امنیت

پشت‌پرده‌ی اسپم در تلگرام

در ادامه دو نوشته‌ی قبلی و افشای هویت کسانی که امنیت کاربران فارسی زبان رو به خطر می‌اندازند، علیرضا یک اسپم در تلگرام رو برام فروارد کرد با این توضیح: «امروز توی یه گروه پرایویت تلگرام اد و رمو شدم تا پیام تبلیغاتیشون رو به خوردم بدن. با استفاده از این روش امکان ریپورت و بلاک هم نیست. دوست داشتم پیام رو برات ارسال کنم شاید دوست داشتی همون روند شناسایی رو در موردشون پیش بگیری»

پاسخم کوتاه بود و جان‌افزا: چرا که نه 🙂

اسپم در تلگرام

متن اسپم در یافتی رو در تصویر زیر می‌بینید.

اسپم در تلگرام

مجددا با تبلیغ هک تلگرام طرفیم. این‌روزها همه راهی آسان و از راه دور برای هک تلگرام دارند.

بررسی دامنه‌ها

برای شروع از دامنه download110.ir شروع می‌کنیم. مشخصات ثبت کننده دامنه اینه:

download110

مدیر دامنه «رسول موسی‌زاده» با ایمیل groupbaran@yahoo.com و هندل rm1902-irnic است. با این هندل، دامنه ccnew.ir هم ثبت شده است. بعد خواهیم دید که این هویت به احتمال بسیار زیاد جعلیه.

جالب اینجاست که سرور این سایت هک شده و مدیر سایت اونقدر براش مهم نبوده که درستش کنه.

hacked

 با این ایمیل یک اکانت در فیسبوک وجود داره به اسم Irhotn IR  که مشخصا آدرس یک سایته.

groupbaran - facebook (irhotn.ir)

ثبت کننده این دامنه آقای Arash Ebrahimpour با domain@friend.ir است.

irhotn

اجازه بدید برای منحرف نشدن از مسیر اصلی، برگردیم به سایت download110.ir و بررسی رو از اونجا ادامه بدیم. در انتهای صفحه و برای پشتیبانی فروش، یک ایمیل اعلام شده:

online2

با جستجوی این ایمیل به یک دامنه دیگه می‌رسیم: telegram-hack.com

online.pohstibani

در صفحه download110 هم عکسی با همین نام استفاده شده که ارتباط دو دامنه رو بیشتر می‌کنه:

telegram-hack

دامنه telegram-hack رو آقای pouya sheidaei  با ایمیل kazemoo123@gmail.com ثبت کردند. بعدا به اسم «کاظمو» اشاره خواهم کرد.

telegram-hack-whois

به NS های این دامنه و NS های دامنه download110 دقت کنید که مشابه بوده و از NS1.google1love.com و NS2.google1love.com استفاده شده. این NS ها رو مجددا خواهیم دید.

با جستجو در مورد آقای پویا شیدایی متوجه می‌شیم که دامنه zipzip.ir با این مشخصات ثبت شده.

zipzip-new

مجددا همون NS ها و این بار ایمیل pouya.java@gmail.com که با این ایمیل یک اکانت فیسبوک به اسم «سونیا زارعی» ساخته شده.

facebook

اکانت مشخصا تقلبی است و فقط برای انتشار مطالب سایت‌های زنجیره‌ای ساخته شده.

facebook2

سایت‌هایی که لینکشون رو گذاشته iranhotnews.ir است. شباهت با دامنه irhotn.ir که قبلا بهش اشاره شد رو ببینید.

جایی احتمالا به اشتباه تصویری شخصی رو منتشر کرده با توضیح «خانم گلم»:

khan9m

آقای پویا شیدایی که هم از ایمیل kazemoo123@gmail.com استفاده کردند برای ثبت دامنه و هم از ایمیل pouya.java@gmail.com ، یک اپ هم توی کافه‌بازار داره به اسم خواب عمیق. در توضیحات این اپ، یکی از منابع رو irhotn.ir گذاشته که قبلا دیدیم با ایمیل آقای رسول موسی‌زاده اکانت فیسبوکش ساخته شده بود.خواب عمیق

 ایشون در اکانت فیسبوکش (https://www.facebook.com/pouya.sheidaei.9/about) دو تا صفحه رو لایک کرده که یکیش «عکس‌های کمیاب» است. حالا نگاه کنیم به اطلاعات این صفحه:

facebook3

همونطور که می بینید این صحفه، مطالب سایت iranhotnews.ir رو منتشر می‌کنه که قبلا دیدیم اکانت دیگه ایشون به اسم «سونیا زارعی» مطالبش رو منتشر می‌کرد.

در تصویر زیر می‌بینید که دامنه کذایی google1love.com، که برای NS اکثر دامنه‌هایی که اسم بردیم استفاده شده، مال ایشونه.

pouya sheidaei

ایشون همچنین سایت‌های nazgoli.ir  و pelak52.ir رو ثبت کرده.

nazgoli

با چک کردن IP سرور سایت nazgoli.ir می بینیم که همه دامنه‌هایی که صحبت کردیم روی این سرور میزبانی می‌شن.

sameIP

البته یک مهمان جدید داریم. دامنه pelak53.ir که بسیار شبیه به دامنه pelak52.ir است که پویا شیدایی ثبت کرده بود. مشخصات ثبت کننده دامنه رو ببینید.

Pelak53

آقای کاظم صالحی با ایمیل online.poshtiban@gmail.com به جمع افراد پشت‌پرده‌ی این اسپم‌ها اضافه شد. خاطرتون هست که گفتم مجددا به اسم کاظمو برمی‌گردیم. در گویش جنوبی، کاظم رو کاظمو صدا می‌زنن. ایمیلی که پویا شیدایی برای ثبت telegram-hack ازش استفاده کرده kazemoo123@gmail.com است.

با بررسی بیشتر متوجه می‌شیم که کاظم صالحی دامنه footballjavan.ir رو ثبت کرده.

Footballjavan-nic

استفاده از دامنه google1love.com متعلق به پویا صالحی (کاظمو) رو به عنوان NS می‌بینید. ناگفته نمونه که گوگل هم دامنه فوتبال جوان رو با ایمیل kazemoo123 مرتبط می‌دونه 🙂

kazemoo-football

کاظمو هم یک اکانت فیسبوک به اسم «مهندس پریزاده علی‌زاده» داره.

kazemoo-facebook

با جستجوی ایمیل online.poshtiban (به شباهت بسیار زیاد با online.poshtibani که در بالا اشاره کردم دقت کنید) به نتایج جالبی می‌رسیم.

اول اینکه این ایمیل، پشتیبان چند سایت فروش فیلم‌های آموزش مسایل جنسی است.

online1

در یکی از این سایت‌ها شماره تلفن هم گذاشته شده:

online.poshtiban - tel

با جستجوی این شماره تلفن که شماره آقای کاظم صالحی است، به این سایت می‌رسیم:

09358334377

سایتی که متعلق به آقای پویا شیدایی است.

تا اینجا با هویت‌های مختلفی آشنا شدیم که هر کدوم هم اکانت قیسبوک متفاوتی داشتند و از ایمیل‌های همدیگه برای کارهای مختلف استفاده می‌کردند. با این شواهد به نظر می‌رسه تمامی اسامی گفته شده تا کنون، اسامی تقلبی باشند برای پنهان کردن هویت نفر پشت‌پرده‌ی اسپم در تلگرام.

پشت‌پرده‌ی اسپم در تلگرام

آخرین دامنه‌ای که در جاهای مختلف دیده شد و هنوز بررسی نشده  iranhotnews.ir است. این دامنه رو چه کسی ثبت کرده؟

Iranhotnews.ir - rastegar

آقای حجت‌الله رستگار از بوشهر با ایمیل harajiharaji@yahoo.com این دامنه رو ثبت کردند و البته بعدا اطلاعات whois رو تفییر دادند.

با این ایمیل، دامنه‌های دیگه‌ای هم ثبت شده:

haraji-website

پیش از این اسم «عکس‌های کمیاب» رو روی صفحه قیسبوک iranhotnews.ir دیده بودیم، یکی از دو صفحه‌ای که پویا شیدایی لایک کرده بود. سایت kamyabpic.ir هم از اون سایت‌هایی است که اطلاعات whois اش تغییر کرده. الان همچنان دامنه به اسم آقای حجت‌الله رستگار است اما با ایمیل rastegar.poshtiban@gmail.com که مجددا شباهت زیادی با online.poshtiban@gmail.com و online.poshtibani@gmail.com داره.

KaMyAbPic

با جستجوی این ایمیل جدید، به ایمیل‌های قدیمی آقای رستگار می‌رسیم که در گروه‌های یاهو ارسال کرده‌اند.

rastegar - yahoo

و با نگاهی به صفحه فیسبوک ایشون (که خلاف هویت‌های احتمالا تقلبی پیشین، با اسم خودش ساخته شده) می‌بینیم که صفحه‌های فیسبوکی که قبلا ازشون اسم بردیم رو هم لایک کرده.

Hojat Rastegar - facebook

به نظر می‌رسه به نفر اصلی رسیدیم. همه اشاره‌ها به سمت ایشونه. هویتش واقعی به نظر می‌رسه و چندین مورد هم مشاهده شد که اطلاعات دامنه‌های ثبت شده‌اش رو تفییر داده که هویتش محفوظ بمونه.

کار ایشون، در کنار ارسال اسپم که از بین بردن حق کاربران تلگرامه، تبلیغ روش‌های ساده هک اپلیکیشن‌های پیام‌رسانه. هرچند که این تبلیغ‌ها اون چیزی که ادعا می‌کنند نیستند و فقط روش دیگه‌ای از کلاه‌برداریه اما خبرشون باعث ایجاد ترس و نگرانی در کاربران فارسی زبان شده.

وظیقه خودم دونستم که این بررسی رو انجام بدم و پیشنهاد می‌کنم که اگر کسی از این تبلیغ‌ها متضرر شده، با داشتن این اطلاعات به مراجع قانونی بره و پیگیری کنه.

پ ن: این پست موقته. در صورتیکه ایشون ذفاع قابل قبولی بفرستند که نشان‌دهده اشتباه من باشه و یا تلاش کنند برای پاک کردن سایت‌های تبلیغی و عدم ارسال اسپم، پست رو حذف می‌کنم

Standard

40 thoughts on “پشت‌پرده‌ی اسپم در تلگرام

    • Sosha says:

      عزیزم ایشون واسه راحتی منو تو داره این کارو انجام میده. این چه طرز حرف زدنه؟

      همین جاهلیت ۴تا مثل شما باعث میشه افرادی کلاه بردار مثل این شخص که در بالا گفته شد پیدا شن.

      تشکر نمی کنید حداقل به احترام نویسنده پست، حرف مسخره نزنید!

  1. مهدی says:

    روش کارت جالبه
    جالبه اینجاست که برای دامنه هایی که کلمه news داشته باشن باید مجوز داشته باشی از ارشاد!
    چه خبره تواین مملکت

  2. اشکان says:

    آفرین به کارت ادامه بده
    من زیاد کامنت نمی ذارم ولی اینجا خواستم کامنت بذارم
    تا بهت بگم کارِت ارزش داره و ادامه بده
    اینجور افراد ممکنه دیر یا زود به وبلاگت حمله کنن و اسپم بذارن ولی نا امید نشو داداش چون منبع درامدِ کثیفشون هدف قرار گرفته
    اینا واقعا شورشو در آوردن و وقتشه فکری به حالشون بشه
    فقط ای کاش این اطلاعات ارزشمند خودت رو مستند کنی و برسونی به دست اونی که باید به دستش برسه!
    بازم ممنون و با آرزوی سلامتی و پیروزی
    از طرف یکی از میلیون ها کاربر تلگرام.که واقعا از دست این مزاحم ها خسته شدن

    • ممنون اشکان عزیز
      من اطلاعاتی که لازم بوده رو گذاشتم. چون خودم مستقیما متضرر نشدم، نمی‌تونم شکایت بکنم. امیدوارم کار دیگران راه بیافته اگر به این اطلاعات نیاز داشتند.
      متاسفانه روند عادی فعالیت تجاری، با اسپم کردن گره خورده.

  3. شروین says:

    بسیار بسیار جالب و عالی… خسته نباشی… من بالای ۱۰ سال وبگردی می کنم و هیچوقت هیچوقت جایی نظر ثبت نمی کنم اما دلم نیامد زحمات جالب شما رو دیدم ازت تشکر نکنم. اگه چند بار دست این اسپمر ها رو بشه دیگه این بساط کم کم تعطیل میشه.

  4. اهورا فتحی says:

    اقا دمت گرم خیلی کارت خوب بود ، روش پیگیریت عالیه ، من جای شما بودم یک کاری می کردم هزار تومن این عوضی ها سرم کلاه بذارم و متضرر شم بعد همون هزار تومن رو بهونه میکردم با این دلایل میفرستم شکایت میکردم:))

  5. محمود says:

    عزیز باادبی که گفت خودتو نمودی،نکنه شمام سودی از اسپم میبری که ناراحتی وگرنه خیلی خوبه که ایشون زحمت کشیدن و دست اینارو رو کردن که فکر نکنن با هویت جعلی و پیچوندنو بالا پایین میتونن خودشونو مخفی کنن و بدونن که هستن کسایی که دستشونو رو کنن،صاحب تلگرام جایزه هک اپشو به میلیون دلار رسونده اونوقت یه مشت ادم ساده با ۱۰،۲۰هزار تومن دنبال هک کردنشن،
    بازم تشکر و قدر دانی ودر ضمن لطف کن که این پیامو تو هر چندتا گروه تلگرامی که میشه بفرست تا همه متوجه بشن شاید!!!!!!

  6. سلام هوشمند عزیز
    قبل از هرچیز یه تشکر ویژه و یه خداقوت اساسی!مرسی واقعا!
    بارها از طرف دوستام و خانواده ازم سوال شده که این هک تلگرام که میگن واقعیه؟ چجوریه؟
    یکی دوبار هم خودم رفتم توی سایتهای این مدلی و بررسیشون کردم و شفاهی واسه همه توضیح دادم که قضیه چیه و اینکه مثلا اکثر این سایتا دامنه های رایگان ml یا tk دارن اما هیچوقت مکتوبش نکردم.
    ممنونم که این کار بزرگ رو انجام دادی. حتما این رو توی وبلاگم منتشر میکنم?

  7. Amir says:

    آقا منم کم کامنت میزارم ولی کارت واقعا درسته ،این کلاهبرداری مسخره که دارن سر خیلی از افراد سن و سال دار تر که مثله جوونها از این چیز ها مطلع نیستن کلاه میزارن متاسفانه و حال ادم بهم میخوره وقتی دروغ به این بزرگی به راحتی و شجاعت به خورد مردم میدن ،فقط در عجبم که چرا پلیس فتا هیچ اقدامی واسه اینجور موارد که به شدت داره رشد میکنه تو‌فضای نت و تلگرام…نمیکنه

  8. نامداری says:

    دمت گرم
    برا من که جالب بود
    چی بگم ، تو این زمونه کثیف، آدمای کثیف هستند که با یه کار کثیف ، پول‌های کثیف رو در میارن.
    لعنت

    • هنوز بد بودن این روش‌ها نهادینه نشده و حق کاربرها به رسمیت شناخته نمی‌شه. همه باید حرف بزنیم و اختراص کنیم و تلاشمون رو برای بهتر شدن سایت‌های فارسی بکنیم 🙂

  9. گلبان says:

    با سلام وخسته نباشید .حتما با تخصص و پشتکار ی که دارید میتوانید دامنه فعالیت مخرب و میزان درآمدهای نامشروع بسیاری را افشا نمایید.امیدوارم که موفق باشید .

  10. Pingback: پشت‌پرده‌ی تبلیغ هک در تلگرام – Filtercut

  11. حسین says:

    سلام
    خیلی خیلی ممنون بابت اطلاع رسانی دقیق.
    من سایتتون رو از این تاپیک http://www.webhostingtalk.ir/showthread.php?t=167730 که مربوط به همین شخصی هست که در مطلب شما ذکر شد پیدا کردم.
    واقعاً سایت عالی دارید فقط یه سوال خارج از بحث چطوری بر اساس ایمیل Reverse Whois انجام میدید و کل دامنه های شخص رو می بینید؟ آخه من با whois.domaintools.com که انجام میدم فقط حرف اول و آخر دامنه رو نشون میده بعدش میگه فلان دلار پول بده تا کل دامنه ها رو نشون بدم.
    ممنون میشم این سایتی که برای Reverse Whois استفاده کردید رو معرفی کنید خیلی برام مهمه.

  12. Pingback: 20pal و یک سری حقایق بسیار جالب | سایت جامع

  13. اسحاق says:

    سلام
    من از این بابا کاظمو که اسمش پویا شیدایی هست یه چیزایی دارم.اتفاقی هکش کردم فهمیدم به سایت ۲۰pal.com ربط داره اما سایتش باز نمیشد.وقتی تو گوگل سرچ زدم متوجه این مسائل شدم که نهایتش به این وبلاگ رسیدم خخخ

  14. micle says:

    امروز یه دامنه برای شرکتم خواستم ثبت کنم دیدم یکی ثبتش کرده نوشته برای خرید تماس بگیرید تماس گرفتم دو میلیون میخواست 😐
    با سرچ کردن اسمش “آرش ابراهیم پور” به این مطلب رسیدم
    ببین چه قدر دامنه ثبت کرده ؟؟! https://goo.gl/HuiGkR
    یه شکایت هم داشته
    http://www.wipo.int/amc/en/domains/decisions/text/2017/dir2017-0024.html
    اینجور اخاذی هایی همه جا رایجه یا فقط تو ایران اینجوریه؟؟

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.