Oggi ho ricevuto – come molti di voi – un link via WhatsApp a emo3.co/hm/
Prima di aprire il link dal mio smartphone – windows mobile, quindi tecnicamente ben al sicuro da virus e simili – ho pensato di agire tramite desktop (anche questo relativamente ben protetto grazie a malwarebytes e avira) e quindi, sfruttando il w3c validator, ho dato una rapida occhiata ai sorgenti del link in questione.
L’unica cosa potenzialmente preoccupante era un js in testata:
*//emo6.co/assets/js/emoticon/3ruqw.js
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(newRegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('(4(i,s,o,g,r,a,m){i['e']=r;i[r]=i[r]||4(){(i[r].q=i[r].q||[]).d(f)},i[r].l=1*h c();a=s.k(o),m=s.5(o)[0];a.6=1;a.7=g;m.n.b(a,m)})(j,y,'A','//C.x-3.p/3.t','2'-);2('u','v-w-9','B'-);2('z','8'-);',39,39,'||ga|analytics|function|getElementsByTagName|async|src|pageview|||insertBefore|Date|push|GoogleAnalyticsObject|arguments||new||window|createElement|||parentNode||com||||js|create|UA|56294004|google|document|send|script|auto|www'.split('|'),,{}))
unpackonline: http://dean.edwards.name/unpacker/
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*newDate();a=s.createElement(o),m=s.getElementsByTagName(o)[];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)})(window,document,'script','//www.google-analytics.com/analytics.js','ga');ga('create','UA-56294004-9','auto');ga('send','pageview');
… Insomma, è analytics e quindi nessun problema!
Tramite browser su desktop, invece, non poteva funzionare (semplice redirect a emo3.co con pagina vuota per i non mobile) a causa di uno script che controllava l’useragent:
<script>
if(!/Android|webOS|iPhone|iPad|iPod|BlackBerry|IEMobile|Opera Mini/i.test( navigator.userAgent )){
window.location.replace('http://emo3.co/');
}
</script>
Per il resto, nulla di preoccupante e virustotal conferma:virustotal.com/it/…/analysis/1459539076/
Così ho provato tramite edge (solitamente uso firefox) con emulazione mobile e… tutto in crash (al punto da dover chiudere a forza il browser), ma il gioco dell’useragent funziona!
Ritorno su firefox per provare con qualcosa di più serio… Quindi mi fingo un iphone3 tramite User Agent Switcher! … Bene, adesso si ragiona! Niente crash e tutto operativo.
La pagina iniziale (e di domande simili ne fa tre o quattro)…
il risultato (guarda te… ho vinto! e pensare che ho cliccato a raffica sempre lo stesso pulsante senza nemmeno leggere…)
A questo punto bisognerebbe cliccare su invita (via WhatsApp) e far partire il sistema virale… ma se clicchiamo su continua un paio di volte… beh, alla fine si convince e ci fa continuare!
Qui, adesso, tocca registrarsi per ricevere l’ambito premio! Ma potete inserire qualunque roba in quei campi, tanto il pulsante manda semplicemente ad un’altra pagina…
Ed eccoci arrivati su quello che è un semplicissimo link, che non necessità di tutto quel sistema via WhatsApp, e che non ha bisogno di inviti ecc… Ah, già, e che non vi regala alcun buon H&M!
Link originale con sospetta variabile “src” che sa tanto di referer…
mobilepanel2.nielsen.com/nenroll/home.do?type=load&l=it_it&pid=2&src=1123&id=0
Nielsen (no ref): https://mobilepanel2.nielsen.com/nenroll/home.do?type=load&l=it_it&pid=2
Il contratto: https://mobilepanel2.nielsen.com/nenroll/memberAgreement.do?l=it_it&pid=2
Gli header della pagina:
Date: Fri, 01 Apr 2016 19:31:46 GMT Server: Apache/2.2.15 X-Powered-By: PHP/5.3.3 Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=UTF-8 200 OK
Qui i sorgenti: view-source:http://emo3.co/hm/it/
Il javascript nell’header, come già detto all’inizio dell’articolo, è semplicemente analytics, per il resto il codice – multilingua – non è scritto granché bene, e c’è persino una mail in chiaro (se volete approfittarne per far sapere loro cosa ne pensate….) 😛
PS: hm indica:
H & M Hennes & Mauritz AB, comunemente conosciuta come H&M, un’azienda di abbigliamento svedese. Di proprietà di H&M sono inoltre i marchi Cheap Monday, COS, Monki, Weekday e & Other Stories.
Credo proprio che la società/azienda non abbia nulla a che vedere con questo “sporco gioco”, ma si tratti solo di qualche ragazzetto che per accaparrarsi qualche premio extra ha creato tutto questo sistema e grazie ai referer avrà qualche guadagno, tutto qua (sistema piuttosto “articolato” considerando il multilingua e lo sforzo per far girare il tutto…).
Anche la nielsen è certamente estranea a tutto ciò.
Insomma, non cliccateci… Cancellate il link, e non registratevi (regola generale per qualunque link che ricevete tramite qualunque canale, anche se a mandarlo è la persona più fidata al mondo – se non siete sicuri, meglio cancellare)!
NB: Avevo letto un articolo su un altro sito che parlava di abbonamenti da 4,99€ a settimana dopo aver cliccato sul link, ma io non ne vedo traccia e quindi, teoricamente, non dovrebbe esserci alcun problema!
Spero sia tutto… Per dubbi o domande, non esitate a chiedere 😉