Любое действие рождает противодействие. Любая защита, порождает способы обхода этой защиты. Способы обхода, порождают новые способы защиты, что приводит нас на новый виток этого бесконечного цикла.

В первой части я коротко рассказал, о новой ловушке, на которую попался. В этой хочу поделиться неожиданным и эффективным способом борьбы с такими жуликами.


Сначала кратко опишу как работает эта схема мошенничества.

1. Придумываем несуществующую услугу, которую можно бронировать\оплачивать онлайн. В нашем случае антикинотеатр.

2. Даём объявление о такой услуге. В нашем случае создаём организацию на 2ГИС.

3. Создаём сайт, через который будет проходить "бронь" и оплата.

4. Ждём когда мамонт клиент, оплатит.

5. Когда захочет вернуть деньги, пытаемся выманить ещё денег через чат.

6. PROFIT!

Для понимания масштаба такой схемы:

В реквизитах на мошенническом сайте, были указаны данные ООО «СИНЕМА ХАУС» - компания занимается, контентом, как я понял, а не арендой. Судя по всему к ним уже не раз обращались с претензиями, раз они на главной страницы сайта разместили такой банер.

Очевидно, при реализации схемы, жулики задались следующими вопросами:
1. Как сделать так, чтобы по запросу органов власти нам не прикрыли сайт?
2. Как безопасно получить деньги, чтобы нас сложно было вычислить?

На первый вопрос ответ очевиден - иностранный хостинг. В текущих реалиях, полагаю, администрация хостинга даже не будет делать вид, что сотрудничает со следствием и другими органами власти. А если оплата через крипту или специальные сервисы для оплаты иностранных сервисов - то вообще беспокоиться не о чем.

С деньгами, казалось бы, всё должно быть сложнее. Но тут на выручку приходит МТС банк с мультитрансфером. Скажу честно, я не смог найти какого-то официального описания работы этой системы, поэтому опишу свою гипотезу как это работает. Если я ошибаюсь, буду рад точной информации в комментариях.

Как работают подобные p2p системы примерно так:

1. Внутри системы создаётся сделка, на какую сумму и куда нужно перевести деньги - сделке присваивается уникальный номер

2. В российской части создаётся счёт, который можно оплатить по СБП. Получателем числится банк, а номер сделки указывается в комментарии. При этом никаких реквизитов реального получателя мы не видим.

3. Банк получает оплату, берёт номер сделки и передаёт заграничному сервису информацию о том, что можно перевести нужную сумму, нужному получателю.

Выглядит это всё как обычная оплата через СБП, к которой мы все привыкли, Выдаёт только назначение платежа, которое либо не заметят, либо не придадут значения, как в моём случае. По итогу получается технически, я перевожу деньги не мошенникам, а банку. Мошенник, технически, получает деньги не от меня, а от банка. В итоге, вычислить прямую связь отправитель-получатель крайне сложно, а каких-то инструментов для прозрачности, проверки или оспаривания таких переводов я не нашёл.
Причем потом, мошенник может эти же деньги, через этот же мальтитрансфер перевести себе на свою же российскую карту, без каких либо опасений. Всё что нужно - знакомый гражданин Таджикистана или другой страны.

Как бороться с такой схемой?

Можно написать заявление в полицию, прокуратуру, банкам и во всюду куда только можно, НО:
- даже если мошенников найдут, что очень мало вероятно, деньги всё равно не вернут
- при этом, на походы к следователю и прочую бюрократию, если делом реально будут заниматься, уйдёт очень много времени и сил. Идти на такие приключения из-за 7 500 я не готов, простите :)

Но тем не менее, хочется и справедливость восстановить, и жуликам помешать делать их гнусные злодеяния. Можно написать регистратору домена и хостеру, что их клиенты мошенники и плохие люди, и что их надо заблокировать. Но тут опять же, скорее всего будет долгая бюрократия так ещё и на английском...

И тут пришёл вариант быстрого и эффективного решения. Мошенники всё сделали для того, чтобы их сайт выглядел как настоящие услуги от настоящего российского юрлица, а страница оплаты, как у ТБанка.
Так давайте попробуем использовать это против них :)


Суть предлагаемого решения: написать хостеру, что у него, в обход санкций, располагаются российские сервисы.

Через сервисы вроде whois, выясняем, что регистратором обоих доменов является namecheap.com, хостинг royalehosting.nl, а регистрировали домен от имени withheldforprivacy.com.
С помощью chatGTP делаем 3 похожих письма, со всякими упоминаниями санкций и прочих страшных вещей, которые должны побудить их посмотреть на сайт, увидеть что он действительно работает от имени российского юрлица и всё. Этого по идее будет достаточно, чтобы перестать предоставлять услуги.

Как сработало на практике:
Namecheap - по сути обращения пока не ответили

RoyaleHosting - спустя 4 часа забанил основной сайт cinema-dream.me
s2.wink-kassir.cfd - фальшивый шлюз оплаты пока работает потому что я изначально в письме не указал, что он хостится у них. Сегодня убедился, что это так и отправил хостеру ещё одно письмо. Посмотрим на результат.
UPD: забанили спустя 6,5 часов после обращения.
Пример страницы оплаты, если хотите посмотреть пока она работает - https://s2.wink-kassir.cfd/payment.php?order=f41bd222-cc46-4314-b50d-9bb480cc0231 (клик по кнопкам вызывает бесконечную загрузку, но всё равно если решите нажать, то на свой страх и риск :))

Withheld for Privacy - отписался что-то вроде "мы ни при чём, пишите регистратору домена или хостеру"

Пока рано подводить итоги, но уже можно сказать, что метод вполне рабочий. Конечно, это не остановит мошенников полностью, но хоть немного помешает им. К тому же, сомневаюсь, что хостинг вернёт им деньги, а если и домен забанят, будет совсем прекрасно.

Таким образом, если вы попались на такую ловушку, или наткнулись, но проявили больше осмотрительности чем я - вы знаете что делать. Написать хостеру и регистратору, займёт минут 15-20, но может неслабо подпортить жизнь мошенникам.

Всем добра!