Мне нужно было вывести средства с биржи Poloniex в фиат. Для этого Я воспользовался популярным сервисом bestchange, на котором нашел сервис 4exchange.cash, он предложил мне перевести средства по указанному адресу
Как ни в чем не бывало Я скопировал жирненький адрес и перевел на него 0.25 LTC
Но после всех подтверждений в блокчейне Litecoin, средства на QIWI кошелек так и не пришли.
Я начал писать в тех.поддержку прямо в том же окне браузера, что деньги так и не поступили, на что мне дали ответ никаких транзакций по адресу live.blockcypher.com/ltc/address/LXsw2rNJtwX3J7eimmqEoZh6Cg4n5U6EEM/ не поступало.
Я удивился, что адрес кошелька другой, отличается от того, что был на скриншоте. Последовала долгая переписка с тех поддержкой, где каждая сторона отстаивала свою точку зрения.
Но самое интересное было записано на видео с помощью Camatasia Studio. Там мне удалось снять, как адрес о котором мне постоянно упоминала тех.поддержка менялся автоматически на странице при обновлении, практически мгновенно на другой адрес, на который Я совершил перевод.
Адрес официальный — LXsw2rNJtwX3J7eimmqEoZh6Cg4n5U6EEM
Адрес мошенника — LKyKqLVy6KgyCYekftCHFTBLYiZyUvxtsG
Упёртость тех.поддержки 4exchange.cash и не желание разобраться в моем вопросе наталкивала на мысли о том, что сам сервис является мошенником.
Но потом Я вспомнил, что со мной уже происходил подобный случай около полугода назад. Я менял биткоины на эфириум и мне тоже ничего не выплатили сославшись на то, что Я не совершал перевод. Мне показалось странным что на bestchange уже 2 подобных сервиса занимаются мошенничеством.
Тогда Я предположил, а что если какое-то расширение специально подменило адрес Litecoin кошелька в моем браузере?
Я попробовал совершить перевод на совершенно другом сервисе и оказалось мошеннический адрес вылез и там. Затем Я стал удалять расширения из Google Chrome и обновлять страницу с переводом. Когда Я удалил расширение UBLOCK ADBLOCK PLUS то адрес при обновлении страницы поменялся на другой и тем самым Я сделал вывод, что именно расширение UBLOCK ADBLOCK PLUS подсунуло свой адрес в страницу сервиса 4exchange.cash
Таким образом мои бабосики улетели разработчику этого «замечательного» расширения. Что примечательно при повторной установке, подобных проблем не выявилось. Видимо скрытая «фича» активируется спустя какое-то время, когда бдительность юзера засыпает, он привыкает к этому расширению, не замечает за ним каких-то косяков, а потом бац и включается жесткая монетизация в черной форме.
В связи с выше изложенным прошу компетентных читателей проверить мою теорию, и в случае подтверждения как-то связаться с Google и предупредить их о том, что в их магазине расширений завелась крыса, которая портит карму компании.
Еще поразил тот факт что сервис 4exchange.cash не шел на контакт и с каждым ответом обвинял меня в том, что это Я всё смонтировал и пытаюсь их обмануть. При этом они полные нули в обеспечении безопасности:
- Они не проинформировали пользователя о возможной подмене адреса и даже полностью отрицали (переписка) возможность таких событий.
- Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F
Мне кажется это просто неприемлемо для сервиса с подобной услугой.
Вывод: будьте внимательны и осторожны при обмене криптовалюты, не используйте браузеры с расширениями!
Спасибо за внимание.
Комментарии (49)
nerudo
02.01.2018 22:17+2Если расширение уже по названию пытается маскироваться под два популярных, то есть повод что-то заподозрить…
crea7or
02.01.2018 22:47Где расследование?
Xally
03.01.2018 10:10+1Также не совсем понятно, для чего автор этого 'расследования' в местоимении 'я' во всём тексте использует именно прописную букву, а не строчную.
ReakTiVe-007
03.01.2018 10:57«Ведь именно под Моим чутким руководством был создан этот коллектив» Товарищ Бывалов. Фильм Волга-Волга.
JackHuman
03.01.2018 20:59Такое у него чувство собственного самоуважения. Англоговорящие люди так делают постоянно и даже мы в основном, когда учимся этому языку.
kisskin
02.01.2018 22:49за информацию спасибо, а за обвинения сервисов — нет («При этом они полные нули в обеспечении безопасности» — как я вижу, это были не они))))
Да, схема еще новая и в будущем, похоже, станет очень массовой…saege5b
02.01.2018 23:24Сбербанк уже на этом нагорел, когда массово через мобильный банк у любителей качать пиратку (андроид) с разных мусорных сайтов, сливали деньги со счетов.
И виноватым сделали именно сбер.
В общем, лохи не мамонты — не исчезнут.kalininmr
03.01.2018 08:33а там же недает пользоватся если чтото кривое наблюдается.
даже если рут включен
sumanai
02.01.2018 22:52Вывод: будьте внимательны и осторожны при обмене криптовалюты, не используйте браузеры с расширениями!
Я бы расширил на все финансовые операции вообще, так как адрес перевода можно поменять и в интерфейсе онлайн банка.
FlashManiac
02.01.2018 22:59Ну вы сами виноваты, как бы это грубо не звучит. При установке некоторых расширений у них есть требования доступ к контенту веб страницы. И вы сами даете доступ. С точки зрения обменника они могли бы шифровать а так же сами контролировать поле где указан адрес и подменять его либо информировать юзера о том, что его взломали. Ну и последнее — не используйте малоизвестные расширения и те которые требуют доступ к контенту веб страницы. Вы можете лишиться вообще всех денег )
saege5b
02.01.2018 23:26Я всем знакомыым внушаю, что браузеры для просто пошариться в инете и для фин. действий — обязательно разные!
TimsTims
02.01.2018 23:04При этом они полные нули в обеспечении безопасности:
А что можно было бы сделать в такой ситуации? Это же аналогичная ситуация, как сайты ноют, что не могут тягаться с Adblock, потому-что он настолько хорошо режет рекламу, что ни один скрипт её не обходит. И тут то же самое — если автор расширения хорош, то он любую «псевдо-защиту» обойдет. Да он вообще может даже тех.поддержкой притворяться если надо.
Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F
Ок, выдавать тогда адрес кошелька картинкой? Но как тогда копировать?
Шифровать скриптом? Но любой скрипт и буквы можно подменить, если у тебя супер-расширение. Более того, при CTRL+C можно изменять буфер обмена так, как хочется: копируешь одно, вставляешь другое…
Я уже молчу о том, что такое расширение вообще может заменить в POST-запросе ваш QIWI-кошелёк НА СВОЙ, а вам везде показывать тот, который вы ввели.
Не стоит винить сайты в том, что у вас на компе водятся вирусы.
old_bear
02.01.2018 23:07+1Если не секрет, зачем личное местоимение 1-го лица везде прописной буквой стоит?
VANSCoder
03.01.2018 02:21Это как в дипломной работе практически каждое предложение начинается с «я сделал то-то то-то» что бы акцентировать внимание на том, что это моя работа и я решил проблему человечества.
JIghtuse
03.01.2018 17:05Где такие работы принимают? В России же принято от третьего лица дипломные писать: "автор показал", "проведена работа", вот это всё.
Marwin
02.01.2018 23:16безусловно, спасибо за новость об очередном способе "обмана", но в остальном… простите, но купиться на расширение, явно не являющееся представителем общепринятых "официалов" рынка — это надо быть весьма рисковым человеком. Не спорю, верить нельзя никому, но есть же базовые принципы поведения в инете ради сохранности собственной пятой точки в случае, если вы не компьютерный гуру в третьем поколении.
dmitry_dvm
02.01.2018 23:16Автор поставил явный скам и жалуется, что скам оказался скамом. Но да, гугловские сторы это та еще помойка.
Sergey_datex
02.01.2018 23:18Когда устанавливаете приложения, обращайте внимание на полное название и производителя.
Уже пора научиться… Ваше расширение явно вирусное, сайт производителя — пустышка (www.mediadblock.com).
Оригинальное расширение называется AbBlock Plus.
Социальный инжиниринг в действии…romashko_o
02.01.2018 23:46ublock тоже существует, но сайту него — ublock.org, а не указанный автором. Ну и я ожидал как минимум ковыряния кода расширения, а не просто «Наверное, это оно делает плохо».
jryj
03.01.2018 10:12Это сайт старой версии. Последнее обновление от 2015г.
Там уже другой разработчик продолжил дело: github.com/gorhill/uBlock
kirillaristov
03.01.2018 00:50+1прошу компетентных читателей проверить мою теорию, и в случае подтверждения как-то связаться с Google
Ок, спасибо, написали в чатике Брину, отписался что разберется.
VANSCoder
03.01.2018 02:24Всё новое — это хорошо забытое старое, лет 10 назад любили подменять WM кошельки до того момента, пока не начали блокировать за такое.
hdfan2
03.01.2018 07:31UBLOCK ADBLOCK PLUS
Помнится, в 90-х на базарах тоже продавали магнитофоны Akaiwa и Panasony. Ничего не изменилось.
lostpassword
03.01.2018 08:49+1Автор, радуйтесь, потому что 3343 рубля — это очень скромная сумма за обучение)
riv1329
03.01.2018 10:12Интересно, а как пожаловаться на расширение? Неужели нельзя? Получается, там должно буквально все быть завалено вирусами, скамом и шпионящими расширениями.
ziginsider
03.01.2018 12:15Пожаловаться всегда можно. На страничке установки расширения есть ссылка «Сообщить о нарушении»:
скриншот
FlamyXD
03.01.2018 10:12Здравствуйте. Исправьте, пожалуйста, адрес ссылки на видео. Оно не открывается.
https://www.youtube.com/edit?o=U&video_id=fZ74dUJnvQA
На ссылку ниже:
https://www.youtube.com/watch?v=fZ74dUJnvQA
Vsemmira
03.01.2018 10:13Все требует проверки. Автор изначально не провел расследование, а обманулся сам.
salisbury-espinosa
03.01.2018 10:13При этом они полные нули в обеспечении безопасности:
Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F
в конечном итоге после выполнения скрипта для пользователя текст всегда будет в браузере в виде html и расширениие, имея доступ к dom модели всегда его сможет получить.
даже если не текстом, а картинкой показывать этот самый адрес, то все равно расширение его сможет подменить на свою картинку и вообще любой объект, который видит пользователь можно извлечь/подменить, просто потому что есть права у расширения для работы с dom…
Вы уж тут сами себе злобный буратино раз ставите левый софт, нет смысла гнать на сервис.
fevral13
03.01.2018 12:39У меня расширение в браузере, которое все местоимения «я» в статье КАПСОМ написало ))
Stalker_RED
03.01.2018 20:05Это вторая стадия. На первой все «вы» с большой буквы, на второй «я», на третьей — «они».
nox1725
03.01.2018 18:40+2Не удивлен, что статья и сам Автор улетели в минус, потому что информации в статье практически ноль. Как сам автор рассказал в «претензии» к сервису обмена — таких расширений может быть очень много, так что вся ценность статьи в обнаружении конкретно этого расширения, которое здравомыслящий человек вообще ставить не будет (а
параноикте, кто заботится о безопасности транзакций, так вообще будут запускать браузер в виртуалке на чистой системе, без единого расширения).
Но больше всего поразила юношеская истерика автора в общении со службой поддержки. У них, конечно, дефолтный ответ и всё такое, но поведение автора тоже далеко от нормального делового стиля, так что могу предположить, что у поддержки на такой случай есть специальный скрипт ответов. Искренне сочувствую тем, кому пришлось отвечать на претензию автора
Скриншот номер раз:
Ну и «вишенка на торте»
KoMePcAHT
03.01.2018 19:17скачал плагин, ничего подозрительного не нашел, воспроизвести изложенное автором не получилось
Hissing_Bridge
03.01.2018 22:43Кроме как стыд, по другому охарактеризовать статью нельзя. Совершенно не разобравшись в чем дело, полез с предъявами и оскорблениями к техподам сервиса. А оказалось что не сервис мошеннический, а автор не кто иной как человечек на букву д из скринов переписки.
Acuna
04.01.2018 02:40+1Ну так-то обвинять 4exchange, еще и ругаться — как минимум дно. Это как обвинять Сбер в том, что юзер, пользуясь бабушкиным браузером с понаставленными на него тоннами скама неизвестно откуда, удивляется, откуда у него деваются деньги из кошелька. Никакие сторонние сервисы не обязаны давать инструкции по защите от того, что юзер ставит к себе на комп, и/или оправдываться в том, что они знают/не знают. Это не Касперский.
Есть такой тест: детям и взрослым показывают фото, на котором человек бежит, и на котором он спотыкается о скамейку и падает. Спрашивают кто виноват. Дети лет до 7-10 в один голос отвечают, что виновата скамейка. Дети взрослее и взрослые уже ясно понимают, что виноват человек, ибо под ноги смотреть надо. Собссно, картина маслом. Впервые на Хабре сталкиваюсь с тем, что человека начали сливать уже сразу после получения приглашения, но тут я солидарен с обществом.
JmAbuDabi
04.01.2018 09:05Когда я пополняю счет то несколько раз убеждаюсь, тот ли счет пополняю, во всех окошках и т.д., где это можно проверить. А вдруг не туда полетит(транзакцию-то не отменишь).
Теперь этот сервис называет данное проишествие «Уникальным случаем»))
При подтверждении заявки появляется текст:
Внимание! Техническая поддержка обменного сервиса работает с 10:00 до 20:00 (МСК). Заявки, оплаченные по истечению установленного срока, оплаченные не в полном объеме, заявки с ошибками, заявки с другими «уникальными» случаями, — обрабатываются в порядке очереди только в указанное время работы технической поддержки!
Canapsis Автор
04.01.2018 10:13-2Дофига умные тут сидят.
Надо было то, надо было сё.
Это жизнь, никогда не знаешь что тебя ждёт завтра.
Хотя нет, пользователи хабрахабра знают за всё про всё наперёд.
Умникиnox1725
04.01.2018 15:05+1Вот этим вот Вы еще раз показали, что минусы Вам дали не зря. Учитесь принимать критику адекватно, да и вообще — учитесь общаться с людьми — в жизни пригодится.
Да и, кстати, 3к рублей — не такая уж большая плата за получение опыта. Многим он обходится намного дороже
p.s. Пользователи Хабра такие же люди, как и я, и Вы. Подумайте о своей реакции, если бы Вы читали подобную статью со стороны. Конечно, объективно оценить ситуацию сложно, у Вас эмоции и т.д., но попробуйте и увидите, почему Вы не правы
Удачи!
xilix
04.01.2018 20:46Автор с самого начала задал тон беседы с техподдержкой, шантажируя их тем, что заблокирует их сайт на территории РФ. Хорошо хоть не оскорбился с чувствами верующих и не обвинил в терроризме.
Я не сторонник зековских понятий, но тут явно пахнет словами «западло» и «стукач». Как бы человек не оправдывался, а свою истинную натуру он показал. Еще и оказался в итоге не прав. Лучше б молчал.
Asen
05.01.2018 01:02Всегда было банально интересно, каким местом думают люди вроде ТС, ставящие такого рода расширения и занимающиеся обналичиванием криптовалюты в одном браузере и под одним пользователем :)
ru_vlad
Самый правильный вывод! Да и вообще все эти расширения "троянский конь".