چند وقت پیش با مشاهده ترس ایجاد شده بین دوستام، تبلیغ هک تلگرام رو بررسی کردم. این چند روز متوجه شدم که تبلیغ دیگه‌ای داره دست به دست می‌چرخه: اپلیکیشن ردیابی همسر وفرزند.

یک گروه خصوصی در تلگرام، یک دامنه رایگان که نیازی به ثبت اطلاعات شخصی نداره و تبلیغ نقض حریم خصوصی دیگران. آستین‌ها رو بالا بزنیم و ببینیم این دفعه کی داره از ترس آدم‌ها و رابطه‌های مشکل‌دار، پول درمیاره.

ابتدا سایت رو چک کردم که بدافزار نداشته باشه که توی اون زمانی که چک کردم، نداشت. سایت رو باز کردم و بعد از کلی توضیح و تبلیغ، دو تا لینک برای خرید وجود داشت.

لینک پرداخت به سایت ferestandesabad[dot]com بود که یک سایت خرید اینترتی است. این لینک الزاما به معنی همکاری نیست و می‌تونه مدیر اون سایت هم فریب خورده باشه. این سایت از فزوشگاه ساز ferestande.com استفاده کرده.

با بررسی سورس صغحه متوجه شدم در نسخه‌های اولیه سایت، یک شماره تلفن برای پیگیری خرید وجود داشته که احتمالا از ترس شناسایی، مخفیش کردند اما این کار خیلی ناشیانه انجام شده.

با جستجوی بیشتر متوجه شدم که این سایت با دامنه‌های مختلف در دسترسه و به شکل قارچ‌گونه زیاد شده. با تمرکز بر شماره تلفن مخفی شده به یک دامنه قدیمی‌تر رسیدم که اکنون در دسترس نیست. قاعدتا برای پاک کردن ردهای احتمالی.

از سرویس بسیار خوب آرشیو، به نسخه‌ای از این سایت رسیدم. با همون متن بالا ولی به جای پرداخت از طریق سایت ferestandesabad[dot]com این‌بار از pardakht212.tk استفاده شده که اون هم دیگه دردسترس نیست. اما نکته جالب، گزینه‌ای بود برای خرید پستی.

این سبد لینک شده بود به سایت mobileapp4[at]com که دردسترس نیست اما چک کردن مشخصات ثبت‌کننده دامنه و IP می‌تونه در رسیدن به شیاد، راه‌گشا باشه.

طبق بررسی‌های من ایمیل heydarymarjan یک ایمیل برای ساخت یک هویت تقلبی است و پوششیه برای هویت شخص اصلی پشت این تبلیغات. همونطور که می بینید ایشون خودشون رو «John Wooden» معرفی کردند. از این مرحله به بعد با یک‌سری ابزار و سرچ‌های تو در تو، به لیستی از دامنه‌های ثبت شده این هویت تقلبی رسیدم و با تطبیق سرورها، نتایج جالبی به دست اومد. یکی از دامنه‌های ثبت شده خانم «مرجان حیدری» gharardad1394[at]com است که با سایت ferestandesabad[dot]com سرور مشترک دارند.

بنابراین رابطه سایت فروش اپلیکیشن ردیابی و سایت پرداخت محصول، فراتر از یک اتفاق و یا فریبه. به نظر می‌رسه که این دو سایت توسط یک مجموعه اداره می‌شه. مجموعه سایت‌های فرستنده، فرستنده آباد سبد، ارزون کالا و غیره با ایمیل cheapdown در جیمیل و به اسم آقای محمود سفیدپیشه ثبت شده‌اند. هم آقای سفیدپیشه و هم خانم حیدری (یا اونجور که خودشون رو معرفی کردند آقای جان وودن)، از realtimeregister.com برای ثبت دامنه استفاده کرده‌اند.

در نتایج جستجوی mobileapp4 در گوگل، به نسخه‌هایی از سایت بر‌می‌خوریم که با اسم «ارزون کالا» در حال فروش محصولات بوده. ارزون کالا از سایت‌های آقای سفید‌پیشه است و دامنه mobileapp4 را خانم حیدری (هویت تقلبی) ثبت کرده است.

شبکه دامنه‌های ثبت شده این دو هویت و ip سرورها رو در گراف زیر ببینید.

در صورتیکه از طریق پرداخت به سایت‌های واسطه آقای سفیدپیشه دچار ضرر شده‌اید یا فکر می‌کنید که از طریق اپلیکیشن‌های توزیع شده، حریم خصوصی شما نقض شده، می‌تونید از طریق آدرس و شماره تلفن زیر که در پورتال شرکت پست نوشته شده، با این مجموعه در تماس بوده و به صورت قانونی حقوق خودتون رو پیگیری کنید. همچنین پیگیری مالکیت شماره تلفن ۰۹۱۹۷۴۳۷۴۹۶ می‌تونه راه‌گشا باشه.

پ‌ن:

 با وجود همه مدارک بالا که نشون می‌دن آقای محمود سفیدپیشه کسیه که سایت‌های فروش اپلیکیشن ردیابی رو اداره می‌کنه اما درصدی از خطا در هر تحقیقی محتمله. در صورتیکه ایشون دفاعی در این خصوص داشته باشند، خوشحال می‌شم که در کنار این نوشته منتشر کنم. به همین دلیل، ایمیلی برای هر دو نفر ارسال کردم.