[Из песочницы] Мошенническое расширение в Google Chrome. Расследование
Эта статья обошлась мне в 3343 рубля, именно столько Я потерял при переводе Litecoin на Qiwi RUB и хочу описать мою историю подробно, чтобы Вы дорогие Хабровчане не наступили на те же грабли что и Я.
Мне нужно было вывести средства с биржи Poloniex в фиат. Для этого Я воспользовался популярным сервисом bestchange, на котором нашел сервис 4exchange.cash, он предложил мне перевести средства по указанному адресу
Как ни в чем не бывало Я скопировал жирненький адрес и перевел на него 0.25 LTC
Но после всех подтверждений в блокчейне Litecoin, средства на QIWI кошелек так и не пришли.
Я начал писать в тех.поддержку прямо в том же окне браузера, что деньги так и не поступили, на что мне дали ответ никаких транзакций по адресу live.blockcypher.com/ltc/address/LXsw2rNJtwX3J7eimmqEoZh6Cg4n5U6EEM/ не поступало.
Я удивился, что адрес кошелька другой, отличается от того, что был на скриншоте. Последовала долгая переписка с тех поддержкой, где каждая сторона отстаивала свою точку зрения.
Но самое интересное было записано на видео с помощью Camatasia Studio. Там мне удалось снять, как адрес о котором мне постоянно упоминала тех.поддержка менялся автоматически на странице при обновлении, практически мгновенно на другой адрес, на который Я совершил перевод.
Адрес официальный — LXsw2rNJtwX3J7eimmqEoZh6Cg4n5U6EEM
Адрес мошенника — LKyKqLVy6KgyCYekftCHFTBLYiZyUvxtsG
Упёртость тех.поддержки 4exchange.cash и не желание разобраться в моем вопросе наталкивала на мысли о том, что сам сервис является мошенником.
Но потом Я вспомнил, что со мной уже происходил подобный случай около полугода назад. Я менял биткоины на эфириум и мне тоже ничего не выплатили сославшись на то, что Я не совершал перевод. Мне показалось странным что на bestchange уже 2 подобных сервиса занимаются мошенничеством.
Тогда Я предположил, а что если какое-то расширение специально подменило адрес Litecoin кошелька в моем браузере?
Я попробовал совершить перевод на совершенно другом сервисе и оказалось мошеннический адрес вылез и там. Затем Я стал удалять расширения из Google Chrome и обновлять страницу с переводом. Когда Я удалил расширение UBLOCK ADBLOCK PLUS то адрес при обновлении страницы поменялся на другой и тем самым Я сделал вывод, что именно расширение UBLOCK ADBLOCK PLUS подсунуло свой адрес в страницу сервиса 4exchange.cash
Таким образом мои бабосики улетели разработчику этого «замечательного» расширения. Что примечательно при повторной установке, подобных проблем не выявилось. Видимо скрытая «фича» активируется спустя какое-то время, когда бдительность юзера засыпает, он привыкает к этому расширению, не замечает за ним каких-то косяков, а потом бац и включается жесткая монетизация в черной форме.
В связи с выше изложенным прошу компетентных читателей проверить мою теорию, и в случае подтверждения как-то связаться с Google и предупредить их о том, что в их магазине расширений завелась крыса, которая портит карму компании.
Еще поразил тот факт что сервис 4exchange.cash не шел на контакт и с каждым ответом обвинял меня в том, что это Я всё смонтировал и пытаюсь их обмануть. При этом они полные нули в обеспечении безопасности:
- Они не проинформировали пользователя о возможной подмене адреса и даже полностью отрицали (переписка) возможность таких событий.
- Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F
Мне кажется это просто неприемлемо для сервиса с подобной услугой.
Вывод: будьте внимательны и осторожны при обмене криптовалюты, не используйте браузеры с расширениями!
Спасибо за внимание.