Nemrégiben egy Facebook csoportban egy kolléga arról panaszkodott, hogy hirtelen meglehetősen sok kéretlen levelet kapott, és nem általános (például info@) címre, hanem a saját postafiókjába. Mivel volt kedves velem megosztani ezeket a leveleket, kíváncsiságból utána néztem, hogy megállapítható-e ki áll a kampány mögött.

Két számomra érdekes dolgot találtam. Az első, hogy a vizsgált levelek és kampány mögött egy több mint 100 tagú, jellemzően bedőlt magyar cégekből álló hálózat sejlik fel, a másik pedig, hogy az aktorhoz 5-600 további SPAM landing oldal is kapcsolható.

Többszáz landingból álló hálózat

A SPAM levelek esetében a feladó nem igazán volt a vizsgálat szempontjából érdekes (bár látható a feladó email címek generálásának sémája és azonossága), azonban a küldő szerver már fontosabb lehet – már csak abból a szempontból is, hogy ezeket az IP címeket érdemes feketelistára tenni és nem átvenni tőlük leveleket.

Érdekesebb inkább az, hogy a levelekben szereplő linkek milyen címre mutatnak – sok esetben (mint itt is) ezek átirányítási címek, ha valaki a linkre kattint, a link alatti cím átirányítja a tényleges landing oldalra.

Például a „Somogyi Patrik” feladótól érkező levélben szereplő „http://jpg3.gvpsbhl.icu/twn:2m248428015b7d95tjcywk619my2yp31lz„ cím átirányítja a látogatót a tényleges landing oldalra, azaz jelen esetben a „https://hajgondorito-hu.com”  oldalra.

Bár már a levelek megfogalmazása valamint az .icu végződésű feladó és átirányítási címek  alapján is látható volt, hogy a levelek feltehetőleg ugyanannak az aktornak (csoportnak?) a művei, a landing oldalak részletesebb vizsgálata azonban további érdekességeket is feltárt.

Feltételezve, hogy a landing oldalak látogatási statisztikájára a landing oldal üzemeltetője kíváncsi lehet, érdemesnek tűnt megvizsgálni, hogy szerepelnek-e különféle Google vagy más tracker kódok az oldalakban és azok esetleg köthetők-e további landing oldalakhoz vagy kampányokhoz.

A landing oldalak Google Analytics kódjainak vizsgálata nem csak további azonosságokat bizonyított, de további sokszáz, ehhez a hálózathoz tartozó egyéb SPAM landing oldalt is azonosított.

Például az UA-91628830-1 Google Analytics kód további 82, míg az UA-69610531-1 kód 511 további SPAM landing oldalon is szerepel (pontosabban a vizsgálatkor 511 volt, de jelen pillanatban már 525 oldalon szerepel).

Legyűjtve és összerendezve ezeket az adatokat egy terjedelmes SPAM hálózat képe bontakozik ki, amely nem csak vizuális és tartalmi hasonlóság alapján azonosítható.

A Google analitika kapcsolatok mellett a landing oldalak HTTPS/SSL tanúsítványainak vizsgálatával további landing oldalakhoz lehet eljutni.

Szerencsére a lustaság fél egészség (és gyengíti a diktatúrát) alapon a landing oldalak tanúsítványai úgy lettek kiállítva, hogy nem csak az adott oldalhoz (pl. hajgondorito-hu.com) de sok más landing oldalhoz is érvényesek, így egyszerűen kigyűjthetők a hálózathoz tartozó további oldalak.

A hozzám eljutott levelek landing oldalait három webszerver szolgálja ki, ebből kettő kicsit kakukktojás, mert a ShopRenter CDN-je áll mögötte, de később ez még érdekes lesz a számunkra.  

A legtöbb levél mögötti landing oldalt a 104.168.145.196 IP cím szolgálja ki, és látható, hogy nem csak infrastrultúra, de Google analitika szinten is kapcsolódnak az oldalak.

Reverse IP ellenőrzéssel megállapítható volt, hogy  a vizsgálat idején 411 domain köthető ehez az IP címhez (cikk írásakor már viszont 426 landing domain működik az IP-n). A 426 domaint megnézve mindegyik a SPAM tevékenységhez kapcsolódik.

Átnézve a gyűjtött adatokat megállapítható, hogy a többszáz landing oldalból álló hálózat nem csak magyar, de szlovák és cseh nyelven is teríti a szemetet, legalábbis a sok .sk és .cz domainen működő landing oldal erre enged következtetni.

Céghálózat a SPAM hálózat mögött

A pakoldbe.com és gyumolcspermetezo-hu.com oldalak különösen érdekesek. A permetezős oldal által használt Google Analytics kód további 82 oldalon is megtalálható, és ez a két oldal konkrétan „céghez” is köthető.

A pakoldbe.com oldal a Best Price Holding Kft. nevet tünteti fel az adatkezelési tájékoztatójában, míg a gyumolcspermetezo-hu.com esetében a Best Deals Europe Kft. szerepel az ASZF-ben.

Mindkét cég kényszertörlés alatt áll, nem véletlenül: egyik 2017-ben alapított cég sem igazán mutatott hajlandóságot adófizetésre.

A Best Deals adószámát 2018 decemberében vonták vissza, majd 2019 májusában a céget kényszer-törölték, a Best Price esetében 2018 novemberében NAV, majd 2019 januárjában bírósági végrehajtási határozat, végül 2019 májusában kényszertörlés lett foganatosítva.

Persze ezeknek az intézkedéseknek semmi haszna – egyrész az oldalak továbbra is üzemelnek, másrészt a további vizsgálatok alapján a Best Deals és a Best Price egy bedőlt cégekből álló hálózat tagja.

A cégek ügyvezetői többnyire szerb, szlovák, román, ukrán területeken élő magyar nemzetiségűek (pl. a Best Price esetében Á. Antal – szabadkai születésű egyén), de megtalálhatóak szerb, szlovák, román és ukrán „kollégák” is mint tulajdonosok (pl. a Best Deals esetén S. Miroslav), valamilyen további magyar kapcsolattal (pl. az anya eléggé magyar nevű).

Kapcsolódási pont

A Best Price és Best Deals közötti kapcsolatot (a hasonló néven kívül) egy magyar állampolgár, C. István jelenti, aki mindkét cégben mint „Aláíró kézbesítési megbízottja” szerepel.

Egy kis további kereséssel egy szép magyar népi játék, a cégfantomizálás nemes tevékenységének nyomaira lehet bukkanni. 

C. István neve 110 további cégben jelenik meg, 99 esetben mint kézbesítési megbízott (Aláíró vagy Tag kézbesítési megbízottja), a többiben pedig mint tulajdonos vagy társasági tag szerepel.

A cégeket végig nézve, mindenhol tetten érhető a román, szerb, szlovák, ukrán „nemzetközi” tulajdonosi kör, sőt, érdekességképpen megemlíthető a „Namila Bt.” ahol a tulajdonos egy 92 éves, Ausztráliába szakadt magyar – no nem mintha idős emberek nem vezethetnének sikeresen cégeket, mert látunk erre is jó példákat ugye.

C. István után keresgélve feltételezhető, hogy az úriember hajléktalan.

A céges dokumentumokban szereplő lakcímei valamilyen hajléktalanszállók illetve menhelyek és szociális otthonok címei, illetve elérhető a neten egy 2011-es segélymegállapítás, amelyben szerepel egy ilyen név.

Egyébként jól mehet neki - és nemzetközi karrierbe is kezdett, mivel társ tulajdonosa/ügyvezetője a manchesteri GLOBAL WEB RETAIL LIMITED cégnek is (a magyar cégadatbázisban szereplő születési idő és az angol cégalapítón szereplő születési idő év-hónap egyezik, ez aligha véletlen. És tudjátok, mit tartanak a véletlenről: sok tervezést igényel).

Egy C. István nevű egyén felbukkan egy 2016-os Jófogás átverésben, legalábbis a Jogifórum egyik postjában erre a névre hivatkozik egy károsult.

Lehet-e tovább menni?

Az OSINT-eszközökkel összegyűjtött információkból arra lehet következtetni, hogy a vizsgált SPAM kampány egy legalább 110 tagból álló fantomizált céghálózattal áll kapcsolatban, amely összességében eléggé tetemes összeggel „szaladt” meg (vannak a 10-40 milliós bevételű cégek mellett 300-500-700 milliós bevételű cégek is a listában), és amelyben gyaníthatóan nem csak a kézbesítési megbízott, de a tulajdonosok személyében is (szerb, szlovák, román, ukrán) strómanokkal operál.

Az Open Source Intelligence (OSINT) – azaz a nyilvános forrású információszerzésnek vannak határai, jelen esetben a pontos beazonosításhoz már valamilyen hatóság/szerv munkájára van szükség.

A pakoldbe.com címről esélyes lehet a beazonosítás, mivel a ShopRenter webáruházrendszert használja, és valamilyen módon ott kell magát azonosítania a tulajdonosnak a webshop megnyitásakor vagy a számlák fizetésekor – ezeket az adatokat pedig egy hivatalos eljáráson belül a hatóság ki tudja kérni.

Igen, lehet tovább menni, mert ez csak a külső rétege a hagymának.

Kis kereséssel megtalálható a DiszkontDepo oldal, amely érdekes módon a legtöbb SPAM levélben szereplő termékeket forgalmazza, és amelynek adatvédelmi szabályzata kísértetiesen megegyezik a korábban látott Pakoldbe adatkezelési szabályzatával, és ugyancsak a ShopRenter-t használja, meglehetősen egyező dizájnnal.

Az itt felbukkanó cég a BlueBay Market Kft., amely még nem bedőlt cég, de amely már most is ukrán tulajdonban van egy másik ukrán cégen keresztül, ahol aztán szintén megjelenik egy kézbesítési megbízott.

A Bluebay Market es a korábban nézett Best Price Holding székhelye azonos (Izabella u. 3/a), ami még akkor is érdekes véletlen, ha már tudjuk, hogy a véletlenhez sok tervezés szükséges.

Az Izabella 3/a. egyébként egy székhelyszolgáltató címe, amely véletlenül kézbesítési megbízott szolgáltatásokat biztosít külföldi tulajdonosok és ügyvezetők részére. 

Folyt. köv.