Security Professionals - ipfw add deny all from eindgebruikers to any

Whatsapp lidl spam

19-07-2017, 09:21 door Anoniem, 6 reacties
Hey Guys,

Thought this was something I had to share with you.
There is a add campaign spreading via Whatsapp, when you click a url it sends a message using your Whatsapp client.

I did some curl requests and dumped the source code for further analysis, please give your opinion about it.

Pastebin url: https://pastebin.com/raw/KUcWfTUs


foo@bar:~$ curl lidl-nl.site
<meta property="og:image" content="http://i.imgur.com/KwV8Pti.png" />

<meta property="og:title" content="Krijg nu een GRATIS Lidl-waardebon ter waarde van 250€!" />
<meta property="og:type" content="website" />

<meta http-equiv="refresh" content="0;URL='http://www.lidl.nl-waardebonn.com/'" />


<!-- Histats.com START (aync)-->
<script type="text/javascript">var _Hasync= _Hasync|| [];
_Hasync.push(['Histats.start', '1,3857264,4,0,0,0,00010000']);
_Hasync.push(['Histats.fasi', '1']);
_Hasync.push(['Histats.track_hits', '']);
(function() {
var hs = document.createElement('script'); hs.type = 'text/javascript'; hs.async = true;
hs.src = ('//s10.histats.com/js15_as.js');
(document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(hs);
})();</script>
<noscript><a href="/" target="_blank"><img src="//sstatic1.histats.com/0.gif?3857264&101" alt="free tracking" border="0"></a></noscript>
foo@bar:~$ curl http://www.lidl.nl-waardebonn.com/
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<meta name="viewport" content="initial-scale=1" />
<link rel="stylesheet" type="text/css" href="css/style4.css" />
<title>Lidl</title>
<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">

<script src="s34s334.min.js"></script>


<script type="text/javascript" language="javascript">
var areYouReallySure = false;
var internalLink = false;
if (typeof window.orientation == 'undefined' && screen.width >= 1000){window.location.href = 'http://nl-waardebonn.com/'; areYouReallySure=true;}
</script>

</head>
<body>
<script language="javascript">
document.onmousedown=disableclick;
Function disableclick(event)
{
if(event.button==2)
{
alert(status);
return false;
}
}
</script>
<p class="preheader">Contact ? <span style="font-weight:bold">Cadeaukaart 250€</span> ? Careers ? Lidl.nl </br>
<center><img id="img1" src="lidllogo.png" alt="" width="10%">
<img id="img2" src="lidllogo.png" alt="" width="50%"></center>
<table class="header">
<tr>

<td><center><span id="date"></span></center></td>
</tr>
</table>
<div class="wrapper">
<h2>Gefeliciteerd!</h2>
<p class="about"><span class="bold red">Je bent geselecteerd om deel te nemen aan deze korte enquête en een waardebon van 250€ te winnen voor Lidl! We hebben nog maar 163 cadeaus over dus haast je! </p>
<div class="q" id="q1">
<h3>1/3: Heb je ooit gewinkeld in een Lidl supermarkt?</h3>
<a class="answer" href="javascript:void(0);">JA</a>
<a class="answer" href="javascript:void(0);">NEE</a>
<a class="answer" href="javascript:void(0);">WEET IK NIET MEER</a>
</div>
<div class="q" id="q2">
<h3>2/3: Heb je ooit een cadeau bij Lidl gekocht voor een vriend of familielid?</h3>
<a class="answer" href="javascript:void(0);">JA</a>
<a class="answer" href="javascript:void(0);">NEE</a>
<a class="answer" href="javascript:void(0);">WEET IK NIET MEER</a>
</div>
<div class="q" id="q3">
<h3>3/3: Ben je ooit ontevreden geweest over een product dat je kocht bij Lidl?</h3>
<a class="answer" href="javascript:void(0);">JA</a>
<a class="answer" href="javascript:void(0);">NEE</a>
<a class="answer" href="javascript:void(0);">WEET IK NIET MEER</a>
</div>
<div id="loading">
<img src="images/loader.gif" class="loader" />
<ul class="load-list">
<li class="li1">Je antwoorden naar Lidl.nl aan het sturen...</li>
<li class="li2">Je antwoorden aan het analyseren...</li>
<li class="li3">Gefeliciteerd! Je hebt een waardebon van 250€ gewonnen voor Lidl!</li>
</ul>
</div>
<div id="final">

<p class="txt2"><span class="bold">Hoe krijg jij (1) gratis cadeaubon?</p>
<p class="txt2"><span class="bold">1. Vertel 10 vrienden op WhatsApp over deze actie! (Klik op de knop 'UITNODIGEN')</p>
<p class="txt2"><span class="bold">2. Klik op 'Verdergaan' en voer je verzendgegevens in.</p>
<p class="txt2"><span class="bold">3. Wacht op je cadeaubon.</br></span><center><span style="background-color: #ffcc00; font-weight:bold; font-style:italic"><font color="#ffcc00">.</font><font color="#d60411"> DHL </font><font color="#ffcc00">.</font></span> <font color="#000000"><span style="text-color: #000000; font-weight:bold; font-style:italic">24-uurs levering</span></font></center></p>
</ul>


<div class="whatsappCta-container">
<a class="whatsappCta" id="b1" href="whatsapp://send?text=Hey Lidl geeft waardebonnne van *€250 weg????????*. Ik heb net de mijne gekregen. Claim er één hier zolang het nog kan: http://lidl-nl.site je mag me later bedanken ??" target="_blank">UITNODIGEN</a>
</div>

<div class="whatsappCta-container">
<a class="whatsappCta3" id="b2" href="javascript:void();">Verdergaan</a>
</div>
</div>
</div>
</div>
</div>
</div>
<div class="cont fbcoms">
<p class="comments">Reactie:</p>
<div class="addcom">
<a class="genericimg" href="#"><img src="images/generic.jpg" /></a>
<textarea class="newcom" placeholder="Schrijf een reactie..."></textarea>
<input class="newname" placeholder="Schrijf je naam..." />
<div class="rightalign">
<button class="insertcom">Reactie</button>
</div>
</div>
<p class="buttons">
<span class="like">Leuk</span> · <span>Reactie</span> · <span>Share</span>
</p>
<p class="totlikes"><span id="youand"></span><span class="fbblue">12,068 others</span> Leuk deze</p>
<p class="viewmore clearfix">
<span class="left">Vorige reacties weergeven</span>
<span class="right">50 van 80,312</span>
</p>
<div class="item hidden yourcom">
<img class="profileimg" src="images/generic.jpg" />
<p class="comtxt"><span class="name yourname"></span> <span class="yourtext"></span></p>
<p class="combot"><span class="ago">Zojuist</span> · <span class="fblike">Leuk</span></p>
</div>
<div id="fb8" class="item hidden">
<img class="profileimg" src="images/i1.png" />
<p class="comtxt"><span class="name">Emerentiana Philipsen</span> Ik was bij Jumbo en ik kocht een heleboel cosmetica met mijn beste vriend. #Juillet</p>
<p class="combot"><span class="ago">Zojuist</span> · <span class="fblike">Leuk</span></p>
</div>
<div id="fb7" class="item hidden">
<img class="profileimg" src="images/i2.png" />
<p class="comtxt"><span class="name">Rosan Santegoets</span> Het was druk op de Lidl vandaag. Het lijkt erop dat veel mensen deze cadeaubonnen hebben gewonnen.</p>
<p class="combot"><span class="ago">Zojuist</span> · <span class="fblike">Leuk</span></p>
</div>
<div id="fb6" class="item hidden">
<img class="profileimg" src="images/i3.png" />
<p class="comtxt"><span class="name">Lewis Weijer</span> Lidl hebben de beste producten.</p>
<p class="combot"><span class="ago">Zojuist</span> · <span class="fblike">Leuk</span></p>
</div>
<div id="fb5" class="item hidden">
<img class="profileimg" src="images/i4.png" />
<p class="comtxt"><span class="name">Caterina Staring</span> Jaaaa, ik kocht de duurste producten uit de supermarkt. </p>
<p class="combot"><span class="ago">Zojuist</span> · <span class="fblike">Leuk</span></p>
</div>
<div id="fb4" class="item hidden">
<img class="profileimg" src="images/i5.png" />
<p class="comtxt"><span class="name">Sten Poelstra</span> Dank je, Lidl. </p>
<p class="combot"><span class="ago">Zojuist</span> · <span class="fblike">Leuk</span></p>
</div>
<div id="fb3" class="item hidden">
<img class="profileimg" src="images/i6.png" />
<p class="comtxt"><span class="name">Kees-Jan Tensen</span> Ik vroeg me af waar ik een geschenk zal duren voor mijn vriendin. Dank je wel, Lidl.</p>
<p class="combot"><span class="ago">Zojuist</span> · <span class="fblike">Leuk</span></p>
</div>
<div id="fb2" class="item hidden">
<img class="profileimg" src="images/i7.png" />
<p class="comtxt"><span class="name">Wolter Pastoor</span> Ik ben de gelukkigste vrouw op aarde.</p>
<p class="combot"><span class="ago">Zojuist</span> · <span class="fblike">Leuk</span></p>
</div>
<div id="fb1" class="item hidden">
<img class="profileimg" src="images/i8.png" />
<p class="comtxt"><span class="name">Cilla Houtenbos</span> Wow, ik won 250€ van Lidl. Ik zal zeker meer boodschappen te doen. </p>
<img class="fbimg" src="1.jpg" />
<p class="combot"><span class="ago">Zojuist</span> · <span class="fblike">Leuk</span></p>
</div>
<div class="item">
<img class="profileimg" src="images/i9.png" />
<p class="comtxt"><span class="name">Josepha Geertman</span> Mijn man houdt van alle producten van Lidl.</p>
<img class="fbimg" src="2.jpg" />
<p class="combot"><span class="ago">11 minuten</span> · <span class="fblike">Like</span><span class="likes totlikes">267</span></p>
</div>
<div class="item">
<img class="profileimg" src="images/i10.png" />
<p class="comtxt"><span class="name">Izzet van Soeren</span> Met deze gift card om Lidl maakte ik giften voor de gehele familie.</p>
<p class="combot"><span class="ago">17 minuten</span> · <span class="fblike">Like</span><span class="likes totlikes">63</span></p>
</div>
<div class="item">
<img class="profileimg" src="images/i11.png" />
<p class="comtxt"><span class="name">Adilson de Moor</span>Wie zou hebben gedacht dat ik een 250 € cadeaubon van Lidl kon winnen.</p>
<img class="fbimg" src="3.jpg" />
<p class="combot"><span class="ago">19 minuten</span> · <span class="fblike">Like</span><span class="likes totlikes">112</span></p>
</div>
</div>
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script>
<script type="text/javascript">
eval(atob("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"));

</script>

<script type="text/javascript">
function date(a) {
var d = new Date();
var m = ["Januari","Februari","Maart","April","Mei","Juni","Juli","Augustus","September","Oktober","November","December"];
$(a).html(d.getDate()+". "+m[d.getMonth()]+" "+d.getFullYear()+" ");
return false;
}
function addCom() {
if($(".newcom").val() != "" && $(".newname").val() != "") {
$(".yourtext").html($(".newcom").val());
$(".yourname").html($(".newname").val());
$(".yourcom").css({"opacity":1}).fadeIn(250);
$(".newcom, .newname").val("");
$(".addcom").hide();
} else alert("Enter full name & comment please");
return false;
}
function FBcom(a,b) {
setTimeout(function() {
var m = 0, n = true, op = 0;
$(a+", "+a+" .comtxt, "+a+" .combot").slideDown(500);
$().slideDown(500);
var t = setInterval(function() {
op += 0.2;
$(a).css({"opacity":op});
m++;
if(m == 5) clearInterval(t);
}, 100);
}, b);
}
var i = 0;
$(document).ready(function() {
date("#date");
$(".addcom").on("click", ".insertcom" ,addCom);
$(".like").click(function() {
if($(this).hasClass("selected")) {
$(this).removeClass("selected");
$(this).html("Like");
$("#youand").html("");
} else {
$(this).addClass("selected");
$(this).html("Unlike");
$("#youand").html("You and ");
}
});
$(".fblike").click(function() {
if($(this).hasClass("selected")) {
$(this).removeClass("selected");
$(this).html("Like");
} else {
$(this).addClass("selected");
$(this).html("Unlike");
}
});
var city = (typeof geoip_city == typeof Function && geoip_city() != "") ? geoip_city() : "your city";
var region = (typeof geoip_region_name == typeof Function && geoip_region_name() != "") ? ", "+geoip_region_name() : "";
var country = (typeof geoip_country_name == typeof Function && geoip_country_name() != "") ? ", "+geoip_country_name() : "";
$(".geoip").html(city+region+country);
$(".q .answer").on('click',function() {
i++;
$(this).addClass("pulse");
var _this = this;
setTimeout(function() {
$(_this).parent().fadeOut(250, function() {
if($(_this).parent().next().hasClass("q")) $(_this).parent().next().fadeIn(250);
else {
$("#loading").fadeIn(250);
setTimeout(function() {
$(".li1").fadeIn(250);
}, 1850);
setTimeout(function() {
$(".li2").fadeIn(250);
}, 4350);
setTimeout(function() {
$(".li3").fadeIn(250);
}, 6800);
setTimeout(function() {
$(".loader").fadeOut(250, function() {
$("#final, .fbcoms").fadeIn(250);
FBcom("#fb1",3000);
FBcom("#fb2",5000);
FBcom("#fb3",7000);
FBcom("#fb4",9000);
FBcom("#fb5",10500);
FBcom("#fb6",13000);
FBcom("#fb7",15000);
FBcom("#fb8",20000);
});
}, 8600);
}
});
}, 1000);
});
});
</script>
<script>
$(document).bind('keydown keypress', 'ctrl+s', function(){
$('#save').click();
return false;
});
</script>
<body oncontextmenu="return false">
<script type="text/javascript">
<!--

var answer = confirm ("Gefeliciteerd!\n\nJe hebt een Lidl-waardebon van €250,– gewonnen!!\n\nKlik op OK om hem nu te claimen!")

// -->
</script>
<!-- Histats.com START (aync)-->
<script type="text/javascript">var _Hasync= _Hasync|| [];
_Hasync.push(['Histats.start', '1,3857264,4,0,0,0,00010000']);
_Hasync.push(['Histats.fasi', '1']);
_Hasync.push(['Histats.track_hits', '']);
(function() {
var hs = document.createElement('script'); hs.type = 'text/javascript'; hs.async = true;
hs.src = ('//s10.histats.com/js15_as.js');
(document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(hs);
})();</script>
<noscript><a href="/" target="_blank"><img src="//sstatic1.histats.com/0.gif?3857264&101" alt="histats" border="0"></a></noscript>
<!-- Histats.com END -->
</body>
Reacties (6)
19-07-2017, 09:44 door Anoniem
a very basic PoC would be:


<html>
<head>
<meta property="og:image" content="http://i.imgur.com/KwV8Pti.png" /> <!-- Shown in whatsapp preview -->
<meta property="og:title" content="Krijg nu een GRATIS blablablabla" /> <!-- Shown in whatsapp preview -->
<meta property="og:type" content="website" /> <!-- Whatsapp/mobile meta information -->
<meta http-equiv="refresh" content="0;URL='whatsapp://send?text=Whatsapp URLs are bad mmkayyy'" /> <!-- Actual mechanism -->
<style>
body{
background-color:black;
}
h1{
text-align:center;
width:100%;
font-size:33;
color:red;
}
</style>
</head>

<body>
<script></script>
<h1>HAXED</h1>
</body>

</html>
19-07-2017, 10:32 door Anoniem
Bedankt voor het melden!

Dit is geen spam van Lidl, het noemt slechts Lidl. De bekende supermarkt Lidl wordt gebruikt om je te overreden persoonlijke gegevens te overhandigen. Het lokmiddel is een waardebon, die niemand daadwerkelijk krijgt. Lidl zelf is hier waarschijnlijk helemaal niet bij betrokken en zo'n waardebon bestaat waarschijnlijk ook helemaal niet.

Deze wijze van opt in verzamelen wordt veel toegepast door snowshoe spammers in de VS en opt-in -cam spammers in Europa. Er zijn ook een aantal Nederlandse bedrijven die dit doen. Meestal vanuit een ander land, want dat maakt aanpakken moeilijker.

Het gebruikte domein hier is "nl-waardebonn punt com".

Lidl waarschuwt voor dergelijke spam: http://www.lidl.nl/nl/9146.htm

Trap niet in winspelletjes en sta je gegevens nooit af in ruil voor een kans op een prijs.
19-07-2017, 10:56 door Anoniem
Ik heb gister op facebookm een hoop voorbij zien komen over dit check deze link:
http://cybertalk.nl/opgepast-whatsapp-virus-actief/
19-07-2017, 12:17 door Anoniem
Had deze gister via mijn moeder gekregen.. maar bij een blik op het bericht zag ik al dat het niet klopte...
voor €250 koop ik een hele lidl leeg zei ik tegen me moeder. zei schoot in de lach .. en zei ja je hebt gelijk...
If it sound to good to be truth it probably is...(on the internet)
20-07-2017, 16:21 door Anoniem
In sommige berichten zegt men dat het klikken op de link het bericht automatisch verder stuurt naar al je contacten. Kan dit? En indien wel, hoe voorkom ik dat het klikken op een link op een website een bericht stuurt naar al mijn contacten...
21-07-2017, 05:21 door Anoniem
Door Anoniem: In sommige berichten zegt men dat het klikken op de link het bericht automatisch verder stuurt naar al je contacten. Kan dit? En indien wel, hoe voorkom ik dat het klikken op een link op een website een bericht stuurt naar al mijn contacten...

De betreffende link is dit stukje
<meta http-equiv="refresh" content="0;URL='whatsapp://send?text=*'" />
Puur whatsapp-related.

zie oa. https://faq.whatsapp.com/android/28000012
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search