Photo from: www.aarp.org/podcasts/the-perfect-scam

Часто ли вы встречаетесь со скам-проектами? Я вот часто. Не в силу профессиональной деятельности или чего-то такого, а скорее так — из-за интереса. Но порой мне даже кажется, что не я нахожу их, а они ищут меня.

Сегодня я разберу один скам-проект, и расскажу почему я нахожу его «красивым».

Как всё началось


Я лежал на кровати. Уверен, многие знакомы с этим чувством: чувством, когда тебе вроде и есть чем заняться, но ты этого не хочешь. Единственное твоё желание сейчас: поправить подушку, улечься и почитать что-то в телефоне.

В очередной раз, когда это желание настигло меня, я решил посмотреть что нового у меня в Телеграме. И так уж вышло (исторически сложилось), что в Телеграме я подписан на большое количество каналов, посвящённых криптовалютам, разным способам мошенничества, «схемам заработка». Нет, я совсем не занимаюсь ничем названным ранее, но почитать о таком лично мне бывает крайне интересно.

И вот в этот же очередной раз я наткнулся на интересную статью. Она имела название «40$ за 5 минут». Многим читателям Хабра уже и само название может показаться подозрительным, но ещё рано делать выводы. К тому же поверьте — в Телеграме такие названия не редки, к ним уже все привыкли. Я уж точно.

С первого прочтения статья показалась мне обычным для Телеграма делом — привлечением пользователей к сайту с целью регистрации по пригласительной ссылке. Да что уж там: такого на каналах о «мошенничестве» навалом. Администраторы каналов размещают статьи о сайте, который сулит пользователю «палучить сто тыщ милион евро за сикунду», в которой они публикуют свои пригласительные ссылки, при регистрации по которым админы получают бонусы или даже деньги. Вкратце и грубо — всё происходит именно так.

Но вот стоило мне приглядеться к этим ссылкам, как я заметил нечто странное.

Немного о той самой статье


Для понимания происходящего я кратко перескажу статью. В ней говорится, что есть две неких компании: Tencent и Bridgewater Associates (почему названия этих компаний меня зацепили я расскажу чуть позже). Якобы, китайская компания Tencent вот-вот выпустит новую криптовалюту, которую ждёт весь криптовалютный рынок. Bridgewater Associates, будучи инвестиционной компанией, активно скупает её токены, ещё до выпуска самой криптовалюты в пользование. Автор статьи предлагает получить «бесплатные токены» от Tencent, и продать их Bridgewater Associates. На этом он и предлагает читателю получить свои деньги.

Всё бы ничего. Как я уже сказал раньше, я успел подумать, что это обычные привлечение читателей на пригласительные ссылки. Но после второго прочтения статьи я присмотрелся к ссылкам.

Начало расследования


Изначально насторожила меня вторая ссылка из этой статьи, а именно та, которая вела на сайт Bridgewater Associates.

Присмотритесь к ней:



Прошу прощения, меня не подводит зрение? На главном сайте крутой и известной инвестиционной компании в домене отсутствует буква «e», которая есть в их же названии? Выглядит достаточно подозрительно.

И обратите внимание на ещё одну деталь: этот сайт работает на обычном HTTP, а не на HTTPS! Я заметил это не сразу. Мне в этом, скажу честно, помогли (спасибо, ne555). Но вот теперь стоит задуматься: ведь это действительно очень странное решение — пренебречь безопасностью своих пользователей. Особенно странное оно для «большой» и «известной» инвестиционной компании.

Итак, я всё таки перехожу по ссылке. Знаете, что я вижу? Я вижу отличный сайт. Нет, серьёзно — дизайн мне понравился. Он достаточно простой, футуристичный, с красивой панелью регистрации. Но вещи, которые меня насторожили, никуда не ушли: буква «e» всё так же отсутствует в домене сайта, как и подключение по HTTPS.

Внешний вид этого сайта


Тут я решился проверить информацию об этой компании в Гугле.

Ищу. В отличии от других скам-проектов, которые я находил раньше, даже что-то нахожу. Компания ведь действительно существует! Действительно: это большая инвестиционная компания, созданная миллиардером. Гугл даже даёт ссылку на неё. А, вот собственно, и она:



А вот и внешний вид этого сайта


Заметили разницу? Буква «e» в домене, выданным Гуглом, есть! И что более интересно — на сайте, который выдал Гугл, отсутствует панель для регистрации. Любопытно!

А что на счёт второго сайта?

Расследование продолжается


Статья нам предлагает следующую ссылку, ведущую на сайт компании Tencent:



В ней уже нет грамматических ошибок, и к домену подключён SSL-сертификат. Это всё радует. И внешний вид страницы тоже не вызывает подозрения. Вот, кстати, и он:

Внешний вид сайта Tencent


Ух, как убедительно. На логотипе и в тайтле страницы даже есть немного китайских иероглифов — просто прекрасно!

Но что бы было, если бы я был китайцем, и плохо бы понимал «инглиш лангуаге»? Наверное, я бы захотел переключить язык интерфейса на свой родной — китайский. У них должна же быть такая возможность. Конечно. Компания ведь известная. И китайская.

Но, увы, на сайте «китайской» компании нет возможности переключить язык интерфейса на китайский. Шкала подозрительности повышается.

Провожу ту же операцию, что делал с сайтом Bridgewater Associates — гуглю. О чём нам расскажет быстрый поиск? Что же, результат получился тот же, что и в прошлой попытке: компания существует. И Гугл снова поделился с нами ссылкой на неё. Даже двумя: на английскую и китайскую версию. И да, домен обеих снова отличается от того, которым автор статьи «любезно» с нами поделился. Вот и ссылки:



Внешний вид настоящего Tencent, с интерфейсом на английском языке


Снова интерес вызывает то, что на сайте, который выдал Гугл (как и со случаем с Bridgewater Associates), отсутствует даже намёк на присутствие регистрации на странице. Просто поразительно.

К этому времени шкала подозрительности уже задевала потолок. Но я всё таки решил добить её вот чем — настало время проверить дату создания доменов.

Кульминация


И так, есть четыре разных сайта. Заходим на первый попавшийся на глаза сервис, который выдаёт нам Гугл при запросе «проверить регистрацию домена». Что мы видим?

«Странный» сайт Tencent:



Настойщий сайт Tencent:



И почему-то я даже не удивлён. Дата регистрация настоящего домена Tencent — четырнадцатое сентября тысяча девятьсот девяносто восьмого года. В то время как домен «странного» (что уж там, теперь я с уверенностью могу сказать «поддельного») сайт был зарегистрирован всего восемь дней назад — двадцать девятого ноября две тысячи девятнадцатого года.

Что на счёт второго домена?

Поддельный Bridgewater Associates:



Настоящий Bridgewater Associates:



Опять таки — разница на лицо. Первый домен был зарегистрирован в том же году и в том же месяце, что и поддельный Tencent, с разницей всего в сутки. А вот настоящий домен Bridgewater Associates зарегистрировался в тысяча девятьсот девяносто пятом.

Когда происходил скам?


В какой момент вы, решив последовать инструкциям из статьи, лишились бы денег? Что же, это очень простой вопрос. Вернёмся к статье:



Вот так у вас и пропадают деньги. Они исчезают в тот момент, когда вы докупаете себе ещё пять токенов, которые нужны для «обхода лимита на вывод». Автор сайтов сделал умный ход: он «подарил» вам пять токенов, а минимально вывести с сайта можно минимум десять. Итого вы обязаны докупить ещё пять штук, так ещё и по стоимости токена в 10$. Проведя сложные математические расчёты, можно понять, что вы потеряете 50$. Магия в том, что всё это происходит на поддельном сайте, и когда вы покупаете криптовалюту, деньги автоматически переходят мошеннику. В действительности, вывести ни у кого оттуда ничего не получится, и окупается здесь только скаммер.

Эпилог


Да, этот скам — красивый. Мошенник использует сразу два сайта, причём взяв под их основу две настоящие и существующие компании. Более того, я бы не зацепился за это «расследование», если бы не заметил мелкую оплошность в URL сайта.

Что я буду делать сейчас? Я определённо узнаю названия хостинга, на котором располагаются эти два сайта, и пожалуюсь на них его администраторам. И вовсе не из-за злобы, нет. Этот проект не смог у меня ничего забрать. Я лишь хочу оградить других пользователей Сети от того, чтобы они не попались на этот крючок. Ведь если и признаться полностью, то года два назад, если бы у меня были лишние 50$, я бы и сам, возможно, попался.

Пользователям Хабра лишь хочу напомнить о том, как важна внимательность в Сети. Если средний админ канала тёмной тематики в Телеграме может начать убедительный мошеннический проект, то другие скам-проекты могут быть куда более серьёзнее (и опаснее). На данный момент, на статье уже набралось 1800 просмотров, и даже если 10 человек прочитали её, ничего не проверили и попробовали действовать по инструкции, то автор статьи уже заработал 500$. И это довольно грустно.

Комментарии (27)


  1. justmara
    06.01.2020 21:52
    +11

    можно было остановиться на том моменте, когда увидел ссылку http:// и дальше не продолжать


    1. kapturoff Автор
      06.01.2020 22:29

      да, но так скучно)


    1. Viceroyalty
      07.01.2020 04:17

      Или не читать сомнительные рекламные сообщения… как скучно я живу


  1. A-Stahl
    06.01.2020 21:55
    +23

    >Да, этот скам — красивый.
    Самый обычный. Подавляющее большинство мошенников мимикрируют под реальные сайты. Бог ты мой, вы действительно впервые с этим столкнулись хотя «подписан на большое количество каналов, посвящённых криптовалютам, разным способам мошенничества, «схемам заработка»»? Ну даёте…


    1. kapturoff Автор
      06.01.2020 22:01
      -3

      Соглашусь. Но конкретно в этом сегменте я вижу такой скам впервые. Куда чаще случались случаи, когда мошенники маскировались под только что придуманные ими названия компаний. Более того, скаммер в этом проекте использовал сразу два сайта, и достаточно хорошо их скопировал.
      Может это всё меня и зацепило)


  1. staticlab
    06.01.2020 22:02
    +2

    Вот так Вы и решаетесь денег

    Что вы делаете??? :)


    1. kapturoff Автор
      06.01.2020 22:12
      -1

      Ой. Я хотел сказать «так у вас пропадают деньги». Поправил)


      1. staticlab
        06.01.2020 22:19
        +1

        решились бы денег?

        ну «лишились» же...


        1. kapturoff Автор
          06.01.2020 22:21
          -1

          И так тоже можно было бы написать, спасибо за идею)


  1. Loxmatiymamont
    06.01.2020 22:11
    +9

    Ну, видимо, С подключением!!!


    1. kapturoff Автор
      06.01.2020 22:27
      -3

      Спасибо)


  1. BiosUefi
    06.01.2020 23:08

    Минимальный вывод 10 монет, а дарят только 5.
    Если попытаться скооперироваться со знакомым и скинуть ему свои 5?
    Не прокатит такой вывод общей суммы? Хотя если сайт изначально заточен на обман, то вряд ли.


    1. kapturoff Автор
      07.01.2020 00:05

      Увы, так нельзя. Тут как с Дона во времена крепостного права — «выдачи нет» :)


    1. Viceroyalty
      07.01.2020 05:18

      Какой вывод у мошенников


  1. ne555
    06.01.2020 23:26

    Я лежал на кровати. Уверен, многие знают это чувство.

    вместо второй точки, возможно, нужно было поставить двоеточие, а так получилось забавно)
    решились бы > лишились бы.

    Первые две ссылки отличаются http/https, браузер или вы не заметили?
    Позитивные стилистические штучки порадовали, спасибо, годно)


    1. justmara
      06.01.2020 23:44

      там на скриншоте (под катом) даже явно написано в браузере Not secure, но автора это не смутило.


    1. kapturoff Автор
      07.01.2020 00:22

      Ох. Эту ошибку с «лишились» и «решились» допускаю уже второй раз в статье. Спасибо что поправили)
      И да, плашку «Not secure» у сайта я заметил только в момент перечитывания своей статьи, но забыл об этом упомянуть. Что же, теперь я внесу туда и эту информацию)
      И спасибо вам за тёплые слова ;3


  1. algotrader2013
    07.01.2020 00:14
    +10

    Я случайно рассекретил скам-проект

    Зачем же так пафосно то?)
    С таким-то пафосом ожидал в конце статьи увидеть страницу вконтакте, скан паспорта и жалобное селфи негодяя с глазами кота из Шрека, который умоляет удалить статью потому, что если родители узнают, то отнимут комп на 2 недели)

    А если серьезно, то схеме с минимальным порогом вывода и необходимостью чуток докинуть уже 100 лет в обед. Также забавно, что тут схема подразумевает, что обманутый думает, что поступает хитрожопо, но при этом честно, хотя часто ее применяют, убеждая жертву, что она при этом ворует чужие деньги (жертва «случайно» находит чужой логин-пароль, из любопытства заходит, видит там условные $47.31, пытается вывести себе, своровав у законного владельца, видит предупреждение, что мин. вывод $50, и докидывает своих, чтобы таки украсть).


    1. kapturoff Автор
      07.01.2020 00:51

      Да, как-то очень пафосно получилось, но и в голову тогда другие названия не лезли)
      Но всё таки, к сожалению, всё то, что в моих силах — узнать название хостинга, на котором расположены сайты, и пожаловаться в их абьюз-раздел.
      И конечно, схема, что вы описали, встречается часто. Меня же в примере из статьи удивило лишь то, что используются имена реальных компаний. И не одной, а аж двух! А так соглашусь — это развод, знакомый многим)


  1. Daddy_Cool
    07.01.2020 00:38

    Норм статья. У телеграма есть некий мистический ореол, ведь хочется верить, что именно там действительно может быть бесплатный сыр. Потому, что именно там живут суровые, но добрые хакеры-робингуды. У меня есть несколько человек вокруг которые попадались на разного рода разводки, но и людям близким к IT надо держать ухо востро. Предупрежден — значит вооружен.


    1. kapturoff Автор
      07.01.2020 00:52

      Полностью согласен со всем вышесказанным)


    1. Viceroyalty
      07.01.2020 05:20

      Скорей на GitHub, там иногда логпассы комитят


  1. kbaa
    07.01.2020 01:27

    двадцать девятого декабря две тысячи девятнадцатого года. Вот же кому-то нечем заняться на Новый год?

    … а на скрине 2019-11-29. Кто-то еще не отошел от празднования?:)


    1. kapturoff Автор
      07.01.2020 02:01

      Упси. Сейчас поправлю)


  1. Jogger
    07.01.2020 01:41
    +1

    Не понял, в чём красота скама. Тем более, в чём красота для человека, который часто сталкивается со скамом. Я вот сталкиваюсь редко. И для меня этот скам — унылый и банальный.


    1. kapturoff Автор
      07.01.2020 02:06

      Как я уже писал раньше, красота его только в том, что мошенник не поленился сделать сразу два сайта. Одновременно с этим скрываясь под видом двух компаний, которые существуют в реальном мире. От других скамов его отличает только эти факты, но я не думаю, что это делает его менее интересным)


      1. vbifkol
        07.01.2020 04:23

        Эммм… А сколько сайтов обычно создают? У меня скам проще: предложения оборудования по нерыночным ценам, от 15 до 70% разницы. Обычно создается как раз пара: сайт «производителя» и «поставщика», плюс страницы «производителя» на всяких директиндастриз и алибабах. Мерзость лезет и в ФБ и в телегу, причем модераторам глубоко пох, на ФБ обычно в первом же комментарии написано что скам, но рекламу не убирают.