сбер онлайн, то оказалась карта пуста((( Куда теперь идти, что делать? Телефон проверили на вирус, 1 угроза была.
мне пришла такая смс с номера 89922105448.Акт о приходе посылки pochtarussa.net, правда мой андроид не открыл ссылку,у меня Касперский,да и планшет сам запрашивает обновления с плей маркета,поэтому не качаю херню с подозрительных сайтов.Берегите себя и спасибо за статью.
Мне тоже приходило смс такое, я сразу понял что это обманка, но у меня возник вопрос от куда номер мой взяли они....
А что ждет людей, рассылающих такие смс? Неужели снова: что хотят, то и делают во славу нового правительства воров? Это же один из методов держать население в постоянном напряжении БЕЗНАКАЗАННО!
"ФСБ взрывает Россию" - читали? Советую!
Сегодня с утра 34 смс-ки пришли. Все с разных номеров. Ссылка на www.pochtarusa.net/. Пока писала 35 пришла))
Спасибо за информацию, очень своевременно. Сегодня в обед пришло смс с ссылкой на www.pochtarusa.net/. Более того эти смс и сейчас приходят. интервал 10 мин. За 4 часа - 70 сообщений!!! и видимо, это не предел...Сил уже нет от них. Заезжала в офис МТС-разводят руками, не знают чем можно помочь(((. Если завтра будет время- пойду в полицию писать заявление, а вдруг! Рассылаются с разных номеров, но первые 6 цифр одинаковы 890099... вот.
+79009909345 - а номер-то какой красивый) и хотя не жду посылку - но все равно стало очень интересно, но вначале решила через поисковик проверить сайт www.pochtarusa.net )
Большое спасибо автору поста! Уже своих знакомых предупредила о подобном мошенничестве.
Спасибо, своевременно прояснили разум. Пока три СМСки с трех разных номеров одновременно, номера не помню, сразу удалил.
Сейчас тоже займусь информированием по этой теме.
пришло смс от мошенников с адресом pochtarusa.net
Сегодня такое же получил. Остановился на пункте по обновлению андроида...и правильно сделал, как оказалось.
И я получила такое сообщение,но меня это очень насторожило,поэтому решила почитать в интернете об этом!Хорошо,что нашла вашу статью!
Мне пришла ссылка на pochtarusso.net от номера +79009931051 с тем же текстом: "акт о приходе посылке". Будьте осторожнее!!!
Оч. крутая статья, спасибо автору за проделанную работу!!! Сама сегодня со своим Андроидом чуть не попалась))) а смс пришло с номера +79991041204
Вчера пришла такая же СМС с номера +78512317942 решил Гуглом поискать, ношел этот сайт. Посылку на почте не жду, но не исключен вариант утечки информации именно с почты. Ранее подавал объявления на Авито, 2-3 раза тоже приходили СМС от мошенников разного содержания. Будте бдительны и осторожны, проверяйте ссылки по которым предлагают пройти. Спешить в этом деле не надо. Всем удачи.
спасибо огромное, сегодня пришло 8 смс в одно время с этим бредом-www.pochtarusso.net якобы посылка- я их забанила.
Мне тоже приходило аналогичное смс с текстом "95: Извещение о посылке" , ссылка на адрес www.pochtarussa.net/?id=4178
с номера +79584069949.
Посылки никакой не ждал, поэтому послал их далеко, и не загружал ссылку
А как троян снимет деньги с карты, если номер карты и номер счета известен только мне???
С карты конечно не снимет. И что конкретно делает этот троян не известно. Но там в статье была ссылка на разбор другого трояна, распространяемого по аналогичной схеме. Тот зловред использовал смс-банкинг Сбербанка, т.е. отсылал якобы от вашего имени ему команды (далее цитата):
"Первым делом, сервер посылал команду rent&&&, чтобы получать все приходящие на устройство СМС-сообщения. Затем отправлялось сообщение ИНФО на номер 900 — номер мобильного банка Сбербанка. На сервер передавалась информация о картах клиента. Затем, сервер отправялял команду sent&&& с запросом баланса о каждой карте. Далее отправлялась команда либо на перевод денег на счет сбербанка (8000 рублей), либо на пополнение счета абонентам МТС (3000 рублей)."
Так что всё что ему надо было - пролезть в телефон клиента Сбербанка с подключенной услугой смс-банкинга.
Да много нас лохов в инете Thomas Woods g.Eschborm Hohenstrasse24 якобы отправил посылку после ряда писем пришло смс что посылка получена я оплатила курьерские расходы тех.поддержка на мою почту отправила смс --ждите 3-5 дней но я понимаю что обман!!!! Женщины бдите !!! Мошенники !!!!
2 декабря 2014 г. получил СМС с номера +79085352967 с текстом: "364:Акт о приходе посылки http://pochtarusso.net".
Спасибо автору и комментаторам за разъяснение, что к чему.
Спасибо большое за статью. Мне из Пензы такое смс прислали.Зашла на сайт и остановилась,где предлагают обновить якобы устаревший браузер. Я сразу от туда вышла. Надеюсь ничего не успела подхватить.
Спасибо за информацию!
Тоже пришла подобная смс. Теперь они называются уже www.pochtarusso.net. Я на нее даже купилась, потому что действительно жду посылку - журнал от зарубежного издательства.
Всё, как Вы описали - с компьютера перенаправляет на сайт Почты России, а с телефона на Android - такая же ерунда - требует обновления. К счастью, я быстро всё удалила и проверила Avast, вроде ничего не занесла.
Надеюсь, другие потенциальные жертвы будут более внимательными! Ещё раз спасибо за информацию!
Спасибо большое мы тоже получили только такую смску
Вчера получила такую смс-ку, сделала, как советовали в предыдущих коментариях, сканировала, при этом вынула сим карту, потом опять сканировала, но антивирус все равно пишет 1 угрозу, что делать дальше? подскажите?
Вот козлы, и мне прислали такое же СмС 3 дек., хорошо что через комп. решил на сайт заглянуть и Вы мне помогли с инфой про ети смс-ки. А номер такой9085358404. Спасибо Вам..!
pochtarusso.net - новый адрес разводиловки для регионов. Удачи и не попадайтесь! кстати где наши доблестные стражи порядка, если я "чайник" нашёл откуда и куда, то уж они то могли бы "пресечь" уродов!!!
Да воздастся тебе благом. Спасибо за труд.
70: акт о приходе посылки http://pochtaruso.net c +7-902-228-45-43
мне пришло на сайт pochtarossia.net. спешу сообщить (12,03,15) им не подфартило маленько- телефон у меня старенький, кнопачный) телефон +79023594959 юж, урал
Спасибо недавно тоже чуть не вляпался правда ссылка была pochtarossia.net
Почта России: Посылка получена www.pochtarossia.net вот ещё одна вредоносных ссылка
мне пришло тоже самое с +79023595139 ссылка на www.pochtarossia.net
аналогичное смс пришло с номера 79022284451
Мне сегодня 17 марта пришло информация о посылке на сайт www.pochtarossia.net/?id=52016. Спешу сообщить им не подфартило маленько - телефон у меня старенький, кнопачный. Телефон у мошенников СМАРТС
Республика Башкортостан, номер +7 ( 9 0 8 ) 3 5 9 –7 8 –1 2
Сегодня тоже пришло pochtarossia.net/?id=832 . Спасибо за предупреждения!!! Будьте осторожны!!!
Спасибо, за инфу.
1) Настоящая почта России шлет смс от RussianPost и не предлагает заходить на какие либо сайты....
2) В Казани уже лет .....ннадцать нет улицы Ленина...
3) Это ж каким надо быть дурнем, что бы симку привязанную к Сберу держать в смартфоне ? Рано или поздно найдется другой путь и деньги все равно утекут.
Я симку (привязанную к Сберу) держу в простом телефоне, он хоть и Бадафон, но на него фиг что снаружи установишь. Плюс у оператора запрещены контентные услуги и отправка СМС на короткие номера (900 действует). Также рекомендую номер 900 переименовать, например в Мой Сбер (у кого позволяет), нередко были случаи (не у меня) прихода СМС с номеров 9OO или 90О )))
На андроид есть только один вирус- это сам пользователь...
Пока сам не нажмешь кнопку "скачать","обновить", "отправить" и т.д. - ничего не произойдёт плохого...
А развести везде могут, к сожалению.
За инфу спасибо.
Спасибо за мулю F12 Samsung Galaxy Note
Аналогично СМС с предложением перейти на сайт wezens.net.
А мне пришла SMS "Л.В. поминяться не думаете? betwen.net с сайта." Я давала объявление давно на продажу квартиры. При заходе на этот сайт с компа, перебрасывает на avito. Думаю та же самая схема. Не попадитесь !!!!
Неужели кто то и правда ведется на такое?
А уменя не Андроид, а BADA и все равно прилетело письмо счастья. Удалил.
Спасибо за предупреждение.Такие же SMSки уже посылают на телефон POST_ТОВАР.Пишут,что ВЫ выиграли приз на 2,5 млн.руб.Сообщите код в течении 48 часов и приз ваш.Откуда берут только данные?Я по телефону никогда и ничего не заказывал.