Статья Исследование человеческого доверия или насколько может быть наивен человек

DeathDay

DeathDay

Green Team
18.04.2019
33
122
Доброго времени суток, Господа уважаемые... Сегодня хотелось бы рассмотреть очень важную и заезженную тему, подбив сумму со всех пабликов и прочего. Затронем тему актуального мошенничества и различные схемы. Цель есть одно: донести информацию к рядовым пользователям, дабы они не попадались на уловки различного рода злоумышленников.

Вся информация будет взята с публичных источников и Америку мы не открываем.


А для чего собственно мошенникам наши данные и всё прочее?

Стоп, стоп, стоп.. Ведь ты думаешь, что тебя не взломают и ничего не своруют, ибо до сих пор это не сделали? Ты уверен, что никому не нужен? Ты не заслужил на это, ибо есть никем в социальной цепочке? Офисный планктон?

Разочарую тебя, мой друг, читая это ты уже себя отдал опасности , почему? У тебя есть: ПК, ноутбук, телефон, аккаунт в соц.сетях или банковская карта на которой есть хотя бы цент? – Ты потенциальная жертва , даже , если совпал только один пункт.. Реалии мира таковы: Поживится да чем угодно, лишь бы это дало профит как-то, без разницы! Любые деньги – это деньги. А если твой босс навредил кому-то и тот хочет ему отомстить? О… А ты идеальный жервопосредник для того, чтобы убить компанию твоего босса или испортить ему репутацию, ибо вы сидите в одном офисе.. Интернет-мир суров и не знает чувства жалости… Не заслужил на взлом только отшельник-Валера, живший всю с рождения в Тайге в землянке.

Большинство преступников – это люди простые, их нужно банально понять, к типу по-сложнее относятся уже маньяки и прочие звери с психическими отклонениями. Те о ком будет идти речь сегодня, по большей мере – не психопаты, ими движет чувство легких денег, точнее быстрых и лёгких.. Заработок может проходить очень огромным количеством способов, условно можно поделить их на несколько типов:

Прямые оборудки: к этому типу относятся мошеннические деяния, которые сопровождаются мгновенным получением профита с жертвы, а именно:

  • Махинации с банковской картой с последующим снятием или обнулением счёта.
  • Махинации во время сделок формата «Купля-продажа» (Когда злоумышенник получает таньгу, но не отправляет товар. К примеру обман на передачах скинов CS GO).
  • Валютные махинации: обменики, Обман с криптовалютой, Qiwi API.
Двух(и более)факторные оборудки, то есть более сложные, где преступник не мгновенно ворует ваши деньги, а проделывает ещё несколько шагов. Для таких типов махинаций характерный полёт выбора для негодяя: он может решить сам, куда и что будет делать с вашими данными:
  1. Махинации, которые касаются ваших личных данных. В этих случаях преступник использует их для получения кредита на ваше имя или продаёт информацию о вас другим.. ( Пример с трудоустройством онлайн, где «работодатель» требует с вас скан или фотографию паспорта).
  2. Кража ваших аккаунтов. Сюда отходят рассылки с последующим внедрениям вредоносного ПО на вашу машину и создания фейк-сайтов, и рассылка, и всё прочее.
  3. Телефонные махинации. Выманивание личных данных путём телефонного разговора, установка переадресации ваших вызовов и сообщений на телефон злодея.
Дело

Начинаем с азов и с самого начала, чтобы стартовать делo и обмановать на элементарном уровне нам понадобится лишь одно: Новый профиль в соц. Сети. Для удобства выберем ВК, ибо он мне импонирует уж слишком. Затем мы создаём абсолютно чистый профиль, сразу же топаем в настройки приватности и закрываем аккаунт, позже вы поймёте зачем. После чего идём в группу с халявой или пиаром, лучше всего подойдёт паблик со школьниками – Samp пиар – это золотая жила на таких, ибо нынешний самп-контенгетн не отличается особым умом и сообразительностью.

Screenshot_15.png


Видим, как молнию летящую стену сообщений , берём первого попавшегося с подписчиков у которого есть аватар и ставим его себе, попутно можно заполнить информацию и сделать пост на сцене.. Возвращаясь в паблик по пиару, пишем незамысловатый текст в котором что-то отдаём даром или что-то бесплатно делаем..Данные ребятишки не особо станут церемонится и как только увидят слово «Халява» - поплывут к нам с заявкой в друзья: 10-20-30-40 заявок. Всех мы одобряем и видим, что наш профиль заполнен и все флудят в сообщения: «Отдай пж мне», а мы не читаем даже.

Screenshot_16.png


СТОП! Самые внимательные уже заметили, что даже на этом этапе вас обманули. Вы уже стали жертвой мошенника, поведясь на предложения и возможности получить что-то даром , вы были обмануты , ваши глаза , узрев эту возможность , затуманились, разум отключился – только получить бы обещанную вещь даром. А ведь накрутка стоит денег тоже, а мы её получили просто так, а это уже и список тупоголовых жертв для рассылки и прочих махинаций – мы создали благоприятную почву для действий дальнейших.

Фейки

Дело по своё истории очень заезженное и банальное.. Я правда не верил, что в 2к20 кто-то может повестись на столь простой способ выуживания информации, видимо я ошибался.. Ошибался в людях – они не учатся.. Скорее всего уже слишком много времени прошло, дабы молодое поколение о этом знало, вот и имеем .. Недостаток интернет грамотности на лицо..

Итак, фейки.. Вбиваем в поисковик «Фейк ВК 2019» (интерфейс не менялся на версии ПК) ,можно сделать самому, если есть желания, это не очень сложно, но мы не будем. Ищем какой-то хостинг, заливаем по FTP это дело , покупаем нормальный домен – дело готово..


Screenshot_17.png


Теперь достаточно лишь проявить немного сообразительности, найти нескольких людей и попытаться им это впарить под каким-то предлогом.. Поскольку мы набирали контингент с группы по сампу, мы будем предлагать бесплатный сервер на хостинге.. Начинаем диалог наш с простого «Привет, я решил выбрать тебя в конкурсе на бесплатный сервер, первый победитель отказался, после перевыбора вышло, что победитель ты. Ты готов его забрать в своё владение?». Здесь очень важен фактор того, что мы указываем на важность этого человека, снижая порог недоверия этим, демонстрируя, что вот такой шанс и он уникален – это банальный приём СИ.. Слово за слово и мы получаем полное расположения пациента к себе, затем кидаем ему ссылку, якобы «мгновенный доступ к характеристикам сервера» , прежде просим разлогинится с ВК, ибо якобы ВК конфликтует с сайтом хостинга. (Пациент оказался тупее, чем я ожидал и повёлся даже на такое), перейдя по ссылке (Сам фейк ВК я немного изменил , дописав несколько строчек) у него выскочило окно подтверждения, что он будет переброшен на официальный сайт ВК, ибо нужно пройти вход , через профиль..

После этого его перебрасывает на наш фейк-ВК ( полная копия оригинала) , он проходит авторизацию и его кидает уже на настоящий ВК, где проходит он ещё одну уже в оригинал.. Пароль у нас.. Делай, что хочешь.. Парню я всё объяснил , вернул аккаунт и даже отправил пару сотен на qiwi. Прости, Игорь, если ты это читаешь..


Мини-выводы и способы защиты

Я сам сомневался, что это сработает, ибо я слишком уж затянул и придумал неправдоподобную легенду… Это справедливо не только для социальных сетей, в полной мере раньше фейки были распространены на все виды интернет-деятельности, которые связанные с вводом логина и пароля…

Способы защиты от этого банальны и просты, как и само деяния:

  • Очевидный вывод, что не стоит переходить просто по ссылкам от незнакомцев, которые обещают, что у вас с потолка начнёт сыпаться манна небесная. К слову в ссылке может быть и сниффер, и парень, что сворует ваши куки..
  • Всегда проверяйте адресную строку при переходе на какой-либо знакомый сайт.
Ну, пожалуй всё.. Здесь всё просто и очень банально, идём дальше.. Игорь, прости.

Аферы на торговых площадках… Или как я кину вас в сделке

«Купля-продажа»

Здесь всё более просто, чем могло бы быть . Представим ситуацию, что вы хотите что-то купить и господин Обманщик просто просит вас скинуть сумму или часть суммы на карту, как предоплату или гарант, что вы действительно купите его товар(Обычно он говорит, что купить хочет ещё десяток и он долго не сможет держать товар).. После того, как вы скинули деньги - пишите пропало. Обычно на этом всё кончается.. Сюда отходят и дела со скинами CS.GO: Деньги кинул - скин не получил.

Вторая ситуация связана с предоставлением данных карты ваших какому-то левому лицу , в ситуации нашей «Покупателю».. Обычно он спирается на особенность его платёжной системы, что мол для перевода денег на ваш счёт нужно больше информации, чем номер карты – ложь! После того, как вы дали ему хоть что-то – минус деньги..

Третья ситуация связанная с Qiwi API, кстати о котором я когда-то писал, меня лично так смогли кинуть на весьма внушительную сумму.. Здесь просто нужно запомнить - не давайте никому никаких кодов, API доступа и всего прочего…

«Итак, что вообще может сделать токен? Какие возможности управления счётом предоставляет qiwi владельцу этого чуда? Cо слов платежной системы, при помощи Api-ключа можно:

  • Просматривать подробную информацию о кошельке.
  • Получать баланс кошелька.
  • Просматривать историю платежей.
  • Проводить платежи без СМС.
  • Практически полный доступ откроется мошеннику после получения токена.
Но это не всё: какой-то умник умудрился написать Python-скрипт для снятия денег через этот же токен без использования СМС и каких-либо оповещений»

Четвертый случай, связан он с криповалютой, точнее с незнаниям людей о ней в целом.. Человек может обращаться к вам с предложением о покупке крипты, мол «За ней будущее, мэн, такой цены ты не найдёшь». Вы кидаете денежку, а получаете по почке пакетик с бумажками в виде биткоин…

Пятый случай относится к особому случаю и больше к рассылке, чем сюда, но… Проще говоря, злодей создаёт фейковый теллеграм канал, что идентичен к оригинальному и начинает рассылку, мол супер-акрции и всё прочее, делается это обычно на кануне праздников, дабы создать впечатления, что это настоящий портал магазина.


Мини-выводы и подводка о защите

Ну, проще дела нет.. Здесь просто запомните, что все сделки в интернете лучше проводить через специальные сайты «Гаранты». Не разглашение информации о карте , не выдавать бы стояло и никаких токенов и прочей чуши, что может дать хоть крупицу доступа мошеннику - он её использует, использует любую дыру, дабы обнулить ваш счёт. Мне лично удалось двумя способами и их ловкой компоновкой, вывести около 200 рублей со счетов наивных школьников – о результативности думайте сами. Все деньги были возвращены с небольшими процентами.

Кража паспортных данных

Отвлечёмся, наверное, от банальщины и просто рассмотрим, как онлайн-работодатель может взять на ваше имя несколько кредитов и успешно свалить. Это я проверять не стану, простите уж, но выходит за рамки здравого смысла в целом. Итак, представим, что я есть работодатель какой-то фейковой компании по пиару в интернете и я ищу работников-пиарщиков. Плачу, естественно, сумму очень солидную и тем же завлекаю наивных граждан в свой капкан. Для достоверности беру другана, которого прошу солидно одеться, делаю это и сам. Затем иду с ним в скайп конференцию и жду наивных пользователей..

Когда лох найден, мы завлекаем его в скайп или аналоги для подробного осуждения трудового договора… Заговариваем зубы и всячески впариваем чушь, затем говорим, что он нам подходит и сможет рубить бабло и грести его лопатой, не выходя с квартиры. Единственное, что нужно – это предоставить паспортные данные , желательно сфотографировать или показать на Веб-камеру. Пау, мы взяли кредит и свалили, поделив прибыль..

Далее возможный вариант звонка на ваш номер с последующим представлениям агентом банка и попыткой убедить жертву, что случился в системе сбой и он должен назвать свои данные или прийти в отделения, так же могут и выманивать данные карты, пин-коды и тд..


Рассылки

Здесь можно выделить два типа рассылок:
  1. Рассылки на почту.
  2. Рассылки СМС на ваш телефон.
От первого выделяем два основных направления:
  • Рассылка с последующей скачкой какого-то документа, приложения, то бишь установкой какого-нибудь шпионского ПО на вашу машину, что зависит от тупости юзера, скачет ли он?
  • Передача способом рассылок ссылок на фейки или сниферы, которые пробивают ваш IP и всю-всю подробную информацию о ПК.
От второго так же два подпункта и они будут аналогичны, к слову.

Screenshot_18.png


Есть такой небольшой аспект первого подпункта в обоих случаях о котором и поговорить хочется. Был когда-то такой способ кражи каналов у ютуберов, где злоумышленник делает максимально похожую почту на почтовый адрес какой-то компании, которая хочет заказать рекламу. Предлагает внушительную сумму за такое дело и скидает все пользовательские соглашения в виде документа… Здесь и подвох, в большинстве случаев этот документ есть скомпилированным соответствующим образом трояном или чем-то прочем, что имеет возможность воровать пароли сохранённые и отправлять злодею. Был ютубер - нет ютубера.

Рассмотрим элементарный способ получения доступа к ПК… Хотя, даже писать особо ничего не буду, ибо делал статью по самых популярных эксплоитах и даже с телефона получал сессию к ПК.. Ссылку оставляю в конце.

Аналогичный способ действует на Android-устройствах. Злоумышленник присылает вам СМС:


Screenshot_20200310-225210.jpeg


- В первом случае это будет сообщение от банка, именно от банка, существуют способы маскировки вашего номера так, чтобы на телефоне получателя отображалась надпись «Bank» или любой другой текст, в сообщении будет ссылка в этом случае она будет на фейк-сайт, а в СМС вас попросят пройти авторизацию в системе заново…

(В большинстве случаев ссылка будет сокращена)

Второй случай будет аналогичен ко всему, только злоумышленник попросит вас скачать «официальное приложения» банка, после того, как вы скачаете его и установите – оно исчезнет… Магия! Притормози коней, Юный фанат Гари Потера! Это был бэкдор, которые когда-то я исследовал, я бы отдал свой выбор Multihandler'у , ссылку на статью свою оставлю ниже… «После устанавливаем APK-шку на андроид, но видим следующее: "Ошибка установки". Погуглив, я нашёл решения этого метода. Установка не происходит потому, что АПК приложения не имеет подписи, но и это дело нам под силу! Естественно, возможно подписать своё приложения с помощью популярных сред разработки приложений, но мне этот вариант был не по душе и мне удалось нарыть приложения Zipsinger, которое в пару кликов его подпишет. После установки к нам летит сессия метерпретер.»

О сниферах и прочей чепухе мы наслышаны достаточно, не стану даже говорить о этом..


Мини-подбив и способы защиты

В случае с электронной почтой всё просто, проверяем трижды адреса , просим предоставить какую-либо доказательную базу и не качаем ничего, если источник не проверен.

О СМС на телефон скажу одно – нет! Не думайте даже, я никогда не перехожу по ссылкам с них и не верю им вообще.. Едем дальше.


Переадресация ваших звонков

Здесь тоже банальностью пахнет и всё основано на доверии вашем. Звонит вам якобы оператор и просит набрать на клавиатуре некоторую последовательность знаков и символов , мол случился сбой.. Вы это делаете и вне воли своей включаете полную переадресацию всего, что только есть и, если перед этим злодей узнал ваш номер банковской карты и ещё некоторую информацию - минус деньги..

Замена сим-карты

Если уж заговорили о такой теме, как телефон, то давайте её развивать что ли … Имеем мы ещё один набирающий популярность метод кражи ваших данных – замена симки через официальный филиал оператора связи. Да, звучит очень наивно, но способ работает.. Сначала нам стоит позвонить с разных номеров на телефон жертвы, может даже поболтать о чём-то, а после пополнить на несколько рублей ,затем топаем в салон связи и говорим «Господа, потерял сим-карту, спасите , помогите» , называя номер жертвы. У вас будут скорее всего спрашивать о последнем пополнении и трёх звонках – вы говорите , тем самым убеждая оператора, что это ваша сим-карта и он выдаёт восстановленную после «потери» со всеми привязанными аккаунтами и данными...

Ремарка

Эх. К сожалению нашему общему , на данный момент это только маленький перечень всех махинаций: Финансовые пирамиды, торговые махинации, обманы при аренде дома - всё теперь происходит легче, а виной тому интернет... Мы не замечаем уже даже мелких деяний людей с которыми дело имеем на постоянной основе, а они в свою очередь пользуются вашим доверием, набивая карманы.. .

Финансовые пирамиды

Так сложилось, что мне приходится писать это на коленке в телефоне, сидя в маршрутке, но и это помехой знатной не станет мне - творю. Все , кто хоть чуть-чуть интересовался возможностями господина Обмана , наверное , стыкнулись с названием МММ и именем Сергея Мавроди - гений.. На мысль мою личную это человек абсолютной гениальности и владелец невообразимо большого поля для полёта мысли.

Если вас заинтересовало, как устроена была его псевдокомпания - интернет вам в помощь, а мы. Мы лишь используем поверхностные знания о этом деле. Представим себе, дорогие мои , что мы основали официальную компанию , арендовали помещения , заказали рекламу и всё это дело. Но это лишь интерпретация старого, нахрен всё это. Теперь всё на новом уровне , это всё лишнее и ненужное, и не эффективное.

Создаём сайт в интернете, быстро заполняем информацию о нём, главная суть: "жертва предает нам условно 1.000₽ и через три дня при условии приглашения четырёх новых клиентов , которые также внесут этот Косарь , вы получаете 2.000₽. По мнению вашему с ничего, но ваши четыре друзья приглашают ещё четырёх по одному с каждого и в оборудке уже 16 людей , которые приглашают уже 64 новых человека...." И так до солидного числа захваченных людей, когда число наивных доходит , допустим , а миллиону - бах. Мы исчезли и свалили с солидной суммой денег.

Реальным примером действия этой схемы есть мои соседи, только там было немного всё сложнее и с каждым разом им приходилось вносить больше, больше и больше, чтобы получить больше. Они сделали ремонт квартиры, купили солидный автомобиль, пытаясь втянуть и меня.. А потом резко всё продали и вложили в этот Меркурий - остались на улице ни с чем... Я не особо хороший психолог, но когда человек видит, что это работает у него вырабатывается инстинкт доверия и играет банальная жадность , поддаваясь которой они теряют всё..

Выводы

Итак, господа.. Большинство способов были проверенны мной единолично и я поражен от части, в процентном соотношении мы имеем 25/75 и больше тех, кто повёлся. Я не придумывал что-то сверхновое, а использовал лишь неизвестное старое для них.
Целью этого всего безобразия было лишь продемонстрировать вам, что обман подстерегает тебя, наивный пользователь, на каждом шагу. Людей, которые на нас хотят наворотить миллионы все больше и больше, ещё бы, а система правоохранительных органов редко когда может помочь в случае таком - надежда лишь на нас. А главным оружием есть знания, если мы будем знать, как действуют они - сможем защитить себя. Всего хорошего, дорогие. Не попадайтесь.
 
Мы в соцсетях: