Malware Ojrq.net? - Privacy en beveiliging

Vraag

zondag 19 oktober 2025 08:10

Acties:

Topicstarter

Hallo Tweakers,

Ik kreeg elders van iemand de melding dat er bij/tussenin een link die ik plaatste malware zou zijn gedetecteerd, Ojrq.net. (Wellicht is deze persoon ook hier op Tweakers actief?)
Ik heb echter gewoon de link gebruikt vanuit een betrouwbare mail van Decathlon naar hun site.
Geprobeerd te reproduceren en idd zag ik nu dat vlak voor de bedoelde pagina laadt deze pagina heel kort wordt weergegeven, zie screenshot.

Afbeeldingslocatie: https://tweakers.net/i/180anPV-kfHhbzT74w0Smq3psL8=/800x/filters:strip_icc():strip_exif()/f/image/d3IncQRfJRrYvJGrrcAc8izk.jpg?f=fotoalbum_large

Wat is dat precies en vooral, hoe kom ik er van af...?
Ik vind via Google wel eea, maar niet genoeg om het volledig duidelijk te krijgen.
Dit gebeurt op een Android-telefoon en dan via de Brave browser. Zou niet weten hoe ik aan deze malware ben gekomen. Bitdefender en Malwarebytes vinden overigens niks.
Zou verwijderen/herinstalleren van de Brave browser dit oplossen of is het nu mogelijk ook in mijn andere browsers, Chrome en Firefox, doorgedrongen, of nog erger, dieper in mijn telefoon doorgedrongen, en hoe kan ik dat überhaupt checken? Zou in dat laatste geval een reset naar de fabrieksinstellingen nodig zijn?

[ Voor 11% gewijzigd door ecb1 op 19-10-2025 08:55 ]

Alle reacties

zondag 19 oktober 2025 10:23

Acties:

Juup

Heb je enige indicatie dat je systeem geinfecteerd is met iets - wat dan ook?
Dat ojrq.net domein lijkt gebruikt te worden als redirect dus dat kan ook onschuldig zijn.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

zondag 19 oktober 2025 10:27

Acties:

Hahn

https://codingforseo.com/blog/what-is-ojrq-net/

Het is een affiliate link wat gebruikt wordt voor marketing. Dit soort sites worden gebruikt om te meten hoeveel mensen op links in mails enzo klikken, waarna je doorgestuurd wordt naar de echte link. Dit zit niet op je telefoon, maar in de link(s) zelf.

[ Voor 8% gewijzigd door Hahn op 19-10-2025 10:28 ]

The devil is in the details.

zondag 19 oktober 2025 11:51

Acties:

ecb1

Topicstarter

Juup schreef op zondag 19 oktober 2025 @ 10:23:
Heb je enige indicatie dat je systeem geinfecteerd is met iets - wat dan ook?
Dat ojrq.net domein lijkt gebruikt te worden als redirect dus dat kan ook onschuldig zijn.

Nee, kan me niet iets herinneren. Maar kan wellicht ook ongemerkt gebeurd zijn.

Via Google vond ik bepaalde sites die noemen dat het een browser hijacker zou zijn. Maar dat kan net zo goed incorrecte info zijn, juist bedoeld om mij bewust bepaalde/hun software te laten downloaden om het (zogenaamd) te verwijderen...

zondag 19 oktober 2025 11:58

Acties:

ecb1

Topicstarter

Hahn schreef op zondag 19 oktober 2025 @ 10:27:
https://codingforseo.com/blog/what-is-ojrq-net/

Het is een affiliate link wat gebruikt wordt voor marketing. Dit soort sites worden gebruikt om te meten hoeveel mensen op links in mails enzo klikken, waarna je doorgestuurd wordt naar de echte link. Dit zit niet op je telefoon, maar in de link(s) zelf.

Oké.
Dus dan zou het toch geen malware zijn?
Via Google vond ik nl wel bepaalde sites die noemen dat het een browser hijacker zou zijn. Maar dat kan zoals ik hierboven noemde net zo goed incorrecte info zijn, juist bedoeld om mij bewust bepaalde/hun software te laten downloaden om het (zogenaamd) te verwijderen...

zondag 19 oktober 2025 12:20

Acties:

ecb1

Topicstarter

[ Voor 99% gewijzigd door ecb1 op 19-10-2025 13:07 ]

zondag 19 oktober 2025 13:11

Acties:

ecb1

Topicstarter

Degene die me hierop attendeerde gaf nu zelf aan dat het idd mogelijk toch geen malware is, aangezien "zelfs de schone link nog via via re-route".

Dit is die kennelijk schone link:

decathlon.nl/Outdoor-app-X-Membership_lp-OT7SKC

[ Voor 3% gewijzigd door ecb1 op 19-10-2025 13:14 ]

zondag 19 oktober 2025 13:19

Acties:

Hahn

Als de link in de mail van Decathlon direct ojrg.net toont als je over de link hovert, dan is het alleen maar een redirect en geen malware.

The devil is in the details.

zondag 19 oktober 2025 13:52

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Een mail die jij aan hen stuurt? En

Als je zelf de link als decathlon.nl typt en er verschijnt in je Verzonden mail een link met dat ojrq, heb jij waarschijnlijk malware. Als die ojrq-link er bij jou niet staat maar bij de ontvanger wel, dan heeft die waarschijnlijk malware.

Webmail, of een of andere mailclient? Welke (SMTP) mailserver gebruik je?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 19 oktober 2025 14:07

Acties:

ecb1

Topicstarter

F_J_K schreef op zondag 19 oktober 2025 @ 13:52:
Een mail die jij aan hen stuurt? En

Als je zelf de link als decathlon.nl typt en er verschijnt in je Verzonden mail een link met dat ojrq, heb jij waarschijnlijk malware. Als die ojrq-link er bij jou niet staat maar bij de ontvanger wel, dan heeft die waarschijnlijk malware.

Webmail, of een of andere mailclient? Welke (SMTP) mailserver gebruik je?

Nee, ik kreeg in mijn Gmail-app een mail van Decathlon met een aankondiging van een speciale actie, zoals ik vaker mails van hun en van andere webshops krijg. Zie de link die daarbij hoorde:
decathlon.nl/Outdoor-app-X-Membership_lp-OT7SKC

zondag 19 oktober 2025 14:12

Acties:

ecb1

Topicstarter

Hahn schreef op zondag 19 oktober 2025 @ 13:19:
Als de link in de mail van Decathlon direct ojrg.net toont als je over de link hovert, dan is het alleen maar een redirect en geen malware.

Oké, klinkt plausibel.

Ik las op één van de sites met info daartoe iets over dat als het browser hijacking software zou zijn, dat dat dan een tussentijdse re-route naar een eigen website zou zijn waardoor diegene dan de inkomsten zou genereren, of iets dergelijks.

Maar er lijkt dus toch niks aan de hand.

zondag 19 oktober 2025 15:14

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ah, als ze die zelf zo sturen: slecht dat ze dat doen (ik zou meteen uitschrijven), maar dan lijkt het aan jouw kant geen beveiligingsprobleem.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 19 oktober 2025 16:03

Acties:

ecb1

Topicstarter

Ik wilde net schrijven dat het dan idd wel in orde zal zijn, maar nu viel me juist wat anders op... Laat ik dan nog eea verder toelichten, want het lijkt anders in elkaar te zitten. Hoop dat het duidelijk wordt.

De melding kwam van iemand in de app van Pepper (grote internationale community voor aanbiedingen op allerlei gebieden), bij die persoon leek Adblock Plus de blokkering te geven.
Ik heb daar deze aanbieding van geplaatst en heb daartoe deze link vermeld in de app van Pepper, daar kom ik nl uit als ik de link vanuit die mail van Decathlon open:

https://www.decathlon.nl/...pper%20NL%29&utm_content=

Maar ik krijg die korte tussenstap van ojrq.net alleen te zien als ik vanuit die door mij geplaatste link op Pepper naar die actie op de Decathlon-site klik en voor zover ik zie ook alleen als ik naar de Brave browser ga, niet als ik naar Chrome of Firefox ga.

Dus het gebeurt NIET vanuit die mail van Decathlon, ook niet als ik van daaruit naar de Brave browser ga.
Die mail geeft mij 2 manieren om naar hun site te linken, nl deze 2 links:

https://click.email.decat...59ec8ace00dde68fc01b94cb7

https://contents.mediadec...20%283%29.jpg?format=auto

Suggereert dat dat het misschien juist bij Pepper ligt, wat toch echt een betrouwbare app is?
Of alsnog bij de Brave browser? Wat mij niet waarschijnlijk lijkt, omdat het dan toch ook zou moeten gebeuren als ik vanuit die mail van Decathlon naar de Brave browser doorlink?
Of toch malware?

[ Voor 233% gewijzigd door ecb1 op 19-10-2025 17:17 ]

zondag 19 oktober 2025 17:22

Acties:

Hahn

ecb1 schreef op zondag 19 oktober 2025 @ 16:03:
Ik wilde net schrijven dat het dan idd wel in orde zal zijn, maar nu viel me juist wat anders op... Laat ik dan nog eea verder toelichten, want het lijkt anders in elkaar te zitten. Hoop dat het duidelijk wordt.

De melding kwam van iemand in de app van Pepper (grote internationale community voor aanbiedingen op allerlei gebieden).
Ik heb daar deze aanbieding van Decathlon geplaatst en heb daartoe deze link vermeld in de app van Pepper, daar kom ik nl uit als ik de link vanuit die mail van Decathlon open:

https://www.decathlon.nl/...pper%20NL%29&utm_content=

Maar ik krijg die korte tussenstap van ojrq.net alleen te zien als ik vanuit die door mij geplaatste link op Pepper naar die actie op de Decathlon-site klik en voor zover ik zie ook alleen als ik naar de Brave browser ga, niet als ik naar Chrome of Firefox ga.

Dus het gebeurt NIET vanuit die mail van Decathlon, ook niet als ik van daaruit naar de Brave browser ga.
Die mail geeft mij 2 manieren om naar hun site te linken, nl deze 2 links:

https://click.email.decat...59ec8ace00dde68fc01b94cb7

https://contents.mediadec...20%283%29.jpg?format=auto

Suggereert dat dat het misschien juist bij Pepper ligt, wat toch echt een betrouwbare app is?
Of alsnog bij de Brave browser? Wat mij niet waarschijnlijk lijkt, omdat het dan toch ook zou moeten gebeuren als ik vanuit die mail van Decathlon naar de Brave browser doorlink?
Of toch malware?

Zoals in de link die ik eerder deelde (https://codingforseo.com/blog/what-is-ojrq-net/) te zien is is ojrq.net een site van Impact Radius. De link die jij nu deelt van decathlon heeft in de URL 'utm_source=impactradius' staan, wat dus één en hetzelfde is (ojrq.net = Impact Radius).

Wat er waarschijnlijk gebeurt is dat Decathlon naar ojrq.net linkt, je gaat even naar die URL zodat je meetelt voor de (email)marketing, en daarna wordt je van daaruit weer doorgestuurd naar de site van Decathlon om uiteindelijk uit de komen op de pagina waar jij als gebruiker op wilt eindigen.

Of het kan zijn dat Pepper die utm_source=impactradius aan jouw link toe heeft gevoegd, alleen jij kan dat checken door te kijken welke URL jij precies op Pepper had geplaatst.

Maar hoe dan ook, ik weet 99,9% zeker dat er geen sprake is van malware.

The devil is in the details.

zondag 19 oktober 2025 19:59

Acties:

ecb1

Topicstarter

Oké, zo wordt het steeds duidelijker.

Ik krijg bij de andere links in de deals die ikzelf heb geplaatst op Pepper of bij deals van anderen ook niet die ojrq-tussenstap te zien, alleen bij deze van Decathlon.
Dat noemde diegene die mij erop attendeerde later ook trouwens met zijn eigen test. En hij kreeg die melding qua blokkering in Chrome en Brave.

Ik denk dat ik wel op jouw 99,9% en de rest van de info in dit topic kan vertrouwen dan (tenzij iemand hier alsnog roet in het eten gaat gooien in dat verband) 😉

Edit:
Zojuist voor de volledigheid ook andere Decathlon-deals op Pepper getest en daar gebeurt het allemaal mee. Dus dat bevestigt het idd.

[ Voor 14% gewijzigd door ecb1 op 19-10-2025 20:36 ]

Pagina: 1

Reageer