Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #97, ЯНВАРЬ 2007 г.

Мобильная рассылка

Master-lame-master

Хакер, номер #097, стр. 092

sms-спам в разрезе

Спам как способ эффективной рекламы прижился давно. Ушастые юзеры ежедневно вычищают свой ящик от туевой хучи рекламных писем. Спамеры, в свою очередь, придумывают новые ухищрения, чтобы впарить рекламный слоган ушастым юзерам. А админы устанавливают новые спам-фильтры и ловушки против нежелательной почты. Прогрессируя, все это сводит эффективность спама на нет. При этом нам ничего не мешает изучить теорию нового способа рассылок – sms-спама и зарабатывать на этом неплохие деньги.

Эта игра стоит свеч!

Давай попробуем оценить эффективность sms-спама. Предположим, что ты открыл крутой интернет-супермаркет. Но вот беда – посещаемость его почти на нуле. Вместо того чтобы честно вешать баннеры на каждом углу (а это, скажу я тебе, дорогое удовольствие), ты заказываешь спам по sms по диапазону мобильных номеров. В итоге получается, что каждый абонент гарантированно получит и, самое главное, прочитает твою рекламу. А затем с определенной долей вероятности пожелает купить пару дорогих девайсов в твоем магазине.

Теперь второй вопрос, который может у тебя возникнуть: «Как организовать подобную рассылку?». Здесь есть два пути – либо найти людей, которые уже заняли эту нишу на интернет-рынке, либо освоить бизнес самому. Мы уже не маленькие, поэтому попробуем рискнуть и пойти вторым путем.

Готовимся к рассылке

Теперь самое время подумать, что нам необходимо для организации нашей первой (и, надеюсь, не последней) рассылки. В первую очередь это база номеров, по которым мы будем слать sms’ки. Затем надежное прикрытие в виде соксов или отдельного купленного/хакнутого сервера, с которого будем спамить. И, наконец, шлюз, способный отправлять рекламные сообщения. Все это, в общем-то, простые задачи, которые мы сейчас и решим.

Сперва следует определиться, каким «клиентам» нужно слать рекламу. Если это буржуи, то, соответственно, номера должны быть зарубежных операторов. Если наши – то российских. Для первой рассылки я советую сгенерировать телефоны простым скриптом (по доброте душевной я выложил его на нашем DVD), либо взять на сайтах по поиску работы, предложению рекламных услуг и т.п. (поверь, там множество мобильных номеров). Второй вариант предпочтительнее, так как вероятность получения сообщений будет гораздо выше. Продвинутым хакерам, у которых на винте валяются базы с кредитками (либо другой конфиденциальной инфой), я советую пропарсить все свои базы на предмет сотовых телефонов и зарядить спам по ним. При таком раскладе будет практически стопроцентная вероятность получения sms.

Теперь поговорим о самом сложном – поиске сервисов, предлагающих услуги по отправке sms. Публичные службы юзать крайне не рекомендую – лишний раз столкнешься с проблемой распознавания чисел и лагами при посылке сообщений. Наш выбор – незабываемый clickatell.com или его аналог - yacoon.com. Вообще, подобных сервисов много, они легко находятся вбиванием одного запроса в поисковик. Одна отправленная sms’ка стоит порядка $0,5. Ты, конечно, можешь честно купить доступ, но лучшее решение для хакера – вбить случайно добытую картонку и получить в подарок сотню-другую кредитов.

Имея в арсенале базу и sms-кредиты можно начинать спамить. Для достижения цели следует найти зарубежный VPS или обычный хостинг с поддержкой CGI/PHP. Учти, что сервер должен быть куплен на подставные данные, так как существует вероятность, что после спам-рассылки посыплется куча абузов на кликатель (а еще позже и на дата-центр). Зачем тебе лишние неприятности? После нескольких эффективных рассылок сервер могут прикрыть, но ничто не мешает тебе купить новый хостинг. Кстати, для наших целей вполне подойдут и взломанные серверы с поднятым apache.

Рассылаем sms

Вот, собственно, все и готово к рассылке. Теперь заходим в web-каталог и колбасим простенький скрипт для спама. Ты уже опытный, поэтому о коде сценария я много говорить не буду (его осилит даже ребенок). Расскажу лишь о принципе посылки sms на примере сервиса Clickatell. В системе имеется специальный API-интерфейс, позволяющий послать сообщение, набрав в браузере всего одну ссылку:

http://api.clickatell.com/http/sendmsg?name=api_id=ID&user=login&password=passwd&text=сообщение&to=tonum&from=fromnum

Здесь message – текст сообщения, to – номер получателя, from – номер отправителя, api_id – идентификатор в системе (выдается при регистрации), а user и password – реквизиты для входа.

Таким образом, скрипт представляет собой не что иное, как циклический коннект на эту ссылку. Я покажу лишь, как сделать единовременное соединение, а модифицировать мой сценарий ты сможешь самостоятельно. Итак…

Sender.cgi – скрипт, отсылающий рекламное sms

#!/usr/bin/perl

$from=’Advertisment SMS’;

$to=’+7926111111’;

$text=’SMS-spam. Deshevo. Sms-spam@mail.ru’;

$api_id=31337;

$user=’xakep’;

$password=’hackpass’;

use Socket;

if (sendsms($to, $from, $text)=~/ID:/i) {

print "Sms sent!n";

} else {

print "Errorn";

}

sub sendsms {

my ($to, $from, $text) = @_;

$text=~s/s/+/g;

socket(SOCK,AF_INET,SOCK_STREAM,getprotobyname('tcp')) or die "socket() failed: $!n";

connect(SOCK,sockaddr_in(80,inet_aton('api.clickatell.com')));

SOCK->autoflush(1);

my $q=qq{GET /http/sendmsg?api_id=$api_id&user=$user&password=$password&to=$to&text=$text&from=$from HTTP/1.1

HOST: api.clickatell.com

Accept-Language: en

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Connection: close

};

print SOCK $q;

my $all_data;

my $data;

while(sysread(SOCK,$data,1024)){

$all_data.=$data;

}

retu $all_data;

}

Комментарии излишни. Вначале определяем переменные, которые я описал выше (сделай так, чтобы номера получателей циклически брались из файла). Затем вызывается процедура sendsms(), которой передаются важные параметры. Процедура исправно шлет сообщение и возвращает результат. При корректной посылке должен вернуться MD5-hash – идентификатор посланного сообщения. Если он есть, значит sms можно считать доставленным.

Я не буду учить тебя программированию (да и рубрика называется «Взлом», а не «Кодинг»), поэтому изменение моего сценария, а также портирование кода на PHP оставляю тебе на самостоятельную работу. У нас же есть более интересные темы для разговора, например, как на всем этом поднять много денег :).

Что и кому рассылать?

Давай подумаем, какую услугу можно навязать через sms. Есть несколько прибыльных вариантов.

Во-первых, можно открыть сервис по спаму. Смотри: себестоимость одного сообщения составляет примерно 50 центов (или бесплатно, если ты спионерил чей-нибудь аккаунт, либо скардил новый). Если ты предложишь цену $2 за сообщение и лимитируешь сервис минимумом из 1000 sms’ок, то легко срубишь пару тысяч тухлых президентов. А если раскрутишь сервис на различных форумах, то сможешь получать гораздо больше. Красота, да и только :).

Во-вторых, таким нехитрым способом можно быстро вербовать дропов. Идея очень проста: заходишь на англоязычный сайт по поиску работы, грабишь заранее написанным паучком все сотовые телефоны и создаешь спам-базу. Затем запускаешь вышеописанный сценарий, рассылая сотни сообщений всем нуждающимся :). Результат будет непредсказуемым – на твой контакт обратятся сотни жаждущих работать американцев (или других граждан). Сам понимаешь, сколько бабла можно срубить, будучи исправным дроповодом.

В-третьих, можно рекламировать свой собственный товар. Например, свой сервис, интернет-магазин, хостинг и многое другое. Реклама – двигатель прогресса, поэтому sms-спам может принести тебе множество ценных клиентов.

И, наконец, с помощью такого вида спама можно проводить различные финансовые махинации. Это противозаконно, поэтому сразу предупреждаю, что все мысли по подобному заработку денег приводятся здесь исключительно для ознакомления. За их повтор никто, кроме тебя, ответственности нести не будет.

Экскурс в sms-мошенничество

Освоив сервис Clickatell, ты наверняка прикалывался над своими друзьями сообщениями типа: «Вам осталось жить 7 дней», подписанными: «Любимый доктор Айболит». А ведь с подобных приколов можно срубить очень большие деньги. Вкратце расскажу, как сетевые гангстеры проводят грандиозные sms-аферы, а ты сиди и мотай на ус :).

Для нелегального заработка необходимо зарегистрировать короткий номер. Да-да, тот самый номерок, который подключен к федеральным операторам «МТС», «Мегафон» и «Билайн». Сервисов, предоставляющих такие услуги, масса (избранные ссылки смотри во врезке). Нужно адекватно оценивать всю ответственность за последствия, поэтому короткий номер обычно регистрируется на подставное лицо (дроп), либо на выдуманные данные (если это позволяет регистратор).

Получив в распоряжение короткий номер, сетевые преступники приступают к делу. Они находят гарантированно рабочие телефоны богатых людей (на специализированных форумах, по базам данных и т.п.) и делают рассылку через Clickatell примерно следующего содержания.

From: 0001

To: +7926111111

Hochesh besplatnyi anekdot? Otprav` «anekdot» na 6677. Do 1.01.07 usluga sovershenno besplatna!

Прежде чем разослать подобную мессагу, спамер устанавливает самую большую стоимость sms на номер 6677 (скажем, $50). Затем текст старательно рассылается по собранным номерам. Чем тупее обладатель номера, тем выше шансы на успешную отправку sms. А чем он богаче, тем выше вероятность того, что списание баланса останется незамеченным (особенно на анлимных тарифах) :).

Можно охотиться и на обычных людей. В этом случае хакер находит гарантированно рабочие номера и шлет информацию о новой услуге «Говори бесплатно», которую можно активировать на целый день, отправив число 1 на номер 6677 :). Здесь работают только приемы социальной инженерии, поэтому спамеру достаточно выдать себя за робота-рассыльщика сотового оператора.

А что касается прибыли, то она не заставит себя долго ждать. Даже с вероятностью 30% и тысячей отправленных сообщений можно легко заработать от 15 тысяч зеленых тугриков (учитывая 50%, отданных оператору за услугу). И это только за одну рассылку!

Но с другой стороны, оператор всегда может написать претензию в регистрационную компанию коротких номеров, которые способны выдать владельца с потрохами. Поэтому важно, чтобы номер был зарегистрирован не на спамера, а на другого человека. Также для преступника существует еще одна проблема – быстрый вывод накопленных средств со счета. Здесь нужно изучать договоры конкретных сервисов по предоставлению номеров и оценивать сроки.

Кстати, о выводе денег. Популярный сервис smskopilka.ru не так давно писал в новостях, что хакеры активно используют короткие номера для попрошайничества через Clickatell, поэтому при первой же жалобе сервис будет закрывать аккаунт и передавать информацию в правоохранительные органы. Помни об этом и никогда не используй копилку для грязных рассылок :).

Вместо заключения

Я рассказал практически все о таком течении, как sms-спам. Безусловно, с помощью подобных рассылок можно поднять много грязных денег, не делая существенных материальных вложений. Но с другой стороны, если тебя поймают, то пощады не жди – легко загремишь за мошенничество. Причем, скорее всего, условным сроком ты не отделаешься, так как будешь иметь дело с федеральными монополистами, которых хлебом не корми, дай устроить показательную порку. Поэтому мой тебе совет – восприми всю приведенную выше информацию как очередной нелегальный способ наживы и забудь об этом навсегда. Только так ты обезопасишь свою пятую точку от нежелательных приключений.

Короткие и прибыльные номера

Приведу несколько ссылок на сервисы, которые предоставляют услугу регистрации коротких номеров. Заключив договор с такими компаниями, можно завладеть номерком, подключенным ко всем федеральным операторам.

http://mobilemarketing.ru/22975 - малопонятный сервис, так как все цены и условия можно уточнить, только позвонив по телефону, либо отписав на почту.

www.smstraffic.ru/short-code.php - здесь можно ознакомиться с условиями предоставления номеров.

www.admarplus.ru/smsrent.html - какая-то компания, навязывающая номерки в аренду. Также мало информации.

www.robo-t.ru/services/numbers - заманчивое предложение об аренде номеров за $2, либо помощь в самостоятельной покупке короткого номера у оператора.

www.domenet.ru – еще один сервис по аренде номеров.

Как видишь, сервисов много, некоторые из них наверняка позволяют арендовать номер с помощью «левых» данных. Так что думай!

Мнение эксперта

Кроме sms-спама, существует еще и такая вещь, как sms-DDoS. Звучит, конечно, немного дико, но сейчас ты поймешь, что к чему. Дело в том, что память сим-карты/телефона ограничена и абонент может принять только определенное количество sms-сообщений. Поэтому никто не мешает нам просто засыпать телефон жертвы бесчисленным множеством sms’ок =). Даже в том случае, если человек использует смартфон с флешкой на пол гига, я думаю, постоянно приходящие сообщения все равно будут доставлять ему мало удовольствия. При грамотном проведении sms-DDoS'а можно запросто лишить человека возможности нормально пользоваться своим номером. В свое время я использовал при проведении такого вида атак sms-центр smsc.ru. И даже писал для этих целей админку DDoS’ера (найдешь на диске), которую ты можешь повесить на любой из своих поломанных серверов :).

К слову сказать, фишка ресурса smcc.ru заключалась в том, что, регистрируя аккаунт в этом sms-центре, можно было уводить счет в минус. Я уводил счета до $-99. Учитывая, что одно sms-сообщение стоило тогда 2 цента, можешь посчитать, сколько мессаг я успевал разослать с одного акка =).

Таким образом, sms-DDoS пользуется огромным спросом в настоящее время, поэтому ты вполне можешь открыть свой сервис в Сети и заработать себе вторую стипендию =). Но в этом случае помни, что за свои действия ответственность ты несешь сам.

Леонид «R0id» Стройков

Содержание
ttfb: 4.9989223480225 ms