Сайт працюєАле ми продовжуємо роботу над оновленням :)

Украинцев ловят «на живца» через подставные VPN-сервисы для обхода блокировки VKontakte

2-06-2017, 18:52
2 345
0
Украинцев ловят «на живца» через подставные VPN-сервисы для обхода блокировки VKontakte

Источник: Volodymyr Kolesnykov специально для сайта международного разведывательного сообщества InformNapalm

С момента подписания указа Президента Украины о санкциях в отношении российских IT-компаний прошло 10 дней, но за это время тема обхода блокировки Vkontakte, Одноклассники, сервисов Яндекс и Mail.ru прочно вошла в тренд. Ловить рыбу в мутной воде всегда легче, поэтому мошенники и спецслужбы страны-агрессора не упустили возможности подсадить украинских пользователей на иглу собственных VPN-сервисов. Волонтеры InformNapalm разобрали один из примеров, который ярко иллюстрирует факт ловли пользователей «на живца».

Анализ VPN-наживки

Сообщество «Типичный Киев» разместило рекламу сервиса обхода блокировок — vkunblock.com

Украинцев ловят «на живца» через подставные VPN-сервисы для обхода блокировки VKontakte

Как обычно, реклама подается под соусом «сделаем украинский интернет свободным от запретов» и «совершенно бесплатно». Бесплатный сыр бывает только в мышеловке. Изучим данный сервис подробнее.

Начнём с изучения группы в VK.

Украинцев ловят «на живца» через подставные VPN-сервисы для обхода блокировки VKontakte

Из описания группы видим, что у владельцев сервиса есть как минимум два сайта: vkunblock.com и vkonline.xyz. По информации whois vkunblock.com был зарегистрирован вчера (26.05.2017), а vkonline.xyz — 18.05.2017. Информация о владельце домена закрыта, а сам сервис использует Cloudflare, что позволяет ему скрыть настоящие IP-адреса своих серверов (и, как следствие, мешает установить географическую принадлежность сервиса).

Для дальнейшего анализа придётся устанавливать расширение из Chrome Web Store.

Расширение состоит из четырёх файлов javascript: analytics.js (скрипт похож на Google Analytics), app.js, chrome.js и пустого proxy.js.

В app.js самое интересное для нас — это URL: https://pac.safe-proxy.com/coahpcpgfnnaddeelpphpifmgfobflog.pac

PAC — Proxy Automatic Configuration — файл для автоматической настройки прокси. В этом файле содержатся правила, указывающие, какие прокси-сервера в каких случаях браузер должен использовать.

Разбор кода

На данный момент файл имеет следующий вид:

function FindProxyForURL(url, host)
{
var cdnSrv = ‘hole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var imSrv = ‘imhole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var mainSrv = cdnSrv;if(shExpMatch(host, «*vk.com») || shExpMatch(host, «*vk-cdn.net»)
|| shExpMatch(host, «*vk-cdn.me»)
|| shExpMatch(host, «*userapi.com»)
|| shExpMatch(url, «*vk.com/audios*»)
|| shExpMatch(url, «*vk.com/al_audio*»))
return «PROXY «+cdnSrv;
if(shExpMatch(host, «*vkontakte.ru»)
|| shExpMatch(host, «*.vk.com»)
|| shExpMatch(url, «*apivk.com*»))
return «PROXY «+imSrv;

if(shExpMatch(url, «*vk.cc*») ||
shExpMatch(url, «*vk.me*») ||
shExpMatch(url, «*ok.com*») ||
shExpMatch(url, «*odnoklassniki.com.ua*») ||
shExpMatch(url, «*odnoklassniki.ru*») ||
shExpMatch(url, «*mycdn.me*») ||
shExpMatch(url, «*odnoklassniki.ua*») ||
shExpMatch(url, «*ok.ru*») ||
shExpMatch(url, «*mradx.net*») ||
shExpMatch(url, «*ok.me*») ||
shExpMatch(url, «*portal.mail.ru*») ||
shExpMatch(url, «*ad.mail.ru*») ||
shExpMatch(url, «*imgsmail.ru*») ||
shExpMatch(url, «*mail.ru*») ||
shExpMatch(url, «*ya.ru*») ||
shExpMatch(url, «*2ch.hk*») ||
shExpMatch(url, «*kinopoisk.ru*») ||
shExpMatch(url, «*drweb.com*») ||
shExpMatch(url, «*kaspersky.ua*») ||
shExpMatch(url, «*.kaspersky.*») ||
shExpMatch(url, «*yandex.st*») ||
shExpMatch(url, «*yastatic.net*») ||
shExpMatch(url, «*yandex.ru*») ||
shExpMatch(url, «*yadi.sk*») ||
shExpMatch(url, «*yandex.fr*») ||
shExpMatch(url, «*donationalerts.ru*») ||
shExpMatch(url, «*yandex.net*») ||
shExpMatch(url, «*yandex.com*») ||
shExpMatch(url, «*livejournal.ru*») ||
shExpMatch(url, «*yandex.ua*»))
return «PROXY «+mainSrv;

return «DIRECT»;
}


Нас больше всего интересуют строки с cdnSrv и imSrv — в них содержатся адреса используемых серверов. Авторы сервиса разбили «санкционный список» на три части, для каждой из этих частей используется свой прокси-сервер, а для сайтов не из списка — прямое соединение (без прокси).

Наш список для анализа сайтов пополнился двумя именами: safe-proxy.com и freevpn.pw. Второе имя отбрасываем сразу: это прокси-сервер, предоставляемый одноимённым сервисом, не имеющим отношения к VK Unblock. Их сервера используются в качестве резервных на случай, если safe-proxy.com не сможет обработать запрос.

Для safe-proxy.com данные whois показывают, что домен был создан 22.05.2017, данные о владельце закрыты, а в качестве DNS-серверов используются те же сервера Cloudflare, что и для vkunblock.com и vkonline.xyz. Казалось бы, снова неудача. Но нет. дело в том, что Cloudflare может скрывать IP-адреса только для обычных сайтов, использующих протокол http или https. А для прокси-сервера это не работает. Следовательно, IP-адреса для hole.safe-proxy.com и imhole.safe-proxy.com будут настоящими.

Итак,
Украинцев ловят «на живца» через подставные VPN-сервисы для обхода блокировки VKontakte

imhole.safe-proxy.com: 95.213.205.98
hole.safe-proxy.com: 213.196.53.28
hole.safe-proxy.com: 88.212.244.244
hole.safe-proxy.com: 213.196.53.36

95.213.205.98 (сеть 95.213.205.0/24) — это IP-адрес, принадлежащий российскому хостинг-провайдеру «Селектел» (для справки: VK тоже использует дата-центр этого провайдера)

Украинцев ловят «на живца» через подставные VPN-сервисы для обхода блокировки VKontakte

88.212.244.244, 213.196.53.28 и 213.196.53.36 — IP-адреса серверов, предоставляемых ООО «Единая сеть» (московская компания, имеющая филиалы в Далласе (США) и Амстердаме (Нидерланды)).

Украинцев ловят «на живца» через подставные VPN-сервисы для обхода блокировки VKontakte
Украинцев ловят «на живца» через подставные VPN-сервисы для обхода блокировки VKontakte
Украинцев ловят «на живца» через подставные VPN-сервисы для обхода блокировки VKontakte

Ещё один интересный момент: VK Unblock использует HTTP-прокси, не HTTPS. Разница между ними в том, что в первом случае используется незащищённое соединение (и при большом желании провайдер может видеть попытку установки соединения с «санкционным сайтом» через прокси), а во втором — защищённое.

Чем плох VK Unblock? Во-первых, данный сервис предоставляется украинцам страной-агрессором. После событий в Крыму и на Донбассе в доброту и бескорыстие «братского народа» мы не верим. Во-вторых, владелец ресурса может вести журнал доступа. Соответственно, доступ к прокси из какой-нибудь государственной сети будет запротоколирован, а сам факт попытки обхода блокировки со стороны чиновника — очередной компромат. В-третьих, нет гарантии, что владелец ресурса в один прекрасный день не начнет проксировать трафик не только для VK, но и, например, для Facebook либо для каких-нибудь правительственных ресурсов (и в зависимости от IP-адреса клиента). Превратив HTTP-прокси в SOCKS, сервис будет пропускать через себя и запросы DNS с возможностью подменять ответы для конкретных пользователей сервиса. Возможности ограничиваются лишь способностями владельца ресурса.

Будьте бдительны. В поисках обходного пути не попадайте в ловушки, расставленные агрессором и мошенниками. Запретный плод сладок, но есть уйма открытых альтернатив почтовых сервисов, поисковиков и социальных сетей, вне досягаемости российских спецслужб. Подумайте, прежде чем нырять в мутную воду, хорошо ли вы плаваете?
Сподобався матеріал? Підтримай сайт і поділись матеріалом з друзями! :)
Опублікував admin
Подібні публікації
Как украинцев взламывают через VPN-сервисы
VPN-программы дают злоумышленникам доступ к информации не только самого пользователя, но всей сети, к которой он подключен
Чем опасно для украинцев посещать запрещенные российские сайты «в обход»
Эксперты рассказали, какими браузерами стоит пользоваться, а какими — нет
Семен Семенченко впервые снял балаклаву и показал лицо
Командир батальона Донбасс больше не боится за безопасность семьи, поэтому показал свое лицо.
Путин заявил о желании прекратить "конфликт в Украине"
Несмотря на заявления президента РФ, военные этой страны в четверг продолжают обстреливать территорию Украины и поставлять террористам оружие
Проукраинские хакеры взломали сайт русских националистов
Вместо российского ресурса открывается сайт Информационное сопротивление.
Коментарі
Додати коментар
Додати свій коментар:
Ваше ім'я:
Ваш E-Mail:
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
Запитання:
Наберите цифрами: 555 восемдесять семь 5тисяч один
Відповідь: *
Топ Коментарі Архів
Ahet пише:
Умора Прислали молодці Забирайте тепер назад в пакетах
Анна пише:
Россияне, очнитесь! Неужели вы думаете, что весь мир сошел с ума, выставляя вам такие санкции, и одна только Россия
гость пише:
у моего любовника частенько бывали отсеки и мне это не нравилось, хотела уже расходится но решила выяснить причину .
муж после сорока и осечки в постели начитался сайтов и решил просто поменять образ жизни и бросить курить, помогло
«    Березень 2023    »
ПнВтСрЧтПтСбНд
 12345
6789101112
13141516171819
20212223242526
2728293031 
Березень 2023 (55)
Лютий 2023 (38)
Січень 2023 (40)
Грудень 2022 (41)
Листопад 2022 (38)
Жовтень 2022 (39)
Опитування
Чи розкажете ви про нас своїм друзям?