Dnes ráno mi z neznámého čísla přišla SMS s českým textem bez diakritiky o tom, že pro mě má někdo nějaký článek o semenech. Na konci SMS byl pomocí zkracovače URL adres Bit.ly uvedený odkaz. Pojďme se podívat na to, co je to za divnou SMS a proč radši je lepší hned takovou zprávu označit v mobilu jako SPAM a dát na blacklist.
Jelikož programuji v PHP a již z dřívějška vím, že zkracovač Bit.ly vrací hlavičku 301 s cílovou URL. Nebyl tedy problém bezpečným způsobem zjistit skrytou cílovou URL adresu. V mém případě adresa b i t . l y / 2 . . . . . H vracela adresu v . . . . . . . k . c z / kn / Samotná adresa už sama o sobě ukazuje, že něco není úplně v pořádku. Očekával bych jinou, třeba o semenech a ne něco s takhle divným názvem, ale co, mobilní telefon URL rád skrývá, takže je to vlastně šumák. Zvědavost mi nedala a tak jsem přes službu Web Archiv zjistil jak web vypadá a na co se připravit. URL v . . . . . . k . cz odhalila formulář, který jasně ukazuje, že obsah není zcela košér. Jedná se o klasický formulář, který vás láká na účast v soutěži o mobil. Chtěl jsem se na to podívat detailněji, takže jsem ve Firefoxu natvrdo vypnul Javascript, zakázal přesměrovávání a mrkl se na web. Zdrojový kód webové stránky vypadal „bezpečně“, takže se asi jedná jen o nějakou formu affilu, protože je na stránce zaškrtávátko s nabídnou nějakých služeb a pak také na stránce se souhlasem pro zpracování osobních údajů jsou vyjmenované firmy, které získají informace, které jste do formuláře zadali (někdy je ta EU přeci jen k něčemu dobrá).
Jak to funguje? V tomto případě zadané informace do formuláře jsou předány jako kontakt uvedených společnostem. Ti vás pak kontaktují a pokud s vámi domluví nějaký kšeft, dostane provozovatel tohoto webu za vás provizi. Vzhledem k téměř nulovému počtu zpětných odkazů na web, usuzuji, že je návštěvnost kupována přes Adsense, případně Sklik.
Následně jsem tedy koukl na celou URL adresu (i s kn) a ta mi odhalila HTML tag iframe, který načítá obsah cizího magazínu vytvořeného ve WordPressu patřící nějakému zahradnictví (to samo má na Heuréce dobré hodnocení, takže je to normální funkční e-shop). Ať už se ve výsledku jedná o jakoukoliv snahu, nevypadá to na nějaký virus. Dokonce si myslím, že je v kódu pár divných „asi chyb“, protože nastavovat iframe z-index: 999999, když nic jiného před iframe není, je divné, ale třeba se pletu. Pravděpodobně se jedná o snahu o shánění nových zákazníků, protože se do cookies ukládá refferer s landingPage již zmíněné URL, samotný affil. kód jsem nikde nenašel.
Závěr: Nikdy na žádné odkazy z cizích čísel netapujte ani neklikejte. V tomto případě se jedná o tzv. smishing, což je další stupidní označení pro nevyžádané zprávy posílané přes SMS.