Princip podvodného volání na číslo 900 609 907 u poškozeného

Upozornění redakce DigiWeb.cz - následující popis pochází od jedné z obětí podvodného Adult Dialeru a shoduje se s anylýzami, které DigiWeb.cz provedl vlastními silami (vzorek podvodného Adult Dialeru má k dispozici pod zcela jiným názvem). Následující popis nebyl nijak měněn ani opravován. Pokud jste se stali obětí tohoto nebo podobného programu (či aktivity), DigiWeb.cz může zprostředkovat kontakt s dalšími postiženými, kteří podávají trestní oznámení - v takovém případě nás kontaktujte na digiweb@ihned.cz a uveďte co nejvíce detailů o svém případu.

Hlavní podvodný program je malý spustitelný program vytvořený v Borland C++. Jméno bylo vytvořeno s využitím vlastnosti dlouhých jmen souborů v systému WINDOWS, tozn. začátek jména souboru je nic neříkající směs 10 čísel a znaků, pak je 14 mezer a teprve pak vlastní logické jméno ve tvaru ShowPostcard. Vyhledání tohoto programu v počítači podle jména je tímto znesnadněno, protože ve většině oken na obrazovce se zobrazí jen první část nic neříkajícího jména a několik mezer:

„0O2e54ab4c ShowPostcard.exe“

Program se při prvním spuštění zapíše do registrů systému WINDOWS a tím se usadí v systému, dále okamžitě zruší aktuální připojení k internetu a vzápětí připojení znovu obnoví příkazem ATDT, ovšem nepoužije číslo výchozího poskytovatele, ale vytočí číslo Žluté linky 900 609 907. Aby zmátl uživatele, na obrazovku v průběhu připojování vypíše oznam: „Otevírám stránku, prosím čekej,“

Tato činnost je patrná pouhým nahlédnutím do spustitelného kódu programu (výřez z kódu):

ZeroDialClass·Űö·BTATIC »tneÉExŰżÝÚplĽ ovírá st nŰ˙Vâku,7sím čekej.n­űo msctls_g1L32ďţ
ĂM 3.165.88$odem˛…… d * 90060 ˙ů¶97 56 MS S\sB[xk }if [e1Zk{Ł¶://O25)Űa»/webcam ip!w

Dojde-li v budoucnosti k připojení na internet s využitím služeb libovolného poskytovatele, program okamžitě zaktivuje svoji činnost, zruší právě navázané připojení k internetu a připojí se na „své“ číslo 900 609 907. Tímto stylem může program páchat škodu až do svého odhalení nebo do doby své samodestrukce, což ale nelze zjistit z kódu programu bez jeho zpětné dekompilace.

Internetová prezentace:

Byla vytvořena podvodná stránka v kódu HTML a byla publikována v síti internet na adresách:

• http://www.impeko.cz/postcards/?action=get_postcard&id=zc3fx4tj
• http://eve.bohemia.net/?type=0E&action=get_postcard&id=zc3fx4tj

Cizím osobám byla zaslána na jejich e-mailovou adresu zpráva s klamavým obsahem, text zprávy:

Byla Vám zaslána pohlednice (malý náhled obrázku – odkaz na stránku viz výše), vyzvedněte si ji zde (stejný odkaz na stránku – viz výše), pokud si pohlednici do dvou týdnů nevyzvednete, bude vymazána

Kliknutím na náhled obrázku nebo na adresu k vyzvednutí pohlednice dojde k aktivaci podvodného programu a uživatel je vyzván k otevření daného programu, kterým bude mít možnost prohlídnout si pohlednici – což má ale za následek připojení počítače na číslo Žluté linky.

Celá prezentace byla vytvořena s jasným úmyslem podvodu, oklamání uživatele a získání peněz, byly použity jednoduché metody, jak co nejvíc zakrýt vlastní podvodnou činnost a tím oklamat.

Použité metody k oklamání uživatele:

1) Emailová zpráva vypadala jako zpráva registrovaného uživatele (neexistující vymyšlené jméno – František Horáček).

2) Internetová prezentace byla vytvořena s úmyslem poškodit uživatele, neobsahuje totiž nic jiného.

3) Logo stránek je graficky vyvedeno jako server pro zasílání pohlednic - v dnešní době často využívané služby.

4) Pohlednice byla zaslána za účelem aktivace podvodného programu a jeho nahrání na počítač uživatele.

5) Podvodně skryté jméno programu pro znesnadnění jeho nalezení v případě jeho vyhledávání podle jména.

6) Klamavé pojmenování programu jako SHOWPOSTCARD (překlad z angličtiny: Prohlížení pohlednice).

7) Místo prohlížení pohlednice je bez vědomí uživatele stažen ze sítě a aktivován na jeho počítači podvodný program.

8) Použité speciální prvky HTML kódu NO CACHE (neukládat) běžně nepoužívané, jsou zde použité pro zákaz zápisu informací na disk uživatele:

meta http-equiv="Pragma" Content="no-cache"
meta http-equiv="Cache-Control" Content="no-cache"

9) Použité speciální prvky HTML kódu HIDDEN (skrýt) běžně nepoužívané, jsou zde použité pro zákaz zobrazení informací na monitoru uživatele:

input type="hidden" name="referer" value="http://eve.bohemia.net/?type=0E&action=get_postcard&id=zc3fx4tj"

10) Použité speciální prvky HTML kódu EXPIRES (doba platnosti) běžně nepoužívané, jsou zde použité pro výmaz informací z disku uživatele po uplynutí zadané doby (zde nesmyslný rok 1900, tedy okamžitý výmaz):

meta http-equiv="Expires" Content="Fri, Jan 01 1900 00:00:00 GMT"

11) Použité speciální prvky HTML kódu REFRESH (obnovit) běžně používané s časovou prodlevou a upozorněním uživatele pro přesměrování na jiné stránky z důvodu přestavby serveru, poruchy, změny hardware nebo software apod., zde použito pro okamžité (prodleva 0 vteřin) přesměrování uživatele bez jeho vědomí na stránky s podvodným obsahem:

meta http-equiv="Refresh" Content="0; Url=http://www.impeko.cz/postcards/?action=get_postcard&id=zc3fx4tj"

12) Snaha zakrýt a odpoutat pozornost uživatele v okamžiku aktivace programu a změně připojení na Žlutou linku.

13) Uživatel není informován o změně připojení ani o tom, že cena tarifu nového připojení bude mnohonásobně vyšší.

14) Aktivace podvodného programu je skrytě nabízená jako prohlídnutí zaslané pohlednice.

15) Žlutá linka běžně slouží jako klasická telefonní linka pro poradenství, pro charitativní účely apod., linka s číslem 900 609 907 byla ale vytvořena jako modemové připojení s cílem simulovat připojení do internetu. Žlutá linka byla zaregistrována jako nejdražší typ s cílem získat co největší obnos peněz od oklamaných uživatelů.

16) Na adrese http://www.impeko.cz je záměrně prezentována stránka s upozorněním na zastavení serveru:

Impeko Free Hosting Server
Omluvte prosím dočasné odstavení služby.

ale odkaz na podvodnou stránku na tomto serveru přesně specifikovaný v odkazech zasílaných e-mailem

http://www.impeko.cz/postcards/?action=get_postcard&id=zc3fx4tj

byl dlouhou dobu neustále funkční (možná, že s jiným id dodnes stále funguje). Upozornění o odstavení služby mělo za cíl zmást ty uživatele, kteří začali pátrat po příčinách, aby nabyli dojmu, že server už nefunguje a nebezpečí podvodného připojení tak nehrozí.