Photo from: www.aarp.org/podcasts/the-perfect-scam

Часто ли вы встречаетесь со скам-проектами? Я вот часто. Не в силу профессиональной деятельности или чего-то такого, а скорее так — из-за интереса. Но порой мне даже кажется, что не я нахожу их, а они ищут меня.

Сегодня я разберу один скам-проект, и расскажу почему я нахожу его «красивым».

Как всё началось

Я лежал на кровати. Уверен, многие знакомы с этим чувством: чувством, когда тебе вроде и есть чем заняться, но ты этого не хочешь. Единственное твоё желание сейчас: поправить подушку, улечься и почитать что-то в телефоне.

В очередной раз, когда это желание настигло меня, я решил посмотреть что нового у меня в Телеграме. И так уж вышло (исторически сложилось), что в Телеграме я подписан на большое количество каналов, посвящённых криптовалютам, разным способам мошенничества, «схемам заработка». Нет, я совсем не занимаюсь ничем названным ранее, но почитать о таком лично мне бывает крайне интересно.

И вот в этот же очередной раз я наткнулся на интересную статью. Она имела название «40$ за 5 минут». Многим читателям Хабра уже и само название может показаться подозрительным, но ещё рано делать выводы. К тому же поверьте — в Телеграме такие названия не редки, к ним уже все привыкли. Я уж точно.

С первого прочтения статья показалась мне обычным для Телеграма делом — привлечением пользователей к сайту с целью регистрации по пригласительной ссылке. Да что уж там: такого на каналах о «мошенничестве» навалом. Администраторы каналов размещают статьи о сайте, который сулит пользователю «палучить сто тыщ милион евро за сикунду», в которой они публикуют свои пригласительные ссылки, при регистрации по которым админы получают бонусы или даже деньги. Вкратце и грубо — всё происходит именно так.

Но вот стоило мне приглядеться к этим ссылкам, как я заметил нечто странное.

Немного о той самой статье

Для понимания происходящего я кратко перескажу статью. В ней говорится, что есть две неких компании: Tencent и Bridgewater Associates (почему названия этих компаний меня зацепили я расскажу чуть позже). Якобы, китайская компания Tencent вот-вот выпустит новую криптовалюту, которую ждёт весь криптовалютный рынок. Bridgewater Associates, будучи инвестиционной компанией, активно скупает её токены, ещё до выпуска самой криптовалюты в пользование. Автор статьи предлагает получить «бесплатные токены» от Tencent, и продать их Bridgewater Associates. На этом он и предлагает читателю получить свои деньги.

Всё бы ничего. Как я уже сказал раньше, я успел подумать, что это обычные привлечение читателей на пригласительные ссылки. Но после второго прочтения статьи я присмотрелся к ссылкам.

Начало расследования

Изначально насторожила меня вторая ссылка из этой статьи, а именно та, которая вела на сайт Bridgewater Associates.

Присмотритесь к ней:



Прошу прощения, меня не подводит зрение? На главном сайте крутой и известной инвестиционной компании в домене отсутствует буква «e», которая есть в их же названии? Выглядит достаточно подозрительно.

И обратите внимание на ещё одну деталь: этот сайт работает на обычном HTTP, а не на HTTPS! Я заметил это не сразу. Мне в этом, скажу честно, помогли (спасибо, ne555). Но вот теперь стоит задуматься: ведь это действительно очень странное решение — пренебречь безопасностью своих пользователей. Особенно странное оно для «большой» и «известной» инвестиционной компании.

Итак, я всё таки перехожу по ссылке. Знаете, что я вижу? Я вижу отличный сайт. Нет, серьёзно — дизайн мне понравился. Он достаточно простой, футуристичный, с красивой панелью регистрации. Но вещи, которые меня насторожили, никуда не ушли: буква «e» всё так же отсутствует в домене сайта, как и подключение по HTTPS.


Тут я решился проверить информацию об этой компании в Гугле.

Ищу. В отличии от других скам-проектов, которые я находил раньше, даже что-то нахожу. Компания ведь действительно существует! Действительно: это большая инвестиционная компания, созданная миллиардером. Гугл даже даёт ссылку на неё. А, вот собственно, и она:




Заметили разницу? Буква «e» в домене, выданным Гуглом, есть! И что более интересно — на сайте, который выдал Гугл, отсутствует панель для регистрации. Любопытно!

А что на счёт второго сайта?

Расследование продолжается

Статья нам предлагает следующую ссылку, ведущую на сайт компании Tencent:



В ней уже нет грамматических ошибок, и к домену подключён SSL-сертификат. Это всё радует. И внешний вид страницы тоже не вызывает подозрения. Вот, кстати, и он:


Ух, как убедительно. На логотипе и в тайтле страницы даже есть немного китайских иероглифов — просто прекрасно!

Но что бы было, если бы я был китайцем, и плохо бы понимал «инглиш лангуаге»? Наверное, я бы захотел переключить язык интерфейса на свой родной — китайский. У них должна же быть такая возможность. Конечно. Компания ведь известная. И китайская.

Но, увы, на сайте «китайской» компании нет возможности переключить язык интерфейса на китайский. Шкала подозрительности повышается.

Провожу ту же операцию, что делал с сайтом Bridgewater Associates — гуглю. О чём нам расскажет быстрый поиск? Что же, результат получился тот же, что и в прошлой попытке: компания существует. И Гугл снова поделился с нами ссылкой на неё. Даже двумя: на английскую и китайскую версию. И да, домен обеих снова отличается от того, которым автор статьи «любезно» с нами поделился. Вот и ссылки:




Снова интерес вызывает то, что на сайте, который выдал Гугл (как и со случаем с Bridgewater Associates), отсутствует даже намёк на присутствие регистрации на странице. Просто поразительно.

К этому времени шкала подозрительности уже задевала потолок. Но я всё таки решил добить её вот чем — настало время проверить дату создания доменов.

Кульминация

И так, есть четыре разных сайта. Заходим на первый попавшийся на глаза сервис, который выдаёт нам Гугл при запросе «проверить регистрацию домена». Что мы видим?

«Странный» сайт Tencent:



Настойщий сайт Tencent:



И почему-то я даже не удивлён. Дата регистрация настоящего домена Tencent — четырнадцатое сентября тысяча девятьсот девяносто восьмого года. В то время как домен «странного» (что уж там, теперь я с уверенностью могу сказать «поддельного») сайт был зарегистрирован всего восемь дней назад — двадцать девятого ноября две тысячи девятнадцатого года.

Что на счёт второго домена?

Поддельный Bridgewater Associates:



Настоящий Bridgewater Associates:



Опять таки — разница на лицо. Первый домен был зарегистрирован в том же году и в том же месяце, что и поддельный Tencent, с разницей всего в сутки. А вот настоящий домен Bridgewater Associates зарегистрировался в тысяча девятьсот девяносто пятом.

Когда происходил скам?

В какой момент вы, решив последовать инструкциям из статьи, лишились бы денег? Что же, это очень простой вопрос. Вернёмся к статье:



Вот так у вас и пропадают деньги. Они исчезают в тот момент, когда вы докупаете себе ещё пять токенов, которые нужны для «обхода лимита на вывод». Автор сайтов сделал умный ход: он «подарил» вам пять токенов, а минимально вывести с сайта можно минимум десять. Итого вы обязаны докупить ещё пять штук, так ещё и по стоимости токена в 10$. Проведя сложные математические расчёты, можно понять, что вы потеряете 50$. Магия в том, что всё это происходит на поддельном сайте, и когда вы покупаете криптовалюту, деньги автоматически переходят мошеннику. В действительности, вывести ни у кого оттуда ничего не получится, и окупается здесь только скаммер.

Эпилог

Да, этот скам — красивый. Мошенник использует сразу два сайта, причём взяв под их основу две настоящие и существующие компании. Более того, я бы не зацепился за это «расследование», если бы не заметил мелкую оплошность в URL сайта.

Что я буду делать сейчас? Я определённо узнаю названия хостинга, на котором располагаются эти два сайта, и пожалуюсь на них его администраторам. И вовсе не из-за злобы, нет. Этот проект не смог у меня ничего забрать. Я лишь хочу оградить других пользователей Сети от того, чтобы они не попались на этот крючок. Ведь если и признаться полностью, то года два назад, если бы у меня были лишние 50$, я бы и сам, возможно, попался.

Пользователям Хабра лишь хочу напомнить о том, как важна внимательность в Сети. Если средний админ канала тёмной тематики в Телеграме может начать убедительный мошеннический проект, то другие скам-проекты могут быть куда более серьёзнее (и опаснее). На данный момент, на статье уже набралось 1800 просмотров, и даже если 10 человек прочитали её, ничего не проверили и попробовали действовать по инструкции, то автор статьи уже заработал 500$. И это довольно грустно.