image Социальная сеть «ВКонтакте» превратилась в настоящую торговую площадку, естественно мошенники не упускают возможность заработать и придумывают всё новые способы обмана доверчивых пользователей. Я рассмотрю способ которым пользуются уже более полугода и расскажу как мошенникам удаётся убедить рядового пользователя купить пароль от архива с заведомо неизвестным результатом матча.

Что бы заполучить доверие пользователя мошенник публикует примерно следующее:

image

По ссылке — программа с интерфейсом в стиле winrar. Мне попалось 2 таких «архива», с той лишь разницей, что один написан на Delphi, а другой на C#


Первый:
MD5: 4268f3ee48ffdb8e2f15a425db1698f1 | VirusTotal

image

image

Я не представляю как можно было сделать такое для массового распространения и ещё больше удивляюсь как народ ведётся на это! Ну да ладно, откроем программу в IDR и можем наблюдать следующее:

image

Тут создаётся список паролей для последующей проверки, в результате в зависимости от пароля в текстовый файл сохраняется результат матча:

image


Второй семпл намного интереснее:
MD5: df307eadcf17025abfdd0a1780f4b1e0 | VirusTotal

image

image

Тут дизайн на много лучше и по функционалу не уступает, даже есть преобразование пароля:

image

Тут всё просто, возьмём для примера пароль из исходника: rtfgyudf, сделаем обратное преобразование и получим: rtyufgdf

Как видно, мошенники изобретают всё новые и новые способы обмана, будте бдительны и не видитесь на подобное!

Комментарии (25)


  1. zuborg
    16.03.2016 12:42
    +29

    Почему-то мне кажется, что у аудитории хабра такая статья вызовет не реакцию "ого, какие мошенники хитрые, а ведь мог попасться", а скорее "интересно, и кто на такое ведется вообще?"


    1. HeadWithoutBrains
      16.03.2016 15:47
      +10

      А по моему прикольно сделали. На такое точно кто-то попадется, выглядит эффектно имхо :)


      1. format1981
        16.03.2016 19:37
        +2

        И на это ведутся, я знаю точно. У моего приятеля вся бригада электриков скидывается и покупает будущие результаты. Платят за это 500-3000 рублей. То есть если раскидать на 5-10 человек, то выходит не так уж много.
        Я пытался объяснить им что это развод, но никакие уговоры не помогают.
        А с таким лжеархивом разводить еще проще.


        1. HeadWithoutBrains
          16.03.2016 21:56

          Ну вот я подумал, что мог бы и не догадаться, что от пароля зависит результат :) Теперь точно буду знать


      1. und
        17.03.2016 14:00

        Ага, RAR архив, а расширение EXE. Чет подозрительно.


        1. mwizard
          17.03.2016 21:56
          +1

          Что подозрительного в SFX-архивах как таковых? Подозрительно, если архиватор не признает в SFX сам архив.


          1. und
            18.03.2016 15:18

            А вас не смущает, когда написнао RAR архив, а там ЕХЕ? Ну зачем оно нужно? Были раньше такие сайты с музыкой…


            1. mwizard
              18.03.2016 17:02
              +1

              Ну, RAR-архивы бывают с расширением EXE — самораспаковывающиеся, они же SFX (self-extracting). Хуже, когда это whatever.mp3.exe.


              1. M_org
                20.03.2016 04:38

                Необходимость в sfx архивах околонулевая. Уж точно не для таких целей — максимум простенький инсталлер. Так что это очень, очень заведомо подозрительно.


                1. mwizard
                  20.03.2016 14:14
                  +2

                  Когда-то были времена, когда еще не существовало ни инсталляторов, ни толком Windows, жесткие диски были маленькими, а найти нужный разархиватор для экзотического формата типа rar было не так просто. Поэтому если бы не было необходимости в SFX-архивах, то их бы и не реализовывали лидеры индустрии — ARJ, например, или HA.


                  1. M_org
                    22.03.2016 13:00

                    Спасибо за экскурс в историю, правда зачем вы его проводили? Очевидно, я про сегодняшний день говорил.


  1. kekekeks
    16.03.2016 13:43
    +3

    А они в конец исполняемого файла запароленый RAR-архив хоть дописали?


    1. VANSCoder
      16.03.2016 14:04

      Ничего такого нет, да и зачем оно надо?


      1. olen
        16.03.2016 18:46
        +5

        Я самораспаковывающиеся архивы на всякий случай всегда открываю rar'ом, а не запускаю exe.


  1. ice2heart
    16.03.2016 13:51

    Если мне не изменяет память на баше была похожий развод, только там был архив и эксель таблица, пароль был для таблицы, который проставлял значения.


  1. dmx102
    16.03.2016 15:30
    -9

    Зачем это здесь?


  1. Ernado
    16.03.2016 15:36

    Подозрения должны бы были возникнуть еще в тот момент, когда нажав правой кнопкой по "архиву" пользователь бы не увидел стандартных пунктов "extract", "extract to...", etc. Ну и в принципе, скачивать, а тем более запускать неясного происхождения экзешники — как-то не умно совсем.


    1. oPOCCOMAXAo
      16.03.2016 17:09
      -1

      у самораспаковывающихся архивов нет таких пунктов


      1. Ernado
        16.03.2016 18:44
        +3

        Есть
        image


  1. sergiks
    16.03.2016 16:06
    +2

    А нет стандартных архиваторов, которые распаковывают, в зависимости от пароля, разный контент? А-ла TrueCrypt с его hidden volume, только с бОльшим числом вариантов.


    1. Smi1e
      16.03.2016 17:19
      +1

      Архиваторы сжимают. Это — их основное назначение. Если делать несколько блоков, видимых при разных условиях, это скажется на конечном объеме файла и визуально будет выглядеть подозрительно, чего не скажешь про ПО для шифрования, которое позволяет задать фиксированный размер контейнера, заведомо бОльший любых данных внутри. Это ИМХО.


      1. sergiks
        16.03.2016 23:04

        Архиваторы сжимают и, опционально, шифруют. Возможно, имея несколько блоков, их можно скомпрессировать так, что общий объём архива вырастет менее, чем пропорционально числу блоков. Особенно, если различия между «версиями» незначительны, по сравнению с совпадающей частью (например, большая веб-страница с картинками и прочими assets, где отличается только название выигравшей команды, как в случае ТС).


        1. Smi1e
          16.03.2016 23:15
          +1

          Никто не спорит, что это возможно и в отдельных ситуациях будет работать. Я к тому, что вряд ли разработчики архиваторов задавались целью реализовать такую специфическую функцию, не относящуюся к прямым задачам ПО данного класса.


  1. RomanPyr
    20.03.2016 03:20
    +1

    А зачем так заморачиваться с софтом?
    Создаём две одинаковые группы, в каждой выкладываем обычный архив с РАЗНЫМИ результатами.
    Какая-та группа угадает и её пользователи купят будущий архив.

    Для пущего эффекта можно добавить уровней :)))
    Классика же.


    1. darkfrei
      22.03.2016 12:54

      Там счет матча, а не кто победил. Процент "угадывания" значительно ниже.