02.01.2018 18:35
Canapsis 49 28100 Источник
Эта статья обошлась мне в 3343 рубля, именно столько Я потерял при переводе Litecoin на Qiwi RUB и хочу описать мою историю подробно, чтобы Вы дорогие Хабровчане не наступили на те же грабли что и Я.

Мне нужно было вывести средства с биржи Poloniex в фиат. Для этого Я воспользовался популярным сервисом bestchange, на котором нашел сервис 4exchange.cash, он предложил мне перевести средства по указанному адресу

image

Как ни в чем не бывало Я скопировал жирненький адрес и перевел на него 0.25 LTC

image

Но после всех подтверждений в блокчейне Litecoin, средства на QIWI кошелек так и не пришли.
Я начал писать в тех.поддержку прямо в том же окне браузера, что деньги так и не поступили, на что мне дали ответ никаких транзакций по адресу live.blockcypher.com/ltc/address/LXsw2rNJtwX3J7eimmqEoZh6Cg4n5U6EEM/ не поступало.

Я удивился, что адрес кошелька другой, отличается от того, что был на скриншоте. Последовала долгая переписка с тех поддержкой, где каждая сторона отстаивала свою точку зрения.

Но самое интересное было записано на видео с помощью Camatasia Studio. Там мне удалось снять, как адрес о котором мне постоянно упоминала тех.поддержка менялся автоматически на странице при обновлении, практически мгновенно на другой адрес, на который Я совершил перевод.

Адрес официальный — LXsw2rNJtwX3J7eimmqEoZh6Cg4n5U6EEM
Адрес мошенника — LKyKqLVy6KgyCYekftCHFTBLYiZyUvxtsG

Упёртость тех.поддержки 4exchange.cash и не желание разобраться в моем вопросе наталкивала на мысли о том, что сам сервис является мошенником.

Но потом Я вспомнил, что со мной уже происходил подобный случай около полугода назад. Я менял биткоины на эфириум и мне тоже ничего не выплатили сославшись на то, что Я не совершал перевод. Мне показалось странным что на bestchange уже 2 подобных сервиса занимаются мошенничеством.

Тогда Я предположил, а что если какое-то расширение специально подменило адрес Litecoin кошелька в моем браузере?

Я попробовал совершить перевод на совершенно другом сервисе и оказалось мошеннический адрес вылез и там. Затем Я стал удалять расширения из Google Chrome и обновлять страницу с переводом. Когда Я удалил расширение UBLOCK ADBLOCK PLUS то адрес при обновлении страницы поменялся на другой и тем самым Я сделал вывод, что именно расширение UBLOCK ADBLOCK PLUS подсунуло свой адрес в страницу сервиса 4exchange.cash

Таким образом мои бабосики улетели разработчику этого «замечательного» расширения. Что примечательно при повторной установке, подобных проблем не выявилось. Видимо скрытая «фича» активируется спустя какое-то время, когда бдительность юзера засыпает, он привыкает к этому расширению, не замечает за ним каких-то косяков, а потом бац и включается жесткая монетизация в черной форме.

В связи с выше изложенным прошу компетентных читателей проверить мою теорию, и в случае подтверждения как-то связаться с Google и предупредить их о том, что в их магазине расширений завелась крыса, которая портит карму компании.

Еще поразил тот факт что сервис 4exchange.cash не шел на контакт и с каждым ответом обвинял меня в том, что это Я всё смонтировал и пытаюсь их обмануть. При этом они полные нули в обеспечении безопасности:

  1. Они не проинформировали пользователя о возможной подмене адреса и даже полностью отрицали (переписка) возможность таких событий.
  2. Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F

Мне кажется это просто неприемлемо для сервиса с подобной услугой.
Вывод: будьте внимательны и осторожны при обмене криптовалюты, не используйте браузеры с расширениями!

Спасибо за внимание.

Комментарии (49)


  1. ru_vlad
    02.01.2018 22:00
    #10595944

    Вывод: будьте внимательны и осторожны при обмене криптовалюты, не используйте браузеры с расширениями!

    Самый правильный вывод! Да и вообще все эти расширения "троянский конь".


  1. nerudo
    02.01.2018 22:17
    #10595958
    +2

    Если расширение уже по названию пытается маскироваться под два популярных, то есть повод что-то заподозрить…


  1. crea7or
    02.01.2018 22:47
    #10595984

    Где расследование?


    1. Xally
      03.01.2018 10:10
      #10596456
      +1

      Также не совсем понятно, для чего автор этого 'расследования' в местоимении 'я' во всём тексте использует именно прописную букву, а не строчную.


      1. ReakTiVe-007
        03.01.2018 10:57
        #10596532

        «Ведь именно под Моим чутким руководством был создан этот коллектив» Товарищ Бывалов. Фильм Волга-Волга.


      1. JackHuman
        03.01.2018 20:59
        #10597514

        Такое у него чувство собственного самоуважения. Англоговорящие люди так делают постоянно и даже мы в основном, когда учимся этому языку.


  1. kisskin
    02.01.2018 22:49
    #10595988

    за информацию спасибо, а за обвинения сервисов — нет («При этом они полные нули в обеспечении безопасности» — как я вижу, это были не они))))
    Да, схема еще новая и в будущем, похоже, станет очень массовой…


    1. saege5b
      02.01.2018 23:24
      #10596050

      Сбербанк уже на этом нагорел, когда массово через мобильный банк у любителей качать пиратку (андроид) с разных мусорных сайтов, сливали деньги со счетов.
      И виноватым сделали именно сбер.
      В общем, лохи не мамонты — не исчезнут.


      1. kalininmr
        03.01.2018 08:33
        #10596398

        а там же недает пользоватся если чтото кривое наблюдается.
        даже если рут включен


  1. sumanai
    02.01.2018 22:52
    #10595990

    Вывод: будьте внимательны и осторожны при обмене криптовалюты, не используйте браузеры с расширениями!

    Я бы расширил на все финансовые операции вообще, так как адрес перевода можно поменять и в интерфейсе онлайн банка.


  1. FlashManiac
    02.01.2018 22:59
    #10595998

    Ну вы сами виноваты, как бы это грубо не звучит. При установке некоторых расширений у них есть требования доступ к контенту веб страницы. И вы сами даете доступ. С точки зрения обменника они могли бы шифровать а так же сами контролировать поле где указан адрес и подменять его либо информировать юзера о том, что его взломали. Ну и последнее — не используйте малоизвестные расширения и те которые требуют доступ к контенту веб страницы. Вы можете лишиться вообще всех денег )


    1. saege5b
      02.01.2018 23:26
      #10596052

      Я всем знакомыым внушаю, что браузеры для просто пошариться в инете и для фин. действий — обязательно разные!


  1. TimsTims
    02.01.2018 23:04
    #10596006

    При этом они полные нули в обеспечении безопасности:
    А что можно было бы сделать в такой ситуации? Это же аналогичная ситуация, как сайты ноют, что не могут тягаться с Adblock, потому-что он настолько хорошо режет рекламу, что ни один скрипт её не обходит. И тут то же самое — если автор расширения хорош, то он любую «псевдо-защиту» обойдет. Да он вообще может даже тех.поддержкой притворяться если надо.

    Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F
    Ок, выдавать тогда адрес кошелька картинкой? Но как тогда копировать?
    Шифровать скриптом? Но любой скрипт и буквы можно подменить, если у тебя супер-расширение. Более того, при CTRL+C можно изменять буфер обмена так, как хочется: копируешь одно, вставляешь другое…
    Я уже молчу о том, что такое расширение вообще может заменить в POST-запросе ваш QIWI-кошелёк НА СВОЙ, а вам везде показывать тот, который вы ввели.
    Не стоит винить сайты в том, что у вас на компе водятся вирусы.


  1. old_bear
    02.01.2018 23:07
    #10596008
    +1

    Если не секрет, зачем личное местоимение 1-го лица везде прописной буквой стоит?


    1. mwizard
      02.01.2018 23:43
      #10596080

      Ну как же вы не понимаете, это же Он.


    1. kirillaristov
      03.01.2018 00:39
      #10596172

      Да еще почти в каждом предложении..)


    1. VANSCoder
      03.01.2018 02:21
      #10596244

      Это как в дипломной работе практически каждое предложение начинается с «я сделал то-то то-то» что бы акцентировать внимание на том, что это моя работа и я решил проблему человечества.


      1. JIghtuse
        03.01.2018 17:05
        #10597146

        Где такие работы принимают? В России же принято от третьего лица дипломные писать: "автор показал", "проведена работа", вот это всё.


  1. Marwin
    02.01.2018 23:16
    #10596030

    безусловно, спасибо за новость об очередном способе "обмана", но в остальном… простите, но купиться на расширение, явно не являющееся представителем общепринятых "официалов" рынка — это надо быть весьма рисковым человеком. Не спорю, верить нельзя никому, но есть же базовые принципы поведения в инете ради сохранности собственной пятой точки в случае, если вы не компьютерный гуру в третьем поколении.


  1. dmitry_dvm
    02.01.2018 23:16
    #10596032

    Автор поставил явный скам и жалуется, что скам оказался скамом. Но да, гугловские сторы это та еще помойка.


  1. Sergey_datex
    02.01.2018 23:18
    #10596036

    Когда устанавливаете приложения, обращайте внимание на полное название и производителя.
    Уже пора научиться… Ваше расширение явно вирусное, сайт производителя — пустышка (www.mediadblock.com).
    Оригинальное расширение называется AbBlock Plus.
    Социальный инжиниринг в действии…


    1. romashko_o
      02.01.2018 23:46
      #10596084

      ublock тоже существует, но сайту него — ublock.org, а не указанный автором. Ну и я ожидал как минимум ковыряния кода расширения, а не просто «Наверное, это оно делает плохо».


      1. zapimir
        03.01.2018 00:03
        #10596116

        Ну видимо автор решил, что если в названии и ublock и Adblock одновременно то это намного лучше рекламу вычищает.


        1. sumanai
          03.01.2018 00:39
          #10596174

          А плюс блокирует даже джинсу.


      1. jryj
        03.01.2018 10:12
        #10596458

        Это сайт старой версии. Последнее обновление от 2015г.

        Там уже другой разработчик продолжил дело: github.com/gorhill/uBlock


        1. JIghtuse
          03.01.2018 17:02
          #10597136

          gorhill — изначальный разработчик uBlock, сейчас пилит uBlock Origin. Тут можно почитать о драме с форком.


    1. gorbln
      02.01.2018 23:47
      #10596088

      Adblock


  1. kirillaristov
    03.01.2018 00:50
    #10596186
    +1

    прошу компетентных читателей проверить мою теорию, и в случае подтверждения как-то связаться с Google

    Ок, спасибо, написали в чатике Брину, отписался что разберется.


  1. VANSCoder
    03.01.2018 02:24
    #10596246

    Всё новое — это хорошо забытое старое, лет 10 назад любили подменять WM кошельки до того момента, пока не начали блокировать за такое.


  1. hdfan2
    03.01.2018 07:31
    #10596366

    UBLOCK ADBLOCK PLUS

    Помнится, в 90-х на базарах тоже продавали магнитофоны Akaiwa и Panasony. Ничего не изменилось.


  1. lostpassword
    03.01.2018 08:49
    #10596406
    +1

    Автор, радуйтесь, потому что 3343 рубля — это очень скромная сумма за обучение)


    1. Canapsis Автор
      03.01.2018 10:33
      #10596494

      Это точно)


  1. riv1329
    03.01.2018 10:12
    #10596460

    Интересно, а как пожаловаться на расширение? Неужели нельзя? Получается, там должно буквально все быть завалено вирусами, скамом и шпионящими расширениями.


    1. ziginsider
      03.01.2018 12:15
      #10596638

      Пожаловаться всегда можно. На страничке установки расширения есть ссылка «Сообщить о нарушении»:

      скриншот
      image


  1. FlamyXD
    03.01.2018 10:12
    #10596462

    Здравствуйте. Исправьте, пожалуйста, адрес ссылки на видео. Оно не открывается.
    https://www.youtube.com/edit?o=U&video_id=fZ74dUJnvQA
    На ссылку ниже:
    https://www.youtube.com/watch?v=fZ74dUJnvQA


    1. Canapsis Автор
      03.01.2018 10:12
      #10596464

      Исправил


  1. Vsemmira
    03.01.2018 10:13
    #10596466

    Все требует проверки. Автор изначально не провел расследование, а обманулся сам.


  1. salisbury-espinosa
    03.01.2018 10:13
    #10596468

    При этом они полные нули в обеспечении безопасности:
    Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F


    в конечном итоге после выполнения скрипта для пользователя текст всегда будет в браузере в виде html и расширениие, имея доступ к dom модели всегда его сможет получить.
    даже если не текстом, а картинкой показывать этот самый адрес, то все равно расширение его сможет подменить на свою картинку и вообще любой объект, который видит пользователь можно извлечь/подменить, просто потому что есть права у расширения для работы с dom…

    Вы уж тут сами себе злобный буратино раз ставите левый софт, нет смысла гнать на сервис.


  1. fevral13
    03.01.2018 12:39
    #10596678

    У меня расширение в браузере, которое все местоимения «я» в статье КАПСОМ написало ))


    1. Stalker_RED
      03.01.2018 20:05
      #10597414

      Это вторая стадия. На первой все «вы» с большой буквы, на второй «я», на третьей — «они».


  1. nox1725
    03.01.2018 18:40
    #10597310
    +2

    Не удивлен, что статья и сам Автор улетели в минус, потому что информации в статье практически ноль. Как сам автор рассказал в «претензии» к сервису обмена — таких расширений может быть очень много, так что вся ценность статьи в обнаружении конкретно этого расширения, которое здравомыслящий человек вообще ставить не будет (а параноик те, кто заботится о безопасности транзакций, так вообще будут запускать браузер в виртуалке на чистой системе, без единого расширения).

    Но больше всего поразила юношеская истерика автора в общении со службой поддержки. У них, конечно, дефолтный ответ и всё такое, но поведение автора тоже далеко от нормального делового стиля, так что могу предположить, что у поддержки на такой случай есть специальный скрипт ответов. Искренне сочувствую тем, кому пришлось отвечать на претензию автора

    Скриншот номер раз:
    image

    Ну и «вишенка на торте»
    image


  1. KoMePcAHT
    03.01.2018 19:17
    #10597374

    скачал плагин, ничего подозрительного не нашел, воспроизвести изложенное автором не получилось


  1. Hissing_Bridge
    03.01.2018 22:43
    #10597682

    Кроме как стыд, по другому охарактеризовать статью нельзя. Совершенно не разобравшись в чем дело, полез с предъявами и оскорблениями к техподам сервиса. А оказалось что не сервис мошеннический, а автор не кто иной как человечек на букву д из скринов переписки.


  1. Acuna
    04.01.2018 02:40
    #10597876
    +1

    Ну так-то обвинять 4exchange, еще и ругаться — как минимум дно. Это как обвинять Сбер в том, что юзер, пользуясь бабушкиным браузером с понаставленными на него тоннами скама неизвестно откуда, удивляется, откуда у него деваются деньги из кошелька. Никакие сторонние сервисы не обязаны давать инструкции по защите от того, что юзер ставит к себе на комп, и/или оправдываться в том, что они знают/не знают. Это не Касперский.

    Есть такой тест: детям и взрослым показывают фото, на котором человек бежит, и на котором он спотыкается о скамейку и падает. Спрашивают кто виноват. Дети лет до 7-10 в один голос отвечают, что виновата скамейка. Дети взрослее и взрослые уже ясно понимают, что виноват человек, ибо под ноги смотреть надо. Собссно, картина маслом. Впервые на Хабре сталкиваюсь с тем, что человека начали сливать уже сразу после получения приглашения, но тут я солидарен с обществом.


  1. JmAbuDabi
    04.01.2018 09:05
    #10597976

    Когда я пополняю счет то несколько раз убеждаюсь, тот ли счет пополняю, во всех окошках и т.д., где это можно проверить. А вдруг не туда полетит(транзакцию-то не отменишь).

    Теперь этот сервис называет данное проишествие «Уникальным случаем»))

    При подтверждении заявки появляется текст:

    Внимание! Техническая поддержка обменного сервиса работает с 10:00 до 20:00 (МСК). Заявки, оплаченные по истечению установленного срока, оплаченные не в полном объеме, заявки с ошибками, заявки с другими «уникальными» случаями, — обрабатываются в порядке очереди только в указанное время работы технической поддержки!


  1. Canapsis Автор
    04.01.2018 10:13
    #10598030
    -2

    Дофига умные тут сидят.
    Надо было то, надо было сё.
    Это жизнь, никогда не знаешь что тебя ждёт завтра.
    Хотя нет, пользователи хабрахабра знают за всё про всё наперёд.
    Умники


    1. nox1725
      04.01.2018 15:05
      #10598590
      +1

      Вот этим вот Вы еще раз показали, что минусы Вам дали не зря. Учитесь принимать критику адекватно, да и вообще — учитесь общаться с людьми — в жизни пригодится.

      Да и, кстати, 3к рублей — не такая уж большая плата за получение опыта. Многим он обходится намного дороже

      p.s. Пользователи Хабра такие же люди, как и я, и Вы. Подумайте о своей реакции, если бы Вы читали подобную статью со стороны. Конечно, объективно оценить ситуацию сложно, у Вас эмоции и т.д., но попробуйте и увидите, почему Вы не правы

      Удачи!


  1. xilix
    04.01.2018 20:46
    #10599194

    Автор с самого начала задал тон беседы с техподдержкой, шантажируя их тем, что заблокирует их сайт на территории РФ. Хорошо хоть не оскорбился с чувствами верующих и не обвинил в терроризме.

    Я не сторонник зековских понятий, но тут явно пахнет словами «западло» и «стукач». Как бы человек не оправдывался, а свою истинную натуру он показал. Еще и оказался в итоге не прав. Лучше б молчал.


  1. Asen
    05.01.2018 01:02
    #10599806

    Всегда было банально интересно, каким местом думают люди вроде ТС, ставящие такого рода расширения и занимающиеся обналичиванием криптовалюты в одном браузере и под одним пользователем :)