[recovery mode] Битва за клиента или как найти спамера

Три с половиной недели назад (24 сентября) в наш офис позвонил один из клиентов и взволнованным голосом спросил: «Это правда, что Вы закрываетесь? А я только вчера пополнил баланс в системе. Что будет с моими деньгами?»

Легкая дрожь пробежала по менеджеру, ведь он тоже не планировал остаться без работы, однако после небольшой паузы удалось взять себя в руки и выяснить, что же произошло. О том, как найти распространителя ложной информации (далее «спамера», ведь в нашем случаи произошла спам рассылка фишинговых писем) о вашей компании в интернете и как реагировать, если кто-то начнет угрожать вам и вашим клиентам читайте далее.

b5fb7799b61d4c33a5fac37a992e1101.png

Начало истории:

24 сентября клиенты ООО «Позвоним» получили письмо в котором говорилось, что компания «Позвоним» закрывается, предлагаем Вам стать клиентом сервиса LPTracker. Подразумевалось, что клиент, прочитавший это письмо воспримет его как уведомление от самой компании, поэтому для рассылки был создан на mail.ru похожий по звучанию почтовый ящик pozvonim@inbox.ru

c8dc86d152774f1c93d2c166ebadef76.png
Рис.1 Скриншот спам-письма, отправленного клиентам компании pozvonim.com

Ожидания отправителя оправдались, действительно многие так и восприняли данное письмо, в офис посыпались звонки от клиентов.

Наш представитель обратился в компанию указанную в рассылке, рассказал о распространении ложной информации их партнером, о рассылке спама и попросил заблокировать ссылку. В скором времени ссылка была заблокирована, но через 5 минут ее снова сделали активной. Наши номера телефона попали в черный лист, на письма и обращения посредством других каналов связи перестали отвечать.
Время шло, компания полностью абстрагировалась от нас при этом продолжая собирать переходы.

Шаг 1. Написать об инциденте в СМИ
Осознав, что компания-конкурент не планирует идти на конструктивный диалог и блокировать спамера, мы написали об этом инциденте статью, и разместили ее на тематических ресурсах, в первую очередь на мегамозге. Основной целью была блокировка ссылки, но она продолжала быть активной. А вместе с ней появилась активность и у нашего спамера.
На одном из ресурсов, где так же была размещена статья он заводит себе аккаунт и начинает нам угрожать новыми спам-рассылками если мы не удалим статью, которая по его мнению порочит репутацию компании LPTracker (далее ЛП). Там же в комментариях он признается в том, что была совершена именно рассылка, а не отправка нескольких писем.

65d64efb05364839825822d8f43568d4.png
Рис.2. Удаленный комментарий в котором спамер пытается доказать, что компания лптрекер с ним не связана, и если мы в это не поверим, то он обрушит на нас новые рассылки.

По неизвестным причинам, новостной ресурс удалил эти комментарии, но скриншоты у нас сохранились.

Урок 1: сохраняйте все доказательства сразу, а не через некоторое время. Через некоторое время их может уже не быть и только вы один будите знать правду.

Параллельно шли угрозы по е-маилу, поэтому мы поставили перед собой задачу исследовать каждый пиксель в провокационном письме, но найти того, кто его отправил и продолжает угрозы.

К счастью этого не потребовалось.

Шаг 2. Вернитесь в начало.

Прочитайте внимательно письмо, с которого все началось.
В нем было:

731986221d874d47a111160354741879.png
Рис.3. Выдержка из письма с идентификатором партнера-спамера

Данный промо код promo4807 используется для идентификации компанией ЛП, откуда пришел клиент и от какого партнера (если их рекомендовал партнер). Проверим, что знает google об этом партнерском идентификаторе.
Промо 4807 оказалось очень популярным, он был размещен на официальных страницах компании LPtracker от лица оф. Представителей, использовался в соц. Сетях, как ссылка для регистрации к видео-роликам которые компания регулярно записывает и выкладывает на ютуб и тд. Ниже несколько скриншотов, где это продемонстрировано:

8aced71e0c1143a7ba4e99f73457ecd7.png
рис. 4. Иван Боченков, рекламирует сервис ЛП под партнерским идентификатором 4807. Кстати, опять же за счет имени конкурирующей компании

305622836aca4cab94158e13e9b3940b.png
рис. 5. Официальный представитель компании lptracker на спарке, при нажатии детально можно увидеть тот же скриншот, что и в рассылке и тот же промо код 4807. И это снова Иван

874295dd6b6e4135bfbf2845111b9394.png
рис. 6 Детализация, при нажатии на комментарий.

8bc2499b65a84ad08af6cba6c26a78b0.png
Рис.7 Комментарии Ивана на спарксе, как оф. Представителя компании в интернете. Как видите, принимает обращения пользователей и пишет от лица «Мы» — то есть компания.

Кроме того, в фишинговом письме Иван так же указал: «Gookit.com — сервис публикации и рассылки коммерческих предложений, объявлений и статей» — данный сайт зарегистрирован на Ивана Боченкова.

0bceba6edd1b4bcbb0e20ed126c469e9.png
Рис.8 выдержка из письма

c1c8ce6473704a408718bc60f72426f5.png
рис.9. Выдача в google при вводе партнерской ссылки 4807.

Как мы видим выпадают одни и те же проекты, одного и того же человека.
Конечно интернет позволяет сохранить некую анонимность, однако когда ты уже знаешь участников заговора, то можешь выявлять некие закономерности.
На рисунке ниже два аккаунта на информационном ресурсе, на котором спамер вышел с нами на связь. Аккаунт Alexandrovich – аккаунт спамера, в чем он сам и признался в комментариях, и аккаунт Nicolas … — аккаунт Ивана, были на сайте в одно и то же время. Точнее сначала зашел спамер, переписывался с нами, а чуть позже зашел Иван.

dcda1e919abf4a13a7bb442d01954612.png
Рис. 10 Два аккаунта Ивана

Продолжение истории:
Партнерская ссылка 4807, по которой идут спам-переходы весит активной уже 3й день, компания ЛП не выходит на связь, заблокировала все наши контакты. Мы разместили об этом статью, что стало очень беспокоить «спамера» и он стал требовать ее удаления, угрожая новыми рассылками.
Сразу возник вопрос: зачем спамеру, так переживать за сервис и просить удалять те статьи, всячески отрицая свою причастность к ЛП.

К середине 3-го дня «спамер» стал заметать следы. Промо-код 4807 размещенный на официальных страницах компании ЛП, в соц. Сетях, на форумах, ютубе, в новостях и прочих источниках поменяли на другой.
Это объяснило, почему спам- ссылка была разблокирована через 5 минут. Как только они ее заблокировали, компании ЛП пришлось менять промо-код во всех официальных упоминаниях о них в интернете, ведь старый перестал работать. Тоесть заблокировав партнера 4807 они заблокировали себя.

Как только промо-код был изменен, зловредная ссылка 4807 была заблокирована.

Урок 2: Не забывайте про урок 1. Сохраняйте все доказательства сразу, делайте скриншоты, видео.

00589dc5063540778ab64243cad6899a.png
Рис. 11 Компания ЛП заблокировала ссылку, подтвердив факт, того, что они понимали все это время о нарушении прав третьих лиц.

Но статья об инциденте продолжала беспокоить спамера и ЛП.
Спамер даже звонил нам на личный сотовый телефон, тот самый номер с которого мы пытались связаться с ЛП когда увидели рассылку. Откуда у него этот номер? Он нигде не используется в открытых источниках. На этот же номер нам стали звонить другие сотрудники ЛП с требованием убрать статью, потом пошли звонки с угрозами…
Через некоторое время друг Ивана – Сергей Арсеничев решает тоже разослать письма по базе Ивана, но уже про свой сервис LeadBack.

a0a9723ed7d04ad48e73346fbca21441.png
Рис.12 Хронология событий, восстановленная с помощью информации из открытых источников.

Урок 3. Если вы не отреагировали и простили ущемление ваших прав, их будут ущемлять постоянно. Не стоит надеяться, что ситуация не повторится.

Шаг 3. Заверьте доказательства у нотариуса.

В ходе нашего мини расследования удалось найти множество доказательств причастности выше-перечисленных лиц к дискредитирующей рассылке. Нет цели привести их все в этой статье, поэтому не будем этого делать.
Заверение документов обошлось нам в сумму, около 60 тыс. рублей. Однако, теперь у нас есть не просто скриншоты, подлинность которых может подвергаться сомнению, а заверенные документы с помощью которых можно защищать свои права.

Шаг 4. Попытайтесь договорится
Произведенная рассылка дискредитировала нас в лице наших клиентов, мы получили очень много негатива, и последствий, однако материальный ущерб от этого посчитать трудно. Кроме того, к моменту, когда компания заблокировала ссылку мы уже оплатили услуги нотариуса и консультацию юриста.

Судебные разбирательства требуют дополнительных финансовых затрат и длятся долгое время, поэтому всегда пытайтесь договориться о компенсации вашего ущерба мирным путем, возможно Вам удастся компенсировать часть ваших потерь. Мы так же попытались это сделать и написали в ЛП письмо. В нашем случаи конструктивного диалога не получилось: компания отписала, что они не намерены защищать спамера (т.е. их официального представителя Ивана Боченкова), это полностью его ответственность и все претензии мы должны предъявлять лично ему, при этом они не будут уточнять кто этот спамер.
А в это время спамер продолжает защищать честь компании, угрожает нам в переписке по емаил, пишет от нашего лица письма клиентам с использованием ненормативной лексики.

Шаг 5. Соберите дополнительную информацию
Скорее всего Ваш случай с рассылкой не единственный и человек который занимается подобным уже обидел кого то до Вас. Соберите эту информацию, люди часто пишут в открытых источниках о подобных инцидентах. Они смогут не только характеризовать Вам личность, в нашем случаи «спамера», но и наверняка знают его контактные и прочие данные.

Иван Боченков оказался не исключением, в сети мы нашли фрилансеров, которым он не заплатил за работы, угрожал спам рассылками по их контактам о том, какие они «неудачники», оскорблял нецензурными выражениями и тд. В общем, делал все то же самое, что делал и делает наш спамер.

Один из фрилансеров лишился официальной работы, так как решил требовать с Ивана оплату за проделанную работу. С его слов, Иван пообщался с его руководителем, а на следующий день фрилансера уволили без объяснения причин.

735e2c71cd0442e2b434ed137748ca06.png
Рис. 13 Пост в соц. Сети об обмане дизайнера

3c310dcfc6cd4c028824390ac267d969.png
Рис. 14. Отзыв об Иване в списке заказчиков, которые не оплачивают заказы
vk.com/photo-51016572_370984336

6be9f35503394a35a40efe25157508fa.png
Рис. 15. Манера общения Ивана. Выдержка из переписки с одним из фрилансеров которому Иван не заплатил, однако со слов самого фрилансера, использовал его работы.

Каждая история взаимодействий с фрилансерами – это отдельная история, требующая отдельного разбирательства, мы же для себя можем сделать вывод, что если такие истории случаются, то не просто так и они самим фактом своего существования дают человеку определенную характеристику.

Шаг 6. Передайте имеющуюся у вас информацию в компетентные органы и напишите заявление
Теперь, когда Вы собрали всю информацию и факты о произошедшем инциденте, когда у Вас есть отзывы, характеризующие участников, передайте все имеющиеся у Вас данные в компетентные органы. Они установят факт возможного наличия мошеннических действий в ваш адрес.
Если эта статья была Вам полезна, тогда о том как подать заявление, в какие инстанции и что происходит дальше мы напишем в следующей части.

Урок 4. Как сказал Уоррен Баффетт: «Требуется 20 лет, чтобы создать репутацию, и 5 минут, чтобы ее разрушить» и не доверяйте развитие вашего проекта, сомнительным лицам.

Ps: Пока мы писали данную новость, Иван сново активизировался и теперь рассылает спам в интересах Sipuni.com — но это уже отдельная история.

© Megamozg