Меня зовут Виталий, живу я в одном и крупных городов Республики Казахстан и на весь мир известном после событий января 2022 года городе Алма-Ата (вообще правильно пишется Алматы, но мне Алма-Ата нравится больше). В свободное от работы время я занимаюсь своим хобби – столярным делом. В конце 2021 года я решил продать свой стоящий без дела рейсмус JET JPM-13CSX. Разместил объявление на olx.kz и забыл про него (равно как и про все свои объявления, которые я размещаю на olx:).
13-01-2022 когда бои с дивизией террористов (20 000 человек), которые напали на Алма-Ату стихли, мне на мессенджер whatsapp приходит сообщение по объявлению
Ну, думаю вообще шикарно, не нужно будет заботиться о доставке (хоть я в объявлении и указал, что самовывоз, но люди разные бывают:). В это время я находился в служебной командировке, поэтому написал потенциальному покупателю на следующий день о том, что я буду в городе несколько позже
По приезду в Алматы 20-01-22 я, как добросовестный продавец, поехал на склад, где сиротствовал мой рейсмус, вытащил его на свет божий, очистил от пыли, протер влажной тряпкой, привел в общем в товарный вид. Снял короткое видео, сделал пару фотографий и отправил потенциальному покупателю
После чего сел в свой автомобиль и поехал дальше. Так как за рулем я думаю только о дороге и не отвлекаюсь на сообщения и телефонные звонки, сообщение покупателя об оплате я прочел только по приезду домой
Яхху!!! Я продал рейсмус J. Да еще и завтра заберут. Вообще красота.
Курьерская компания Алем-Тат довольно известна в Казахстане, и многие граждане пользуются услугами данной компании как частные лица. Ну, думаю, алемтат еще и покупателя защищает, проводя платежи через платежную систему на своем сайте. Какие молодцы!
В целях безопасности я никогда не открываю ссылки от незнакомых людей на мобильном телефоне. Посему спокойно на компьютере сначала открыл сайт Алем-Тат по адресу http://www.alemtat.kz/. Профессиональным взглядом заметил http, и естественно сообщение Not secure!, что совсем меня не удивило (это общая беда большинства местных компаний – об информационной безопасности узнают только тогда, когда петух жаренный в задницу клюнет, а за компетентность оплачивать не хотят. Посему сотрудники, называющие себя системными админисраторами полностью компетентны только в замене картриджей и новых комплектующих на старье на компьютерах пользователей в компании).
Не удивило, но насторожило. Не может компания быть подключена к системе онлайн платежей с такой «безопасностью». И тут я внимательно посмотрел на ссылку, предварительно скопировав ее в мой любимый блокнот
https://alemtat.payslinq.fun/398998986019
И что я вижу? Вижу что это мошенничество. Это меня всегда забавляет. Люблю развлекаться над мошенниками, ибо они практически всегда малость туповаты и практически никогда не уделяют внимания первой стадии кибератаки или кибер-мошенничества – социальной инженерии. Естественно, первым делом я проверил ху из кто
Закончив примитивные манипуляции по выяснению кто есть ху и где они живут (для первого раза достаточно) я запустил виртуальную машину KAMIKADZE под управлением Windows 10 LTSB и решил начать процесс получения денех :)
Страница «получения денех за товар» по адресу https://alemtat.payslinq.fun/398998986019 выглядела очень даже правдоподобно:
При нажатии на клавишу «Получить средства» появилась следующая форма:
Интересно, что же будет дальше. Я заполнил форму, используя реальный номер кредитной карты и только номер. Все остальные данные, как то имя, срок действия, сvv-код естественно ложные :)
После нажатия клавиши Продолжить, появилась ожидаемая страница подтверждения:
Тут проснулся «покупатель» :)
Так долго и громко я не смеялся давно. После отпустившего меня спустя несколько минут дикого хохота я проверил кто есть ху еще раз более подробно, поржал и начал писать этот документ. Заявление полицаям я напишу чуть позже. Судя по тому, что с профиля whatsapp сразу удалили фотографию – вонь от какашек на том конце провода стояла неимоверная.
На поверку естественно оказалось, что это скорее всего начинающий мошенник, который думает, что ничего нельзя отследить, если он зарегистрирует какое-то имя, разместит свою станицу по сбору денег с доверчивого населения где-нибудь далеко, использует мобильный номер какой-либо бабушки, ну и прочее, прочее, прочее. В наше время можно отследить все, даже время похода в туалет по большому. Когда ты тужишься на унитазе, твой фитнес-браслет Xiaomi передает данные твоего артериального давления Коммунистической партии Китая, которая в свою очередь, выдает эти данные своим заводам по производству станков для производства туалетной бумаги.
Итак, кто же у нас зарегистрировал имя payslinq.fun? Какое-то частное бесстрашное лицо, да и не где-нибудь в Уругвае, а в матушке России под руководством бывшего офицера КГБ тов.Путина.
Посмотрим на этого индивида поближе. Для этого идем на reg.ru и проверяем кто же этот чудак на букву М, который пытается отнять капитал, нажитый непосильным трудом у гражданина Республики Казахстан
А это оказывается некий Дмитрий Сергеев. Ну здравствуй, друх. Берем телефончик Дмитрия Сергеева и проверяем на наличие мессенджера Whatsapp (естественно с другого телефона). Есть такой. Параллельно отправляем на почту и это повествование . Пусть детенок развлекается, часто меняя свой памперс )). Адрес засранца указывает на Омский авиационный колледж имени Жуковского Н.Е. Знал бы Николай Егорович, какие мошенники будут базироваться в заведении под его именем. Его поддельнику, на телефон +7 707 521 0495, зарегистрированного за неким Ситжаном (судя по имени гражданин РК) было отправлено уведомление о подаче заявления в полицию. Пусть тоже срется.
Следующей частью повествования будет описан процесс обращения к полицаям.
Берегите себя.
p.s. Рейсмус продается :)
Комментарии (47)
unsignedchar
20.01.2022 15:05+2Пока что это тянет на покушение на мошенничество. Вряд ли за это слишком строго наказывают
ifap
20.01.2022 15:24+6Вангую дальнейшее развитие событий: никакого Дмитрия Сергеева в природе не существует, телефон зарегистрирован на анонима, полицаи разводят руками - вот когда
убьютукрадут, тогда и приходите (и мы все равно не начнем шевелиться). Стоило стукнуть в reg.ru на мошеннический сайт, чтобы они приостановили делегирование - это реальный выхлоп был бы, но почему-то нет...Vvka Автор
20.01.2022 15:37+2Менталитет совдепа очень сложно победить в себе - никто мне не поможет. Поможет. Если очень захотеть - поможет. Просто так, ради спортивного интереса, долбить полицаев, которые могут только детей линчевать и бабок с семечками на вокзалах гонять. А как серьезное что-то - то сразу целая дивизия террористов напала, мы ничего не смогли сделать. Телефон в КЗ невозможно зарегистрировать без ИНН. ИНН - это конктретный человек. А есть человек - есть и дело. В reg.ru написал первым делом.
olegtsss
20.01.2022 15:40-1А что за организация такая reg.ru, что они знают данные по администратору домена?
Alessandra
20.01.2022 15:57+2Здравствуйте! Спасибо, что написали. Прочитали статью и уже начинаем проверку администратора.
olegtsss
20.01.2022 16:02Не понимаю вашего ответа. В вашем примере Reg.ru предоставил много информации. Моя практика, говорит, что такого нет. Попробовал там заказать историю по домену, стоит это 240 рублей. Ничего нового не нашел. Просто периодически выполненный whois, только платный(, одним словом полная скука. А ваш аватар, Alessandra, может указывать на прямое отношение к сервису Reg.ru. Статья большая, картинок куча, но после прочтения я вынес только, что это whois на Reg.ru выдал администратора домена до его имени и фамилии, ровно также, как и любой сервис whois.
Sazonov
20.01.2022 16:16А я писал на abuse@reg.ru по поводу аналогичного сайта после того как у знакомой украли деньги и мне вообще ничего не ответили. Сайт был в доменной зоне org, но зарегестрирован в Омской области (это вся доступная через whois информация), телефон мошенника начинался с +44
olegtsss
20.01.2022 16:17+1Совершенно верно. Так как нет никаких оснований предоставлять третьим лицам такую информацию.
olegtsss
21.01.2022 00:01Могу на эту тему порекомендовать отличный материал:
habr.com/ru/company/habr/blog/488088
Alessandra
20.01.2022 16:52Проверка не гарантирует, что домен будет заблокирован.
Если поделитесь номером обращения или доменом, о котором идет речь — обязательно проверим и прокомментируем.
olegtsss
20.01.2022 17:11О какой проверке и блокировке вы говорите ?
Я заказал платную услугу и получил ответ, который и ожидал увидеть. Комментировать не вижу, что тут можно.
Alessandra
20.01.2022 17:21Этот комментарий адресован пользователю Sazonov.
olegtsss
20.01.2022 23:58Коротко о статье: возможности whois сервисов в OSINT. В картинках и примерах).
Sazonov
21.01.2022 03:40Здравствуйте, номера обращения не знаю, я отправил письмо на abuse@reg.ru - в ответ тишина.
Мошеннический сайт (по ссылке висела заглушка, которая выключались в момент звонка злоумышленника): evropochta <.> payslinq <.> org/278761430682
Никакие данные предоставлять я не прошу. Вопрос следующий - а вы предоставляете такие данные, если будет официальный запрос от следователя из РБ?
Alessandra
21.01.2022 10:39+1Уточнили информацию у наших коллег насчёт письма: нам сообщили, что письма по такому запросу не приходило, но как мы видим, домен заблокирован.
По поводу данных: мы можем их предоставить. Но запрос от иностранных органов будет делаться всё-равно через российские. То есть, чтобы сделать запрос на предоставление данных, следователь из РБ должен обратиться в МВД РФ, а те уже в свою очередь к нам, и мы предоставим данные.
Dzzzen
21.01.2022 10:58+2Вы бы лучше учетку заблокировали, а не домен. А то за последний месяц уже два десятка мошеннических доменов с этой учетки было у вас зарегистрировано. Вот их список:
https://www.virustotal.com/gui/ip-address/45.142.122.16/relations
Я понимаю, что вам выгодно деньги взять, а домен заблокировать. Но все-таки вы должны бороться со злом, а не помогать ему.
Dzzzen
21.01.2022 09:01+1На мошеннические домены нужно жаловаться не регистратору, а в компетентные организации: https://cctld.ru/help/safety/competent/
Они проверят ваше заявление, и сами отправят регистратору заявление на блокировку.
А на незаконное содержимое эффективнее жаловаться не регистратору домена, а хостеру.
olegtsss
21.01.2022 10:51А представленный вами алгоритм действительно работает?
Dzzzen
21.01.2022 11:00+1Более десятка доменов были заблокированы таким образом только по моим обращениям (либо информация, нарушающая законодательство, на них была удалена самим админом). Так что схема рабочая. Попробуйте, это бесплатно)
olegtsss
22.01.2022 13:09А вы кому-то конкретному обычно оправляете (ростелеком, например)? (касательно мошенничества)
Dzzzen
22.01.2022 13:51Каждая компетентная организация является экспертом в определенной
области противоправной активности.Вот здесь указаны области ответственности:https://доменныйпатруль.рф/phones/
Моженничеством обычно занимается МВД. Но можно одновременно направить обращения в несколько организаций, в том числе написать обращение в хостинг-компанию.
Следует понимать, что доменное имя - это лишь вывеска, которую может удалить регистратор. У одного и того же сайта может быть десяток разных доменных имён. Чтобы закрыть сам ресурс, нужно воздействовать на хостера. У нормальных хостеров в договоре указано на недопустимость размещения противозаконного контента. На это и нужно ссылаться в своем обращении.
Но тогда мошенники переедут на другой хостинг, и арендуют себе новую вывеску (домен). И так до тех пор, пока МВД их не поймает.
ifap
20.01.2022 21:58+2Менталитет совдепа прямо противоположный: моя милиция - меня бережет, а у меня менталитет пост-совдепа, имеющего неоднократный опыт общения с милицией-полицией в качестве заявителя по подобным делам. Вот, кстати, завтра будут отбирать показания (еще посмотрим, кто сильнее окажется) на тему листовок "ваши счетчики не прошли проверку, будет пожар, все умрут", рассованных по почтовым ящикам. Прогуляюсь, ради спортивного интереса, подолблю полицаев, подолблю прокуратуру если совсем наглое отказное напишут, хотя результат заранее предсказуем.
express
21.01.2022 02:06В узбекском olx где-то полгода как эпидемия подобных мошенников тоже с .fun-доменами для оплаты. Уже и звонят с узбекских номеров, но, судя по всему, используют подмену номера. Так что не факт, что номер был реальный, но головной боли настоящему владельцу может прибавить.
killeralex
20.01.2022 15:39Витя, правильно пишется так, как писАли в СССР, когда создавали твоим друзьям признаки (атрибуты) того, что... и так далее
Wolf4D
20.01.2022 19:55+1Зашёл сюда, чтобы узнать, что такое рейсмус. Ответа так и не получил :)
unsignedchar
20.01.2022 21:18Вы можете написать в личку продавцу ;)
zorn-v
20.01.2022 23:56Зачем делиться информацией ?
https://ru.wikipedia.org/wiki/Рейсмус
Вот это не сходится с фотками из статьи ? )ЗЫ. Да мне тоже интересно. Кончай "чтобы узнать цену позвоните нам" пропагандировать.
AAbrosov
21.01.2022 16:07В статье - Рейсмусовый станок, "Рейсмусом" это они его по-простому называют.
vectorplus
21.01.2022 13:22+1У меня был когнитивный диссонанс по поводу рейсмуса лет пятнадцать назад. Для моей мастерской понадобились станки - токарный, фрезер и прочие. В том числе мастер сказал, что нам нужен рейсмус - чтобы ровненько размечать заготовки. Для меня тогда рейсмус был это две палки с гвоздями, скрепленные деревяшкой. Когда узнал цену на рейсмус, я подавился капучиной.
Pavel1114
21.01.2022 05:02Тоже не так давно сталкивался с подобным. Что то продаю не часто и не сразу понял на каком именно этапе меня хотят кинуть. Думал прям до курьера дойдёт и потом не оплатят. Оказалось всё намного проще — «введите данные вашей карточки чтобы мы могли немного вас обворовать, пожалуйста». Для фишинга использовали сайт мимикрирующий под наш kazpost.kz — вроде kazpostt.kz. Даже некоторые мошенники научились в letsencrypt, а автору попался какой неуч не думающий о безопасности — всё таки с данными платёжных карт работает.
диалог с мошенником
Plovchik
21.01.2022 07:59Такие схемы в Узбекистане уже несколько лет крутят. Люди жалуются, у некоторых накопления на карточке были, снимают подчистую. Милиция разводит руками, по всей видимости потому что нет спецов, которые разбираются в этом.
Неужели обнаружить такого жулика практически нереально?
Ds02006
21.01.2022 08:30Пока крупного милиционера не обчистят таким образом - никто не будет чесаться на эту тему...
Dr_Zoidberg
21.01.2022 14:3713-01-2022 когда бои с дивизией террористов (20 000 человек) - дальше не читал. вы либо троль либо лечиться нужно.
vesper-bot
То, что домен второго уровня зарегистрирован на некое лицо, совершенно не означает, что сайт на имени третьего уровня принадлежит ему же. Но связь должна быть, иначе бы сайт не работал.
ЗЫ: «вставить спойлер» не работает, если включен маркдаун. И это на старой версии формы с комментами. Ну ужас! (ц) бабушка.
karavan_750
Для выяснения прочности связи можно сделать проверку, обратившись к этому лицу с вопросом на каких условиях происходит регистрация доменов третьего уровня, т.к. есть желание у него зарегать домен. В случае отказа в регистрации можно быть 100% уверенным, что связь если не непосредственная, то достаточно прочная для выяснения конечного индивида.
solver
Более того, то что домен зарегистрирован на какого-то человека, вовсе не означает, что этот человек его регистрировал и вообще хоть какое-то отношением имеет к этому домену.
Суровая правда современности(
Dzzzen
Причем такие домены тысячами ежедневно регистрируются. Оптом дешевле(