در ادامه دو نوشتهی قبلی و افشای هویت کسانی که امنیت کاربران فارسی زبان رو به خطر میاندازند، علیرضا یک اسپم در تلگرام رو برام فروارد کرد با این توضیح: «امروز توی یه گروه پرایویت تلگرام اد و رمو شدم تا پیام تبلیغاتیشون رو به خوردم بدن. با استفاده از این روش امکان ریپورت و بلاک هم نیست. دوست داشتم پیام رو برات ارسال کنم شاید دوست داشتی همون روند شناسایی رو در موردشون پیش بگیری»
پاسخم کوتاه بود و جانافزا: چرا که نه 🙂
اسپم در تلگرام
متن اسپم در یافتی رو در تصویر زیر میبینید.
مجددا با تبلیغ هک تلگرام طرفیم. اینروزها همه راهی آسان و از راه دور برای هک تلگرام دارند.
بررسی دامنهها
برای شروع از دامنه download110.ir شروع میکنیم. مشخصات ثبت کننده دامنه اینه:
مدیر دامنه «رسول موسیزاده» با ایمیل groupbaran@yahoo.com و هندل rm1902-irnic است. با این هندل، دامنه ccnew.ir هم ثبت شده است. بعد خواهیم دید که این هویت به احتمال بسیار زیاد جعلیه.
جالب اینجاست که سرور این سایت هک شده و مدیر سایت اونقدر براش مهم نبوده که درستش کنه.
با این ایمیل یک اکانت در فیسبوک وجود داره به اسم Irhotn IR که مشخصا آدرس یک سایته.
ثبت کننده این دامنه آقای Arash Ebrahimpour با domain@friend.ir است.
اجازه بدید برای منحرف نشدن از مسیر اصلی، برگردیم به سایت download110.ir و بررسی رو از اونجا ادامه بدیم. در انتهای صفحه و برای پشتیبانی فروش، یک ایمیل اعلام شده:
با جستجوی این ایمیل به یک دامنه دیگه میرسیم: telegram-hack.com
در صفحه download110 هم عکسی با همین نام استفاده شده که ارتباط دو دامنه رو بیشتر میکنه:
دامنه telegram-hack رو آقای pouya sheidaei با ایمیل kazemoo123@gmail.com ثبت کردند. بعدا به اسم «کاظمو» اشاره خواهم کرد.
به NS های این دامنه و NS های دامنه download110 دقت کنید که مشابه بوده و از NS1.google1love.com و NS2.google1love.com استفاده شده. این NS ها رو مجددا خواهیم دید.
با جستجو در مورد آقای پویا شیدایی متوجه میشیم که دامنه zipzip.ir با این مشخصات ثبت شده.
مجددا همون NS ها و این بار ایمیل pouya.java@gmail.com که با این ایمیل یک اکانت فیسبوک به اسم «سونیا زارعی» ساخته شده.
اکانت مشخصا تقلبی است و فقط برای انتشار مطالب سایتهای زنجیرهای ساخته شده.
سایتهایی که لینکشون رو گذاشته iranhotnews.ir است. شباهت با دامنه irhotn.ir که قبلا بهش اشاره شد رو ببینید.
جایی احتمالا به اشتباه تصویری شخصی رو منتشر کرده با توضیح «خانم گلم»:
آقای پویا شیدایی که هم از ایمیل kazemoo123@gmail.com استفاده کردند برای ثبت دامنه و هم از ایمیل pouya.java@gmail.com ، یک اپ هم توی کافهبازار داره به اسم خواب عمیق. در توضیحات این اپ، یکی از منابع رو irhotn.ir گذاشته که قبلا دیدیم با ایمیل آقای رسول موسیزاده اکانت فیسبوکش ساخته شده بود.
ایشون در اکانت فیسبوکش (https://www.facebook.com/pouya.sheidaei.9/about) دو تا صفحه رو لایک کرده که یکیش «عکسهای کمیاب» است. حالا نگاه کنیم به اطلاعات این صفحه:
همونطور که می بینید این صحفه، مطالب سایت iranhotnews.ir رو منتشر میکنه که قبلا دیدیم اکانت دیگه ایشون به اسم «سونیا زارعی» مطالبش رو منتشر میکرد.
در تصویر زیر میبینید که دامنه کذایی google1love.com، که برای NS اکثر دامنههایی که اسم بردیم استفاده شده، مال ایشونه.
ایشون همچنین سایتهای nazgoli.ir و pelak52.ir رو ثبت کرده.
با چک کردن IP سرور سایت nazgoli.ir می بینیم که همه دامنههایی که صحبت کردیم روی این سرور میزبانی میشن.
البته یک مهمان جدید داریم. دامنه pelak53.ir که بسیار شبیه به دامنه pelak52.ir است که پویا شیدایی ثبت کرده بود. مشخصات ثبت کننده دامنه رو ببینید.
آقای کاظم صالحی با ایمیل online.poshtiban@gmail.com به جمع افراد پشتپردهی این اسپمها اضافه شد. خاطرتون هست که گفتم مجددا به اسم کاظمو برمیگردیم. در گویش جنوبی، کاظم رو کاظمو صدا میزنن. ایمیلی که پویا شیدایی برای ثبت telegram-hack ازش استفاده کرده kazemoo123@gmail.com است.
با بررسی بیشتر متوجه میشیم که کاظم صالحی دامنه footballjavan.ir رو ثبت کرده.
استفاده از دامنه google1love.com متعلق به پویا صالحی (کاظمو) رو به عنوان NS میبینید. ناگفته نمونه که گوگل هم دامنه فوتبال جوان رو با ایمیل kazemoo123 مرتبط میدونه 🙂
کاظمو هم یک اکانت فیسبوک به اسم «مهندس پریزاده علیزاده» داره.
با جستجوی ایمیل online.poshtiban (به شباهت بسیار زیاد با online.poshtibani که در بالا اشاره کردم دقت کنید) به نتایج جالبی میرسیم.
اول اینکه این ایمیل، پشتیبان چند سایت فروش فیلمهای آموزش مسایل جنسی است.
در یکی از این سایتها شماره تلفن هم گذاشته شده:
با جستجوی این شماره تلفن که شماره آقای کاظم صالحی است، به این سایت میرسیم:
سایتی که متعلق به آقای پویا شیدایی است.
تا اینجا با هویتهای مختلفی آشنا شدیم که هر کدوم هم اکانت قیسبوک متفاوتی داشتند و از ایمیلهای همدیگه برای کارهای مختلف استفاده میکردند. با این شواهد به نظر میرسه تمامی اسامی گفته شده تا کنون، اسامی تقلبی باشند برای پنهان کردن هویت نفر پشتپردهی اسپم در تلگرام.
پشتپردهی اسپم در تلگرام
آخرین دامنهای که در جاهای مختلف دیده شد و هنوز بررسی نشده iranhotnews.ir است. این دامنه رو چه کسی ثبت کرده؟
آقای حجتالله رستگار از بوشهر با ایمیل harajiharaji@yahoo.com این دامنه رو ثبت کردند و البته بعدا اطلاعات whois رو تفییر دادند.
با این ایمیل، دامنههای دیگهای هم ثبت شده:
پیش از این اسم «عکسهای کمیاب» رو روی صفحه قیسبوک iranhotnews.ir دیده بودیم، یکی از دو صفحهای که پویا شیدایی لایک کرده بود. سایت kamyabpic.ir هم از اون سایتهایی است که اطلاعات whois اش تغییر کرده. الان همچنان دامنه به اسم آقای حجتالله رستگار است اما با ایمیل rastegar.poshtiban@gmail.com که مجددا شباهت زیادی با online.poshtiban@gmail.com و online.poshtibani@gmail.com داره.
با جستجوی این ایمیل جدید، به ایمیلهای قدیمی آقای رستگار میرسیم که در گروههای یاهو ارسال کردهاند.
و با نگاهی به صفحه فیسبوک ایشون (که خلاف هویتهای احتمالا تقلبی پیشین، با اسم خودش ساخته شده) میبینیم که صفحههای فیسبوکی که قبلا ازشون اسم بردیم رو هم لایک کرده.
به نظر میرسه به نفر اصلی رسیدیم. همه اشارهها به سمت ایشونه. هویتش واقعی به نظر میرسه و چندین مورد هم مشاهده شد که اطلاعات دامنههای ثبت شدهاش رو تفییر داده که هویتش محفوظ بمونه.
کار ایشون، در کنار ارسال اسپم که از بین بردن حق کاربران تلگرامه، تبلیغ روشهای ساده هک اپلیکیشنهای پیامرسانه. هرچند که این تبلیغها اون چیزی که ادعا میکنند نیستند و فقط روش دیگهای از کلاهبرداریه اما خبرشون باعث ایجاد ترس و نگرانی در کاربران فارسی زبان شده.
وظیقه خودم دونستم که این بررسی رو انجام بدم و پیشنهاد میکنم که اگر کسی از این تبلیغها متضرر شده، با داشتن این اطلاعات به مراجع قانونی بره و پیگیری کنه.
پ ن: این پست موقته. در صورتیکه ایشون ذفاع قابل قبولی بفرستند که نشاندهده اشتباه من باشه و یا تلاش کنند برای پاک کردن سایتهای تبلیغی و عدم ارسال اسپم، پست رو حذف میکنم
کارت عالی بود
ممنون سینا جان
حالا خودتو نمودی که چیو ثابت کنی؟ بیکاری ها ، این اسپم پستا چیه مینویسی
عزیزم ایشون واسه راحتی منو تو داره این کارو انجام میده. این چه طرز حرف زدنه؟
همین جاهلیت ۴تا مثل شما باعث میشه افرادی کلاه بردار مثل این شخص که در بالا گفته شد پیدا شن.
تشکر نمی کنید حداقل به احترام نویسنده پست، حرف مسخره نزنید!
با این سودجویان باید همین کار رو کرد.
روش کارت جالبه
جالبه اینجاست که برای دامنه هایی که کلمه news داشته باشن باید مجوز داشته باشی از ارشاد!
چه خبره تواین مملکت
متاسفانه خیلی بهسامان نیست
آفرین، دستت درد نکنه واقعا، خیلی زحمت کشیدی.
لطف داری
آفرین به کارت ادامه بده
من زیاد کامنت نمی ذارم ولی اینجا خواستم کامنت بذارم
تا بهت بگم کارِت ارزش داره و ادامه بده
اینجور افراد ممکنه دیر یا زود به وبلاگت حمله کنن و اسپم بذارن ولی نا امید نشو داداش چون منبع درامدِ کثیفشون هدف قرار گرفته
اینا واقعا شورشو در آوردن و وقتشه فکری به حالشون بشه
فقط ای کاش این اطلاعات ارزشمند خودت رو مستند کنی و برسونی به دست اونی که باید به دستش برسه!
بازم ممنون و با آرزوی سلامتی و پیروزی
از طرف یکی از میلیون ها کاربر تلگرام.که واقعا از دست این مزاحم ها خسته شدن
ممنون اشکان عزیز
من اطلاعاتی که لازم بوده رو گذاشتم. چون خودم مستقیما متضرر نشدم، نمیتونم شکایت بکنم. امیدوارم کار دیگران راه بیافته اگر به این اطلاعات نیاز داشتند.
متاسفانه روند عادی فعالیت تجاری، با اسپم کردن گره خورده.
سلام
منم هرچی اشکان گفت…
ی مرسی قنده…
من هم همون جوابی که به اشکان دادم 🙂
بسیار عالی . واقعا پشتکار و تخصصت مثال زدنیه ….دمت گرم
ممنونم
بسیار بسیار جالب و عالی… خسته نباشی… من بالای ۱۰ سال وبگردی می کنم و هیچوقت هیچوقت جایی نظر ثبت نمی کنم اما دلم نیامد زحمات جالب شما رو دیدم ازت تشکر نکنم. اگه چند بار دست این اسپمر ها رو بشه دیگه این بساط کم کم تعطیل میشه.
ممنون. من هم امیدوارم سهمی داشته باشم توی بهتر شدن شرایط. در حد خودم البته 🙂
اقا دمت گرم خیلی کارت خوب بود ، روش پیگیریت عالیه ، من جای شما بودم یک کاری می کردم هزار تومن این عوضی ها سرم کلاه بذارم و متضرر شم بعد همون هزار تومن رو بهونه میکردم با این دلایل میفرستم شکایت میکردم:))
عزیز باادبی که گفت خودتو نمودی،نکنه شمام سودی از اسپم میبری که ناراحتی وگرنه خیلی خوبه که ایشون زحمت کشیدن و دست اینارو رو کردن که فکر نکنن با هویت جعلی و پیچوندنو بالا پایین میتونن خودشونو مخفی کنن و بدونن که هستن کسایی که دستشونو رو کنن،صاحب تلگرام جایزه هک اپشو به میلیون دلار رسونده اونوقت یه مشت ادم ساده با ۱۰،۲۰هزار تومن دنبال هک کردنشن،
بازم تشکر و قدر دانی ودر ضمن لطف کن که این پیامو تو هر چندتا گروه تلگرامی که میشه بفرست تا همه متوجه بشن شاید!!!!!!
من هم زیاد دیدم که این تبلیغها ایجاد نگرانی کرده. امیدوارم امنیت روانی کاربران فارسی بیشتر بشه با محدود کردن اینجور اسپمها
سلام هوشمند عزیز
قبل از هرچیز یه تشکر ویژه و یه خداقوت اساسی!مرسی واقعا!
بارها از طرف دوستام و خانواده ازم سوال شده که این هک تلگرام که میگن واقعیه؟ چجوریه؟
یکی دوبار هم خودم رفتم توی سایتهای این مدلی و بررسیشون کردم و شفاهی واسه همه توضیح دادم که قضیه چیه و اینکه مثلا اکثر این سایتا دامنه های رایگان ml یا tk دارن اما هیچوقت مکتوبش نکردم.
ممنونم که این کار بزرگ رو انجام دادی. حتما این رو توی وبلاگم منتشر میکنم?
خوشحال میشم که تو هم جنبههای دیگه رو بنویسی و به شفاف شدن فضا کمک کنی. و البته ممنون از تعریفی که کردی. لطف داری 🙂
آقا منم کم کامنت میزارم ولی کارت واقعا درسته ،این کلاهبرداری مسخره که دارن سر خیلی از افراد سن و سال دار تر که مثله جوونها از این چیز ها مطلع نیستن کلاه میزارن متاسفانه و حال ادم بهم میخوره وقتی دروغ به این بزرگی به راحتی و شجاعت به خورد مردم میدن ،فقط در عجبم که چرا پلیس فتا هیچ اقدامی واسه اینجور موارد که به شدت داره رشد میکنه توفضای نت و تلگرام…نمیکنه
شاید این آماده کردن مدارک کمک بکنه به برخورد قانونی باهاشون. پلیس فتا هم مسلما اگر شکایت ببینه، با این آدما برخورد میکنه
سلام …ممنون …کارت عالی بود …دمت گرم
ممنون 🙂
دمت گرم
برا من که جالب بود
چی بگم ، تو این زمونه کثیف، آدمای کثیف هستند که با یه کار کثیف ، پولهای کثیف رو در میارن.
لعنت
هنوز بد بودن این روشها نهادینه نشده و حق کاربرها به رسمیت شناخته نمیشه. همه باید حرف بزنیم و اختراص کنیم و تلاشمون رو برای بهتر شدن سایتهای فارسی بکنیم 🙂
با سلام وخسته نباشید .حتما با تخصص و پشتکار ی که دارید میتوانید دامنه فعالیت مخرب و میزان درآمدهای نامشروع بسیاری را افشا نمایید.امیدوارم که موفق باشید .
واقعا امیدوارم در حد خودم تاثیر داشته باشم 🙂
تشکر از زحمتی که کشیدی، قابل تقدیره.
ممنونم
Pingback: پشتپردهی تبلیغ هک در تلگرام – Filtercut
خیلی ممنون که این جوری پیگیری می کنی
دقیقا مثل یک کارگاه از آخر به اول میای.
سلام
خیلی خیلی ممنون بابت اطلاع رسانی دقیق.
من سایتتون رو از این تاپیک http://www.webhostingtalk.ir/showthread.php?t=167730 که مربوط به همین شخصی هست که در مطلب شما ذکر شد پیدا کردم.
واقعاً سایت عالی دارید فقط یه سوال خارج از بحث چطوری بر اساس ایمیل Reverse Whois انجام میدید و کل دامنه های شخص رو می بینید؟ آخه من با whois.domaintools.com که انجام میدم فقط حرف اول و آخر دامنه رو نشون میده بعدش میگه فلان دلار پول بده تا کل دامنه ها رو نشون بدم.
ممنون میشم این سایتی که برای Reverse Whois استفاده کردید رو معرفی کنید خیلی برام مهمه.
ممنون خودم با سرچ متن List of domain names registred by kazemoo123@gmail.com که در عکس بود سایتش که http://domainbigdata.com/ هستش رو پیدا کردم.
بازم خیلی ممنون.
Pingback: 20pal و یک سری حقایق بسیار جالب | سایت جامع
تحلیلت واقعا جالب بود.
باید کارآگاه میشدی 🙂
سلام
من از این بابا کاظمو که اسمش پویا شیدایی هست یه چیزایی دارم.اتفاقی هکش کردم فهمیدم به سایت ۲۰pal.com ربط داره اما سایتش باز نمیشد.وقتی تو گوگل سرچ زدم متوجه این مسائل شدم که نهایتش به این وبلاگ رسیدم خخخ
امروز یه دامنه برای شرکتم خواستم ثبت کنم دیدم یکی ثبتش کرده نوشته برای خرید تماس بگیرید تماس گرفتم دو میلیون میخواست 😐
با سرچ کردن اسمش “آرش ابراهیم پور” به این مطلب رسیدم
ببین چه قدر دامنه ثبت کرده ؟؟! https://goo.gl/HuiGkR
یه شکایت هم داشته
http://www.wipo.int/amc/en/domains/decisions/text/2017/dir2017-0024.html
اینجور اخاذی هایی همه جا رایجه یا فقط تو ایران اینجوریه؟؟