Введение: Наткнулся на Reddit на крик о помощи: пользователь описывал странную схему «обучения трейдингу»,

где его просили делать мелкие свапы, а потом пытались увести баланс. Как Junior Security Researcher, я не смог пройти мимо и решил провести полноценный аудит этой конторы а именно begini.ltd (их сайт) .

Цель: Собрать доказательную базу, вскрыть инфраструктуру и добиться блокировки.

Инструментарий: Kali Linux (Nmap, FFUF), OSINT, Revoke.cash.

Этап 1. Логика развода

Схема классическая — Pig Butchering (забой свиней).

1. Приманка: Фейковые вакансии или «обучение».

2. Прогрев: Жертве переводят небольшие суммы, имитируя прибыль.

3. Технический капкан: В процессе «обучения» через демонстрацию экрана жертву заставляют подписать транзакцию Infinite Approval (ERC-20 Approve). Это дает мошенникам право выкачать все токены с кошелька в любой момент.

Этап 2. Рекогносцировка и Анализ Frontend

Первым делом идем в исходный код.

<form class="register-form" action="send.php" method="POST">

Видим форму регистрации, которая стучится в send.php методом POST. Сбор данных идет по полной: ФИО, телефон, Telegram.

Вывод: Это классический фишинг-сборщик (Data Harvester).

Этап 2. Вскрываем логику бэкенда через Network Tab (F12)

Имитируем регистрацию и смотрим в Network. Видим отправку данных в открытом виде. Обращаем внимание на ответ сервера: Status 302 и мгновенный редирект. Мошенники не хотят, чтобы жертва задерживалась на этапе обработки данных».

Так же, на третьем скриншоте мы видим такие данные как: cf-cache-status и cf-ray, которые тоже очень важны для дальнейшей работы

Этап 3. Активная разведка: Инструментарий Kali Linux (Nmap и FFUF)

Когда поверхностный осмотр через браузер был завершен, пришло время запустить «тяжелую артиллерию» из арсенала Kali Linux. Моей целью было просканировать порты сервера и найти скрытые директории, которые мошенники могли попытаться спрятать от обычных пользователей.

1. Сканирование портов через Nmap

Первым делом я запустил nmap с флагами для определения сервисов и проверки скриптами по умолчанию.

Результаты сканирования:

Порты 80 (HTTP) и 443 (HTTPS): Ожидаемо открыты. Сертификат выдан Cloudflare Inc ECC CA-3 совсем недавно (февраль 2026). Это подтверждает, что кампания свежая и запущена «под ключ» специально под текущую волну скама.

Аномалии (8080, 8443): Nmap зафиксировал активность на альтернативных портах. Часто в подобных фишинг-китах на этих портах висят панели управления (админки) или прокси-серверы для пересылки украденных данных.

Banner Grabbing: В заголовках страниц промелькнуло Crypto Trading Academy 2025. Забавно, что мошенники даже не потрудились обновить год в шаблоне своего сайта, работая уже в марте 2026-го.

2. Фаззинг директорий через FFUF (Fuzz Faster U Fool)

Чтобы понять структуру бэкенда, я использовал фаззер ffuf. Нужно было найти те самые скрипты, которые обрабатывают данные после «регистрации».

Что удалось обнаружить:

success.php (Status: 200, Size: ~5KB): Тот самый «терминал», на который редиректит жертву. Вес файла в 5 КБ намекает на наличие объемных JS-скриптов внутри.

php эндпоинты: Подтверждено использование PHP на бэкенде

Фильтрация: Большинство системных директорий (/admin/, /config/) были закрыты или отфильтрованы файрволом Cloudflare (Status: 403), но для формирования Abuse-репорта мне уже было достаточно зафиксированных путей.

Вывод этапа: Инфраструктура скама построена на типовом PHP-шаблоне, спрятанном за Cloudflare. Однако наличие открытых нестандартных портов и отсутствие базовой гигиены в заголовках (2025 в 2026 году) выдает спешку и потоковый характер создания таких «академий».

Этап 4. Фиксация результата: Abuse Report

Итог работы — сформированное досье. Cloudflare подтвердил инцидент (Report ID: 6d27e144bc7f8061). Инфраструктура врага начала сыпаться.

Всем спасибо за внимание, рад что обратили его на эту статейку заранее!!!