«Стильное» мошенничество

Недавно, просматривая мою новостную ленту в социальной сети «ВКонтакте», я обнаружил интересный статус у одного из моих друзей — «попробуй новые стили ВКонтакте». Статус содержал ссылку. Мне все это показалось странным, и я решил проверить, что же находится по URL.

Перейдя по ссылке, я оказался на сайте durov-stil.co.cc, где посетителям предлагалось выбрать «новый стиль» для оформления своей страницы на сайте ВКонтакте.

Фрагмент главной страницы сайта durov-stil.co.cc

Дизайн сайта был скопирован с сайта ВКонтакте, но его адрес начинался не с vkontakte.ru, а с совершенно постороннего домена, а все кнопки в левой части окна вели на одну и ту же страницу. Я решил разобраться, зачем кому-то понадобилась эта подделка.

Я выбрал одну из предлагаемых тем для оформления, и на экране сразу же появилось окно с предложением ввести логин и пароль от аккаунта социальной сети «ВКонтакте».

Фрагмент сайта durov-stil.co.cc с предложением авторизоваться

Естественно, я не собирался вводить свои персональные данные. Вместо этого я обратился к html-коду просматриваемой странички. Там я обнаружил текст, содержащий предложение отправить SMS на премиум-номер, чтобы подтвердить, что я «реальный человек, а не спамер».

Фрагмент HTML-кода просматриваемой страницы

Что же получит пользователь, который выполнит все требуемые действия? В результате анализа JavaScript я выяснил, что в итоге ему предложат скачать некий архив, называющийся “temi_vkontakte.zip”. Оказалось, что внутри содержится инструкция, как с помощью CSS (каскадных таблиц стилей) изменить оформление сайта.

Фрагмент инструкции по установке CSS для отдельного сайта

Мало того, что пользователь не получит возможность менять оформление сайта с помощью самого движка ВКонтакте, так он ещё и заплатит за то, что можно найти на других сайтах бесплатно. Этот обман аналогичен мошенничеству, описанному нами в январском обзоре. Только сейчас за деньги предлагается возможность изменить стиль оформления страницы на сайте социальной сети, а не скачать бесплатный браузер.

При этом злоумышленники получают часть денег за отправленную пользователем SMS и его персональные данные, которые могут быть использованы в зловредных целях например, чтобы выставлять нужные мошенникам статусы у тех, кто беспечно предоставил им доступ к своим аккаунтам.

В настоящее время сайт находится в «чёрном» списке и блокируется нашим антивирусом.