[Из песочницы] Я случайно рассекретил скам-проект

alxhgoodg4jn1j0cp8xkkn-j5h8.png
Photo from: www.aarp.org/podcasts/the-perfect-scam

Часто ли вы встречаетесь со скам-проектами? Я вот часто. Не в силу профессиональной деятельности или чего-то такого, а скорее так — из-за интереса. Но порой мне даже кажется, что не я нахожу их, а они ищут меня.

Сегодня я разберу один скам-проект, и расскажу почему я нахожу его «красивым».

Как всё началось


Я лежал на кровати. Уверен, многие знакомы с этим чувством: чувством, когда тебе вроде и есть чем заняться, но ты этого не хочешь. Единственное твоё желание сейчас: поправить подушку, улечься и почитать что-то в телефоне.

В очередной раз, когда это желание настигло меня, я решил посмотреть что нового у меня в Телеграме. И так уж вышло (исторически сложилось), что в Телеграме я подписан на большое количество каналов, посвящённых криптовалютам, разным способам мошенничества, «схемам заработка». Нет, я совсем не занимаюсь ничем названным ранее, но почитать о таком лично мне бывает крайне интересно.

И вот в этот же очередной раз я наткнулся на интересную статью. Она имела название »40$ за 5 минут». Многим читателям Хабра уже и само название может показаться подозрительным, но ещё рано делать выводы. К тому же поверьте — в Телеграме такие названия не редки, к ним уже все привыкли. Я уж точно.

С первого прочтения статья показалась мне обычным для Телеграма делом — привлечением пользователей к сайту с целью регистрации по пригласительной ссылке. Да что уж там: такого на каналах о «мошенничестве» навалом. Администраторы каналов размещают статьи о сайте, который сулит пользователю «палучить сто тыщ милион евро за сикунду», в которой они публикуют свои пригласительные ссылки, при регистрации по которым админы получают бонусы или даже деньги. Вкратце и грубо — всё происходит именно так.

Но вот стоило мне приглядеться к этим ссылкам, как я заметил нечто странное.

Немного о той самой статье


Для понимания происходящего я кратко перескажу статью. В ней говорится, что есть две неких компании: Tencent и Bridgewater Associates (почему названия этих компаний меня зацепили я расскажу чуть позже). Якобы, китайская компания Tencent вот-вот выпустит новую криптовалюту, которую ждёт весь криптовалютный рынок. Bridgewater Associates, будучи инвестиционной компанией, активно скупает её токены, ещё до выпуска самой криптовалюты в пользование. Автор статьи предлагает получить «бесплатные токены» от Tencent, и продать их Bridgewater Associates. На этом он и предлагает читателю получить свои деньги.

Всё бы ничего. Как я уже сказал раньше, я успел подумать, что это обычные привлечение читателей на пригласительные ссылки. Но после второго прочтения статьи я присмотрелся к ссылкам.

Начало расследования


Изначально насторожила меня вторая ссылка из этой статьи, а именно та, которая вела на сайт Bridgewater Associates.

Присмотритесь к ней:

t9mldy8vbhnj0xftpavayo4qk6a.png

Прошу прощения, меня не подводит зрение? На главном сайте крутой и известной инвестиционной компании в домене отсутствует буква «e», которая есть в их же названии? Выглядит достаточно подозрительно.

Перехожу по ссылке. Знаете, что я вижу? Отличный сайт. Нет, серьёзно — дизайн мне понравился. Достаточно простой, футуристичный, с красивой панелью регистрации. Но вещь, которая меня насторожила, никуда не ушла. Буква «e» всё так же отсутствует в домене сайта.

Внешний вид этого сайта
simp3-keewe24t0ctn8vvfxorsi.png


Тут я решился проверить информацию об этой компании в Гугле.

Ищу. В отличии от других скам-проектов, которые я находил раньше, даже что-то нахожу. Компания ведь действительно существует! Действительно: это большая инвестиционная компания, созданная миллардером. Гугл даже даёт ссылку на неё. А, вот собственно, и она:

vyyi6wk1asfwx2xshddsaflu0so.png

А вот и внешний вид этого сайта
sessbjbjnfbyh5vmllzrxnxyngu.png


Заметили разницу? Буква «e» в домене, выданным Гуглом, есть! И что более интересно — на сайте, который выдал Гугл, отсутствует панель для регистрации. Любопытно!

А что на счёт второго сайта?

Расследование продолжается


Статья нам предлагает следующую ссылку, ведущую на сайт компании Tencent:

bs_ive3qfht7fzxiqff1r4p9m8y.png

В ней уже нет грамматических ошибок, и это радует. И внешний вид страницы тоже не вызывает подозрения. Вот, кстати, и он:

Внешний вид сайта Tencent
sgqot1ijzpe55zfgjnw_haf3yky.png


Ух, как убедительно. На логотипе и в тайтле страницы даже есть немного китайских иероглифов — просто прекрасно!

Но что бы было, если бы я был китайцем, и плохо бы понимал «инглиш лангуаге»? Наверное, я бы захотел переключить язык интерфейса на свой родной — китайский. У них должна же быть такая возможность. Конечно. Компания ведь известная. И китайская.

Но, увы, на сайте «китайской» компании нет возможности переключить язык интерфейса на китайский. Шкала подозрительности повышается.

Провожу ту же операцию, что делал с сайтом Bridgewater Associates — гуглю. О чём нам расскажет быстрый поиск? Что же, результат получился тот же, что и в прошлой попытке: компания существует. И Гугл снова поделился с нами ссылкой на неё. Даже двумя: на английскую и китайскую версию. И да, домен обеих снова отличается от того, которым автор статьи «любезно» с нами поделился. Вот и ссылки:

45t5kuxljiuuqgq-oeotplzidom.png

Внешний вид настоящего Tencent, с интерфейсом на английском языке
wc5gmb5szfx54ny3knwegsxemyq.png


Снова интерес вызывает то, что на сайте, который выдал Гугл (как и со случаем с Bridgewater Associates), отсутствует даже намёк на присутствие регистрации на странице. Просто поразительно.

К этому времени шкала подозрительности уже задевала потолок. Но я всё таки решил добить её вот чем — настало время проверить дату создания доменов.

Кульминация


И так, есть четыре разных сайта. Заходим на первый попавшийся на глаза сервис, который выдаёт нам Гугл при запросе «проверить регистрацию домена». Что мы видим?

«Странный» сайт Tencent:

utddcwrp_hmttsh4dusjnahpxba.png

Настойщий сайт Tencent:

bczpjj-h2bvpqsvudcju4txpj5u.png

И почему-то я даже не удивлён. Дата регистрация настоящего домена Tencent — четырнадцатое сентября тысяча девятьсот девяносто восьмого года. В то время как домен «странного» (что уж там, теперь я с уверенностью могу сказать «поддельного») сайт был зарегистрирован всего восемь дней назад — двадцать девятого декабря две тысячи девятнадцатого года. Вот же кому-то нечем заняться на Новый год?

Что на счёт второго домена?

Поддельный Bridgewater Associates:

ffz8g-e0z9vmsgknwgd3evqiyqg.png

Настоящий Bridgewater Associates:

pytcfaqgy6m1wovcj4bp23nlbd0.png

Опять таки — разница на лицо. Первый домен был зарегистрирован в этом же году, всего на день раньше предыдущего. Настоящий домен Bridgewater Associates зарегистрировался в тысяча девятьсот девяносто пятом.

Когда происходил скам?


В какой момент вы, решив последовать инструкциям из статьи, лишились бы денег? Что же, это очень простой вопрос. Вернёмся к статье:

dymukuendcyi7chs6uhwd533rdy.png

Вот так у вас и пропадают деньги. Они исчезают в тот момент, когда вы докупаете себе ещё пять токенов, которые нужны для «обхода лимита на вывод». Автор сайтов сделал умный ход: он «подарил» вам пять токенов, а минимально вывести с сайта можно минимум десять. Итого вы обязаны докупить ещё пять штук, так ещё и по стоимости токена в 10$. Проведя сложные математические расчёты, можно понять, что вы потеряете 50$. Магия в том, что всё это происходит на поддельном сайте, и когда вы покупаете криптовалюту, деньги автоматически переходят мошеннику. В действительности, вывести ни у кого оттуда ничего не получится, и окупается здесь только скаммер.

Эпилог


Да, этот скам — красивый. Мошенник использует сразу два сайта, причём взяв под их основу две настоящие и существующие компании. Более того, я бы не зацепился за это «расследование», если бы не заметил мелкую оплошность в URL сайта.

Что я буду делать сейчас? Я определённо узнаю названия хостинга, на котором располагаются эти два сайта, и пожалуюсь на них его администраторам. И вовсе не из-за злобы, нет. Этот проект не смог у меня ничего забрать. Я лишь хочу оградить других пользователей Сети от того, чтобы они не попались на этот крючок. Ведь если и признаться полностью, то года два назад, если бы у меня были лишние 50$, я бы и сам, возможно, попался.

Пользователям Хабра лишь хочу напомнить о том, как важна внимательность в Сети. Если средний админ канала тёмной тематики в Телеграме может начать убедительный мошеннический проект, то другие скам-проекты могут быть куда более серьёзнее (и опаснее). На данный момент, на статье уже набралось 1800 просмотров, и даже если 10 человек прочитали её, ничего не проверили и попробовали действовать по инструкции, то автор статьи уже заработал 500$. И это довольно грустно.

© Habrahabr.ru