تعدادی از دوستان در روزهای اخیر پیامکی گرفتند برای تبلیغ اپلیکیشن ردیاب و با این مضمون: «همسر، دوست دختر، دوست پسرت رو کاملا مخفی ردیابی کن.»

از اونجایی که قبلا نمونه‌ای از تبلیغ رو بررسی کرده بودم و حدس می‌زدم که کلاه‌برداری باشه، تصمیم گرفتم که ببینم کی این سایت رو راه‌انداخته. این نمونه تبلیغ‌ها، یا کلاه‌برداریست و یا در صورت درست بودن، نقض حریم خصوصی افراد.

برای شروع، خود سایت رو چک کردم. مدیر سایت برای مخفی نگه‌داشتن هویت خودش از دامنه‌های رایگان استفاده کرده که اطلاعات صاحب دامنه رو نشون نمی‌دن. صفحه اول سایت هم مشابه نمونه‌های دیگه بود، حتی جمله‌ها و ترکیب رنگ و مشخصات ظاهری سایت.

شماره تلفن و ایمیل پشتیبانی هم موقت بوده و به نظر نمی‌رسید جای دیگه‌ای استفاده شده باشند.

برای خرید اقدام کردم. با دوبار تغییر دامنه‌ی واسط و برای گم‌کردن رد فروشنده، نهایتا به صفحه پرداخت بانک رسیدم.

اطلاعات فروشنده اپلیکیشن ردیاب

دکمه «خرید» این لینک رو داشت:

کاربر پس از کلیک و رفتن به این لینک، از طریق یک سرویس واسطه برای پاک کردن سایت ارجاع دهنده، به سایت بعدی می‌رفت با آدرس زیر:

این سایت هم از دامنه رایگان استفاده می‌کنه و مشخصات مدیر دامنه مشخص نیست. قاعدتا به این نمونه از سایت‌ها امکان اتصال به درگاه بانک داده نمی‌شه.

صفحه اول سایت شاپکده رو ببینید. مجددا با این صفحه روبه‌رو خواهیم شد.

و نهایتا از این صفحه، کابر منتقل می‌شد به صفحه پرداخت بانک. اطلاعات پذیرند که در صفحه پرداخت اینترنتی سایت بانک سامان ثبت شده بود، به این قرار بود:

همونطور که می‌بینید در حالیکه ما از سایت shopkade به سایت سامان رفتیم، پذیرنده سایت takzed نوشته شده. همونطور که گفتم، سایت اصلی پذیرنده، شاپکده نیست. اجازه بدید نگاهی به اطلاعات سایت تکزد بنداریم.

می‌بینید که از سرویس مخفی کردن اطلاعات صاحب دامنه استفاده کرده.

همچنین صفحه اول سایت رو هم تغییر داده و «در حال بروز رسانی» نوشته شده. قاعدتا مدیر سایت داره چیزی رو مخفی می‌کنه و می‌شه حدس زد که سواستفاده‌ای از سرویس فروشش انجام نشده بلکه خودشه که داره اون اپلیکیشن رو می‌فروشه.

درسته که مدیر سایت از سرویس‌های پولی مخفی کردن اطلاعات صاحب دامنه استفاده کرده اما من موفق شدم ایمیل‌های مالک دامنه رو به دست بیارم.

این ایمیل‌ها با اسم «حسین سفیدپیشه» استفاده شده برای ثبت دامنه takzed. بعد از مدتی ایمیل‌ها جایگزین شده و بعد مخفی شده.

سایت ویفا

با جستجوی این اسم به یک سایت دیگه می‌رسیم.

سایت vifa با مشخصات زیر ثبت شده.

دامنه به اسم حسین سفیدپیشه و با آدرس ایمیل زیر ثبت شده.

برای اطمینان از اینکه فرد اشتباهی رو متهم نکنم، بررسی رو ادامه می‌دم. سایت ویفا الان در دسترس نیست اما در سایت آرشیو می‌تونیم نسخه‌ای ازش پیدا کنیم.

می‌بینید که مشابه سایت شاپ‌کده است.

با بررسی بیشتر متوجه شدم که صفحه‌های داخلی سایت تکزد (که صفحه اولش در حال به‌روزرسانی بود)، در دسترسند و مشابه دو سایت دیگه است.

همچنین سرور سایت‌های ویفا، شاپکده و تکزد یکی است.

ارتباط این سایت‌ها فراتر از شباهت و یا کپی شدن کدهاست. می‌شه با اطمینان گفت که مدیر هر سه سایت، یک شخص است.

با ایمیل nerozip دامنه‌های دیگه‌ای هم گرفته شده. لیست دامنه‌های مرتبط با این ایمیل رو ببینید.

برای اطمینان بیشتر، دو تا دیگه از دامنه‌ها رو بررسی می‌کنم.

سایت همسران

این سایت برای فروش فیلم‌های آموزش روابط جنسی راه افتاده.

سرور این سایت و سرور سایت فروش اپلیکیشن ردیاب یکی است.

سایت تریکس

سایتی برای فروش اپلیکیشن دریافت کانال‌های ماهواره روی گوشی.

در کدهای سایت تریکس می‌بینیم که لینک پرداخت، به سایت ویفا است که قبلا دیدیم مشابه سایت شاپ‌کده و تکزد بوده و فعلا دردسترس نیست.

می‌بینید که ارتباط درهم‌تنیده این سایت‌ها غیرقابل انکار بوده و تصادفی نیست.

اطلاعات فروشنده

در صورتیکه از طریق این سایت‌ها دچار آسیب مالی یا نقض حریم خصوصی شده‌اید، می‌توانید از طریق مراجع قانونی و با استناد به اطلاعات فوق اقدام به احقاق حق کنید.

اطلاعات کامل فروشنده اپلیکیشن ردیاب:

آقای حسین سفیدپیشه

شماره تلفن موجود در سایت: ۰۲۱۶۶۹۱۹۶۸۷

آدرس فروشگاه نوشته شده در سایت: انقلاب، جمالزاده جنوبی، کوچه رشتچی، پلاک ۵۶، واحد ۳

پی‌نوشت

همزمان با نگارش این پست، از طریق ایمیل‌های موجود آقای سفیدپیشه به ایشون اطلاع دادم. در صورت حذف سایت‌های کلاه‌برداری یا منجر به نقض حریم خصوصی، این نوشته از حالت عمومی خارج می‌شه.

چند وقت پیش با مشاهده ترس ایجاد شده بین دوستام، تبلیغ هک تلگرام رو بررسی کردم. این چند روز متوجه شدم که تبلیغ دیگه‌ای داره دست به دست می‌چرخه: اپلیکیشن ردیابی همسر وفرزند.

یک گروه خصوصی در تلگرام، یک دامنه رایگان که نیازی به ثبت اطلاعات شخصی نداره و تبلیغ نقض حریم خصوصی دیگران. آستین‌ها رو بالا بزنیم و ببینیم این دفعه کی داره از ترس آدم‌ها و رابطه‌های مشکل‌دار، پول درمیاره.

ابتدا سایت رو چک کردم که بدافزار نداشته باشه که توی اون زمانی که چک کردم، نداشت. سایت رو باز کردم و بعد از کلی توضیح و تبلیغ، دو تا لینک برای خرید وجود داشت.

لینک پرداخت به سایت ferestandesabad[dot]com بود که یک سایت خرید اینترتی است. این لینک الزاما به معنی همکاری نیست و می‌تونه مدیر اون سایت هم فریب خورده باشه. این سایت از فزوشگاه ساز ferestande.com استفاده کرده.

با بررسی سورس صغحه متوجه شدم در نسخه‌های اولیه سایت، یک شماره تلفن برای پیگیری خرید وجود داشته که احتمالا از ترس شناسایی، مخفیش کردند اما این کار خیلی ناشیانه انجام شده.

با جستجوی بیشتر متوجه شدم که این سایت با دامنه‌های مختلف در دسترسه و به شکل قارچ‌گونه زیاد شده. با تمرکز بر شماره تلفن مخفی شده به یک دامنه قدیمی‌تر رسیدم که اکنون در دسترس نیست. قاعدتا برای پاک کردن ردهای احتمالی.

از سرویس بسیار خوب آرشیو، به نسخه‌ای از این سایت رسیدم. با همون متن بالا ولی به جای پرداخت از طریق سایت ferestandesabad[dot]com این‌بار از pardakht212.tk استفاده شده که اون هم دیگه دردسترس نیست. اما نکته جالب، گزینه‌ای بود برای خرید پستی.

این سبد لینک شده بود به سایت mobileapp4[at]com که دردسترس نیست اما چک کردن مشخصات ثبت‌کننده دامنه و IP می‌تونه در رسیدن به شیاد، راه‌گشا باشه.

طبق بررسی‌های من ایمیل heydarymarjan یک ایمیل برای ساخت یک هویت تقلبی است و پوششیه برای هویت شخص اصلی پشت این تبلیغات. همونطور که می بینید ایشون خودشون رو «John Wooden» معرفی کردند. از این مرحله به بعد با یک‌سری ابزار و سرچ‌های تو در تو، به لیستی از دامنه‌های ثبت شده این هویت تقلبی رسیدم و با تطبیق سرورها، نتایج جالبی به دست اومد. یکی از دامنه‌های ثبت شده خانم «مرجان حیدری» gharardad1394[at]com است که با سایت ferestandesabad[dot]com سرور مشترک دارند.

بنابراین رابطه سایت فروش اپلیکیشن ردیابی و سایت پرداخت محصول، فراتر از یک اتفاق و یا فریبه. به نظر می‌رسه که این دو سایت توسط یک مجموعه اداره می‌شه. مجموعه سایت‌های فرستنده، فرستنده آباد سبد، ارزون کالا و غیره با ایمیل cheapdown در جیمیل و به اسم آقای محمود سفیدپیشه ثبت شده‌اند. هم آقای سفیدپیشه و هم خانم حیدری (یا اونجور که خودشون رو معرفی کردند آقای جان وودن)، از realtimeregister.com برای ثبت دامنه استفاده کرده‌اند.

در نتایج جستجوی mobileapp4 در گوگل، به نسخه‌هایی از سایت بر‌می‌خوریم که با اسم «ارزون کالا» در حال فروش محصولات بوده. ارزون کالا از سایت‌های آقای سفید‌پیشه است و دامنه mobileapp4 را خانم حیدری (هویت تقلبی) ثبت کرده است.

شبکه دامنه‌های ثبت شده این دو هویت و ip سرورها رو در گراف زیر ببینید.

در صورتیکه از طریق پرداخت به سایت‌های واسطه آقای سفیدپیشه دچار ضرر شده‌اید یا فکر می‌کنید که از طریق اپلیکیشن‌های توزیع شده، حریم خصوصی شما نقض شده، می‌تونید از طریق آدرس و شماره تلفن زیر که در پورتال شرکت پست نوشته شده، با این مجموعه در تماس بوده و به صورت قانونی حقوق خودتون رو پیگیری کنید. همچنین پیگیری مالکیت شماره تلفن ۰۹۱۹۷۴۳۷۴۹۶ می‌تونه راه‌گشا باشه.

پ‌ن:

 با وجود همه مدارک بالا که نشون می‌دن آقای محمود سفیدپیشه کسیه که سایت‌های فروش اپلیکیشن ردیابی رو اداره می‌کنه اما درصدی از خطا در هر تحقیقی محتمله. در صورتیکه ایشون دفاعی در این خصوص داشته باشند، خوشحال می‌شم که در کنار این نوشته منتشر کنم. به همین دلیل، ایمیلی برای هر دو نفر ارسال کردم.