WhatsApp: emo3.co/hm/ è davvero un buono sconto o si tratta di un virus?

WhatsApp: emo3.co/hm/ è davvero un buono sconto o si tratta di un virus?

Oggi ho ricevuto – come molti di voi – un link via WhatsApp a emo3.co/hm/

Prima di aprire il link dal mio smartphone –  windows mobile, quindi tecnicamente ben al sicuro da virus e simili – ho pensato di agire tramite desktop (anche questo relativamente ben protetto grazie a malwarebytes e avira) e quindi, sfruttando il w3c validator, ho dato una rapida occhiata ai sorgenti del link in questione.

L’unica cosa potenzialmente preoccupante era un js in testata:

*//emo6.co/assets/js/emoticon/3ruqw.js

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(newRegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('(4(i,s,o,g,r,a,m){i['e']=r;i[r]=i[r]||4(){(i[r].q=i[r].q||[]).d(f)},i[r].l=1*h c();a=s.k(o),m=s.5(o)[0];a.6=1;a.7=g;m.n.b(a,m)})(j,y,'A','//C.x-3.p/3.t','2'-);2('u','v-w-9','B'-);2('z','8'-);',39,39,'||ga|analytics|function|getElementsByTagName|async|src|pageview|||insertBefore|Date|push|GoogleAnalyticsObject|arguments||new||window|createElement|||parentNode||com||||js|create|UA|56294004|google|document|send|script|auto|www'.split('|'),,{}))

unpackonline: http://dean.edwards.name/unpacker/

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*newDate();a=s.createElement(o),m=s.getElementsByTagName(o)[];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)})(window,document,'script','//www.google-analytics.com/analytics.js','ga');ga('create','UA-56294004-9','auto');ga('send','pageview');

… Insomma, è analytics e quindi nessun problema!

Tramite browser su desktop, invece, non poteva funzionare (semplice redirect a emo3.co con pagina vuota per i non mobile) a causa di uno script che controllava l’useragent:

<script>
  if(!/Android|webOS|iPhone|iPad|iPod|BlackBerry|IEMobile|Opera Mini/i.test( navigator.userAgent )){

    window.location.replace('http://emo3.co/');

  }
</script>

Per il resto, nulla di preoccupante e virustotal conferma:virustotal.com/it/…/analysis/1459539076/

Così ho provato tramite edge (solitamente uso firefox) con emulazione mobile e… tutto in crash (al punto da dover chiudere a forza il browser), ma il gioco dell’useragent funziona!

emo3hm-ie.PNG

Ritorno su firefox per provare con qualcosa di più serio… Quindi mi fingo un iphone3 tramite User Agent Switcher! … Bene, adesso si ragiona! Niente crash e tutto operativo.

emo3hm
La pagina iniziale (e di domande simili ne fa tre o quattro)…

FireShot Screen Capture #049 - 'Buono Sconto H&M' - emo3_co_hm_it.png
il risultato (guarda te… ho vinto! e pensare che ho cliccato a raffica sempre lo stesso pulsante senza nemmeno leggere…)

A questo punto bisognerebbe cliccare su invita (via WhatsApp) e far partire il sistema virale… ma se clicchiamo su continua un paio di volte… beh, alla fine si convince e ci fa continuare!

FireShot Screen Capture #050 - 'Buono Sconto H&M' - emo3_co_hm_it-sign.png
Qui, adesso, tocca registrarsi per ricevere l’ambito premio! Ma potete inserire qualunque roba in quei campi, tanto il pulsante manda semplicemente ad un’altra pagina…

FireShot Screen Capture #051 - 'Panel Mobile __ Home Page' - mobilepanel2_nielsen_com.png
Ed eccoci arrivati su quello che è un semplicissimo link, che non necessità di tutto quel sistema via WhatsApp, e che non ha bisogno di inviti ecc… Ah, già, e che non vi regala alcun buon H&M!

Link originale con sospetta variabile “src” che sa tanto di referer…

mobilepanel2.nielsen.com/nenroll/home.do?type=load&l=it_it&pid=2&src=1123&id=0

Nielsen (no ref): https://mobilepanel2.nielsen.com/nenroll/home.do?type=load&l=it_it&pid=2

Il contratto: https://mobilepanel2.nielsen.com/nenroll/memberAgreement.do?l=it_it&pid=2

 

Gli header della pagina:

Date: Fri, 01 Apr 2016 19:31:46 GMT

Server: Apache/2.2.15

X-Powered-By: PHP/5.3.3

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html; charset=UTF-8


200 OK

Qui i sorgenti: view-source:http://emo3.co/hm/it/

FireShot Screen Capture #053 - 'http___emo3_co_hm_it_' - view-source_emo3_co_hm_it.png

Il javascript nell’header, come già detto all’inizio dell’articolo, è semplicemente analytics, per il resto il codice – multilingua – non è scritto granché bene, e c’è persino una mail in chiaro (se volete approfittarne per far sapere loro cosa ne pensate….) 😛

PS: hm indica:

H & M Hennes & Mauritz AB, comunemente conosciuta come H&M, un’azienda di abbigliamento svedese. Di proprietà di H&M sono inoltre i marchi Cheap Monday, COS, Monki, Weekday e & Other Stories.

Credo proprio che la società/azienda non abbia nulla a che vedere con questo “sporco gioco”, ma si tratti solo di qualche ragazzetto che per accaparrarsi qualche premio extra ha creato tutto questo sistema e grazie ai referer avrà qualche guadagno, tutto qua (sistema piuttosto “articolato” considerando il multilingua e lo sforzo per far girare il tutto…).

Anche la nielsen è certamente estranea a tutto ciò.

Insomma, non cliccateci… Cancellate il link, e non registratevi (regola generale per qualunque link che ricevete tramite qualunque canale, anche se a mandarlo è la persona più fidata al mondo – se non siete sicuri, meglio cancellare)!

NB: Avevo letto un articolo su un altro sito che parlava di abbonamenti da 4,99€ a settimana dopo aver cliccato sul link, ma io non ne vedo traccia e quindi, teoricamente, non dovrebbe esserci alcun problema!

Spero sia tutto… Per dubbi o domande, non esitate a chiedere 😉




Lascia un commento