Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть,
практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания. ( Все персонажи являются вымышленными каждое совпадение - всего-лишь совпадение. Верите? )
По горячим следам: эпизод четвертый - Скамер-Феликс и его тридцать три несчастья
Привет. На связи снова я, а вообще кто я такой здесь, не стану представляться, нота должна быть грустной, ведь мы снова окунемся в мир обмана и преступлений, в мирочек, да, именно мирочек, где за каждую копейку люди готовы глотки грызть, говоря, мол у меня есть жена и ребенок, а кормить их нечем, мол такие мы несчастные и бедные, голодаем-умираем. На деле ведь иначе, в дружеской беседе они не стыдятся хвататься своим имуществом и количеством “наскамленого”. Лицемеры, подлецы?
Наверное.
Сия беседа, вернее монолог, опять будет посвящена обману, не просто так ведь - мы и сами попытаем удачу в роли мошенника, проникнемся всеми тонкостями - а зачем? Да чтобы вы поняли, дорогие мои, каждый аспект мозговой, пусть и скудной, деятельности таких “скамеров” и выработали механизмы определения такого рода отребья за версту.
Итак, немного предыстории сперва. Честно, меня давно привлекала возможность торговать одноразовыми ПОД системами, это сейчас типа модно что-ли, да вот зашел разговор о этом в одну осеннюю общажную ночь. Тогда я ощутил определенное озарение и прямо какую-то веру в возможность этого. Полазив по просторам гугла, выцепил несколько объявлений, которые действительно стоили того, это не было чем-то сверх необычным, оптовая цена действительно соответствовала оптовой да и отзывы имелись. Подумав, что такую возможность нельзя упустить я черканул продавцу в телеграмм и пошел мирно спать, прежде найдя ещё несколько каналов, но тут-то уже возникали сомнения - слишком низкая цена, остановился на первом.
Утро, продавец откликнулся и мы завязали диалог, насторожил меня резкий отказ от доставки гарантом, то есть сервисом, который доставляет товар, а только после этого отдает продавцу за него деньги. Внятных объяснения я не получил, уже тогда я понимал - обман. Но где-то на процентов 10 во мне теплилась надежда на честность, ведь известны случаи, где нормальные продавцы отказывались от гарантов по непостижимым причинам. ( Только гораздо позже я пойму, что сами сервисы-гаранты создают невозможные условия для продающего, поэтому мы и имеем такой колоссальный охват скамерской деятельности. Грустно ли это? Это печально).
Мы продолжили обсуждение, парень этот, достаточно хитрый и опытный социальный инженер, умеющий давить и вызывать доверие. Сразу заходит с козырей, утверждая, что может скинуть скан паспорта.
Естественно, такое на меня не действует, открыто ему заявляю, что сканы дешевые нынче, я тоже могу так сделать. Переломный момент, который действительно заставил меня поверить ему это запись приложения с цифровыми документами, типа ID карты в телефоне, с аутентификацией через FaceID, примечательным есть то, что приложение в этом случае синхронизирует изображение камеры с фотографией документа. Не сказать, что я был уже на 100 процентов в его ловушке, всё ещё были сомнения, но всё моё окружение сказало в один голос - бери. К рискам готов я был и осознавал все, денег, если честно, жалко мне не было, но некоторые проверяющие манипуляции произведены были.
После того как карта его была успешно выуджена, мне предстояло проверить её на сходство с данными ID карты, сделать это можно достаточно просто, в одном из предыдущих выпусков писанин такого рода мы рассматривали способы - множество. Но благо ПриватБанк, может быть они это исправят, при переводе палит полные данные владельца карты - Бадалян Альберт Викторович, а это абсолютное совпадение. Да, человек, разоблачающий мошеннические схемы, начал верить, потому что ему хотелось этого, может быть это были простые поиски человеческой совести? Где же честные люди?
И со скрипом в зубах отправляем перевод данному персонажу, кстати хотелось бы ещё отметить, что была отправлена фотография карты в руках, но сделана была она ночью, а на улице утро… Подозрительно. Возникло мнение, что он после перевода начнет петь песенку о том, что я неправильно переписал номер карты и не туда отправил, старая схемка между прочем, но этого не произошло, так как поступила от меня следующая просьба:
"Напиши, пожалуйста, я не вижу на фото ничего".
Незамедлительно он набирает вручную номер карты - можно предположить, что приложение банка, откуда можно скопировать эту информацию у него отсутствует, дальше эта догадка получит ещё одно косвенное подтверждение и будет свидетельствовать о чем-то большем.
Всему своё время.
Со скрипом в зубах, выполняем перевод на небольшую сумму, человек постоянно утверждает, что все будет чисто и пройдёт как нужно, а потом искренним тоном на голосовом сообщении делает вброс следующей информации: “ Зачем мне обманывать будущих постоянных клиентов, ведь нам ещё сотрудничать и сотрудничать”. У обычного человека это бы уже вызвало какое-то полное доверие, ведь продавец настроен на долгосрочное сотрудничество - перфекто! А меня это вогнало в ступор, это была наживка, которую мне пришлось проглотить, даже осознавая наличие крючка. ( Хотя, вот эта открытость и готовность на все - это самая большая западня).
Проходит некоторое время, начинал я подумывать, что вот и всё, продавец исчез, как и мои деньги, хотя вернуть те через поддержку не составляло труда, всё же было обидно. Но нет, о чудо! Феликс, а именно так он был подписан в Телеграмм, записывает видео упаковки одноразовых сигарет и делает предложение, дожимает прям, скажем так.
“Давай ещё 5 за полцены, за 350 ещё 5”. Заподозрить мне удалось лишь то, что он хочет превратить одноразовый возвращаемый платеж в двойной, ведь после второй транзакции на ту же карту поддержка откажет в возвращении средств с пометкой, что платеж уже производился ранее. Во мне заиграл какой-то азарт и со второй виртуальной карты Феликс получает денежку. Также он постоянно просит чеки оплаты, на первом пришлось чуть изменить одну цифру, если бы так не поступил автор сие статьи - убытки были бы глобальней. Чудо! Это сработало, стало быть у него нет номера телефона и приложения, где можно было бы увидеть перевод. Пальцы на фото карты банка отличались от пальцев на видео кстати.
И теперь момент истины, что же будет делать мошенник? Верно, он просто добавляет меня дурачка в ЧС, это очевидно!
Признаться честно, этого только и ждал уже я, ведь это прекрасный материал с эмоциональным потрясением и свежей реакцией. Начинаем!
Сперва давайте воспользуемся базой застрахованного транспорта, кстати она государственная, бесплатная и открыта каждому. По ФИО с легкостью находим зарегистрированную на него черную BMW Е30, её номер и ВИН-код.
После просто загуглим его полное имя и фамилию. На удивление совпадений куча: данный персонаж, как оказалось, находится в розыске за какое-то административное нарушение, имеет одну судимость. Раз есть судимость, значит был и приговор… И аллилуйя, в этой стране есть единый реестр судовых решений, чудо какое-то. Полный перечень информации, включая номер телефона, адрес, имя жены…
Итак, перво-наперво, суммируем информацию, которой владеем мы о лже-продавце:
- ФИО, данные карты, скан ID карты.
- Место проживания, марку автомобиля, его цвет…
Что-то не так? Да, что-то, а что? В точку, Холмс, никто в здравом уме не будет раскидываться этим всем, о этом человеке в сети больше информации, чем... Чем блох у Барбоски, классику никто не отменял, конечно. А если посмотреть на легкость, с которой он скинул запись документа удостоверяющего личность, приходим к абсолютно логичным выводам. Это просто купленные данные, скорее всего даже у самого Альбертика, в конце-концов даркнет актуален всегда.
По факту у нас нет ничего кроме аккаунта в телеграмм, видео и кусочка пальца реального продавца-мошенника. Почему я уверен, что видео его? Стоит отметить реальное совпадение звукового фона, голоса и видеоряда. И глаголил он как раз то, что нужно, а не рандомную белиберду, как было бы в случае левого видео.
Не стоит печалиться, мы только начинаем, пришло время заскамить скамера, наверное, прозвучало очень глупо, но именно этим сейчас будем и заниматься. Давайте сначала узнаем у нашего Феликса какого черта он так сделал, что им двигало, не будем скрывать личность, аккаунты телеграмм очень дорогие, целых тридцать копеек за один, от такой стоимости… Меня накрыл сумбур, но таки пришлось потратиться на тысячу таких, потом поймете зачем так много.
Итак, обращаясь к Феликсу с другого аккаунта я получил мгновенный ЧС после первого голосового, где было обращение на его фальшивую личность, а именно лже-Альберт. Со следующего аккаунта было записано несколько более грубых и резких сообщений, очень хорошо таки получается у меня имитировать ярость и бешенство. И этот пацан, да, а по голосу это уже пацан, начал делать вид, что ему жаль, что у него жена и ребенок и их нужно как-то кормить, что они бомжуют. Естественно, в это я не поверил и меня настиг очередной черный список - не беда. Кстати, скоро вы убедитесь, насколько этот индивид лицемерен, терпение.
Кстати, делюсь фичей, как легко использовать купленные аккаунты телеграмм через TDATA, после покупки, вы качаете архив с папками tdata, достаточно лишь создать новую пустую папку, перенести Telegram.exe в неё и одну тдату, после всего-то запустить .exe, вход в аккаунт выполнен. Проще некуда.
Пришло время создать фейковый канал по продаже одноразовых сигареток, прежде пришлось оформить пустой аккаунт, побудем чуть-чуть девушкой, ну вы понимаете почему? Даже если нет - беда не велика, скоро все постигнете. Канал оформляем идентично к каналу скамера-продавца, но с некоторыми правками, бытует мнение, что девушки любят везде сердечки и всякое такое - не жалеем, максимум какой-то няшости и абсурда. Хотя о девушках это больше миф, чем правда.
Ну и выждать пришлось практически сутки после последней очевидной связи, периодами я ему написывал с разных аккаунтов в попытках купить оптом одноразки, считайте создавал ему траффик-отвлечение, чтобы он чуть-чуть расслабился. Кстати остальные аккаунты мы отправили на накрутку канала, это можно было бы автоматизировать каким-то скриптом на Питоне с Гитхаба, найти мне его даже удалось, но я удружил эту задачу другу, и за бутылку второсортного пиваса он организовал все в лучшем виде, потратив несколько часов.
Теперь пришло время главного спектакля, занавес опускается и… Как думаете, что мы делаем? Правильно, пишем милое обращение, нежно отмечая, мол занимаемся таким же, но лишь новичок и поэтому хочем познать несколько мудростей. Выходит что-то типа:
“Привееет, мне вот срочно нужны деньги на лечение мамы, вот решила чуть заработать твоим методом. Восхищаюсь исполнением” .
Ну этот текст мы просим озвучить девушку, а после перезаписываем голосовое нехитрым приспособлением, сделанным из наушников и микрофона. Да, динамики наушников просто достаточно поднести к микрофону и, уже производя запись голосового, начать проигрывания оригинала. Маловероятно было, что это сработает, но на удивление я не встретил ЧС, а он меня. И мы спокойно начали общаться посредством голосовых.
После пяти часов распросов, вымышленных совпадений и схожести, я получил полное расположение этого человека к себе, оказалось его действительно зовут Феликс, жительствует он в Харькове ( этого он не раскрыл сам, пришлось заморочиться, об этом позже), ему всего-то 23 и промышляет он этим несколько недель. Заработки он свои так и не раскрыл, но количество “заскамленых” в сутки варьируется от 3 до 5. То есть примерно 9 - 15 тысяч рублей за день. Оказалось, что он пользуется купленной ID картой в даркнете, совместно с банковской картой, как вы уже поняли. FaceID он обманул просто использовав фотку Альберта на мониторе ноутбука.
И вот… У него уже нет жены и ребенка, они не бомжи и срочно деньги им не нужны.
И свершилось то, чего я так долго жаждал, он перешел на основной аккаунт в телеграмм, куда пригласил и меня. Номер, в профиле куча фотографий животных и предпоследняя какая-то очень смазанная возле какого-то памятника. Пробив его ник в социальных сетях - пусто. Будем работать чуть-чуть иначе. Сперва посетила меня идея пойти на сервис, который ищет фотки по местности, но кроме какого-то невнятного бреда, я ничего не нашел. А вот гугл - совсем другое дело, сразу же выдал, что это Памятник Первому Инженеру в Харькове. Правда это мало что дает на самом-то деле, сфоткаться мог каждый, не факт, что он там живет.
Ужасное качество фотографии усложняет задачу, было принято решение вырезать парнишку и попытаться улучшить качество, рандомный сервис из поисковика справился отлично. Теперь у нас есть его личико, относительно адекватного качества. Задействуем-ка Search4faces и поищем его в ВК и одноклассниках, хотя это очень маловероятно, он из Украины.
Какое-что таки удалось найти, но аккаунт ВК пуст и кроме этой же фотографии здесь ничего, но вот он был дважды отмечен в альбомах друзей. Фотографии ничего не дают, ведь здесь нашего персонажа нет, он просто здесь отмечен, но если посмотреть друзей одного из профилей, где отмечен Феликс - получаем большинство неактивных и заброшенных аккаунтов из Харькова. Чуть-чуть подумаем и это уже что-то. В одном из альбомов наш товарищ Феликс отмечен, как автомобиль CLK 270, неплохой такой аппарат, номер даже не думали замазывать.
Помните ту самую базу страховок? Так там есть поиск и по ФИО, и по номеру автомобиля. Почему-то мне сразу стало как-то грустно, когда я увидел, что владелец - Феликс. Итак, казалось бы, можно ехать и бить рожу. Но нет, деньги свои я вернул через поддержку спустя несколько часов после перевода, выходит, говоря его словами заскамленым оказался он, ведь в итоге потеряет свою анонимность.
Очень долгое время я думал, что же можно сделать с ним, хотелось очень вредное заснуть да так, чтобы запомнил надолго, а что если своровать его телеграмм?
Да, идея определенно прикольная, в моей голове возникло сразу несколько вариантов как можно проделать такую шалость:
- Использовать какой-то скрипт с гитхаба, который генерирует файл.scr, но тот в свою очередь отказался работать, виндовс 10, спасибо:
- Hunter Stealer, просто и ворует абсолютно всё, маскируется под разнообразные форматы, имеет возможность внедряться в другие файлы, но сам генератор продавец не предоставляет, лишь уже готовый стиллер под определенные нужды. Практически не детектится по сей час, но он дорогой.
- И опять что-то неоднозначное с гитхаб, требующее Визуал студио 2019. После теста эта штука оказалась безнадежной.
Естественно, вариант посередине самый оптимальный, да и самому ничего делать не нужно, только лишь открыть сам файл .scr, найти строку отвечающую за токен и закинуть туда только упомянутый, прежде создав пустого бота без того же FatherBot’а.
Технической части здесь особо и не будет, вторая часть будет посвящена более виртуозному преступнику, там будет жаришка.
Как заставить открыть этот файлик нашего Феликса? А я не знаю. Можем сыграть на человеческой наивности, заменим иконку нашего Хантера на блокнот и напишем “Не читай, пожалуйста”, а вместе закинем скрипт-бот для контроля накрутки канала, полезная вещь. Я бы открыл, если бы такое девушка прислала мне, говорю абсолютно искренне.
Сам стиллер устроен так, что сначала он ищет процесс Telegram.exe, после определяет его расположение, следом проверяет наличие пасскода, если он имеется - потерпели неудачу и стиллер ворует что-то другое. Если же кода нет, начинает похищение или самой папки TDATA, знакомая штука, да? Или отдельный файл D877…, в основном его хватает, дабы наладить сессию.
Процесс впаривания этой штуки Феликсу демонстрировать нет нужны, скажу лишь, что он попался.
Массовая рассылка с доказательствами того, что он мошенник - заплатил сполна. Канал в телеграмм после будет удален. Хотя мне кажется, этот человек не оставит сие дело.
Ну, а теперь давайте попытаемся обмануть кого-то, имея вот такой вот новорожденный канал с одним постом и несколькими ошибками, который я просто скопировал откуда-то. Для успеха дела нужно разместить несколько объявлений на торговых площадках, ссылаясь на телеграм, обычно крупные доски такое моментально сносят или даже не пускают на свет, но всё же где-нигде мой вопиюще красивый текст где-то засветился.
Спустя несколько часов неокрепшие умы начали поступать в мои руки, несколько из них сразу отказались даже от частичной предоплаты и покинули мои сети, а двое индивидов были готовы на все, даже душу Дьяволу продать. Я не использовал каких-то хитрых приёмов или ещё чего, профиль девушки делает своё. Отзывы мы успешно своровали у нашего Феликса, просто чуть подфотошопив. Если бы захотел, я бы… Нет, не буду. Идем дальше.
А здесь добавлю, что инстаграм подделать намного проще, накрутка подписчиков и лайков - копейки. С телеграмом было бы сложнее, если бы не те купленные аккаунты.
Следующий эпизод: утренее смятение, или как ложили сыр в мышеловку
И теперь включение из прошлого, эта ситуация произошла ещё в начале сентября, а моих сил из-за старта очередного семестра в универе не хватало на творчество. Но история занятная, материал был подготовлен задолго до написания этого текста, поэтому некоторые аспекты могу упустить из виду. Поехали.
Знаете, очень обидно, когда проснувшись, берешь в руки телефон посмотреть время, а там куча уведомлений о списании средств с вашей карты. Знакомо? Лично мне теперь да, хотя раньше никогда такого не видел своими глазами. Анализируем произошедшее. Списание происходило не откуда-то, а самим банком, при том в таком большом количестве повторений, что у меня украли примерно 30.000 рублей по 1 рублю. Да, звучит абсурдно, но именно такую картину я лицезрел, проснувшись. На этот счёт поддержка лишь разводит руками со словами “Платеж был верифицирован ранее вами, ничего сделать мы не можем”.
Благо они смогли хотя-бы очистить то огромное количество записей в журнале транзакций. Кроме магазинов я нигде и никогда не рассчитывался этой картой, сначала подумалось мне, что где-то был скимер и при снятии наличных… Ну в общем вам это известно, ещё с 2005 схема, кардеры эти ваши… И теперь поговорим о гениальности людей, сделавших такой глобальный обман. Людям хочется халявы там, где что-то бесплатно, засыпает любая, даже самая бдительная голова. Такова природа человека, я не есть исключением. Дело в том, что недавно начал поигрывать в одну требовательную игрушку и пробовал различные варианты повышения производительности. Большинство мануальной эксплуатации не доверяю программам то, что могу - делаю сам.
И вот как-то сижу себе в ВК и тут вылазит рекламный пост, к сожалению, эту контору уже прикрыли и скринов не найду, о ФПС бустере, мол действительно классный. Обычно такому никто не верит, но группа на 70.000 подписчиков внушала доверия, да и отзывов было немало.
Но дело в том, что он платный. Стоял достаточно дорого кстати, как говорится, пацаны вообще ребята, и сделали бесплатный полугодовой тестовый период, а для его получения, нужно как раз активировать тот самый регулярный платеж. Ведь никто не читает пользовательское соглашение, где прямым текстом говорится о снятии средств после окончания теста.
Но создатели сделали гениальный проект, который действительно работал и прибавлял чутку кадров в секунду, истинной целью этого было набрать как можно больше халявщиков, чтобы после активировать регулярный платеж каждую секунду. Как оказалось позже не единственный я такой, кто попался на этот крючок, некоторые потеряли сотни тысяч.
После анализа их социальных сетей, оказалось, что это идентичная подделка компании FPSBuster, только мне пришлось иметь дело с FPS-booster и копией их продукта. Единственным нюансом было то, что в качестве обратной связи была указана не корпоративная почта, а gmail, хотя и стилизована под оригинал - fpsboostersuppurt@gmail.com . Инстаграм аккаунт был также воссоздан до мелочей и чего-то конкретного определить не удалось, после он был просто удален, как и сам фейковый сайт. Нет за что уцепиться. Но у нас в распоряжении имеется их exe, хотя видится мне, что он не представляет из себя ничего особого.
Для начала предлагаю провести внешнее исследование исполняемого файла. После написания статьи, где мы расследовали ситуацию с PE-бекдором, я значительно прокачал свои навыки в их определении, спасибо огромное тебе, гугл.
Для этого дела используем простенький HEX-едитор, отличительной чертой PE-шки будет наличие байта по типу MZ, если в шестнадцатеричном представлении, то это будет вот так 0x4d, 0x5a .
И вторая сигнатура PE из двух байтов ПЕ и последующих двух нулевых, то есть примерно 0x49 0x50 0x00 0x00.
А после просмотра опционального заголовка все стало на свои места - перед нами типичный PE-бэкдор. Мы же делали что-то подобное недавно, да ?
Кстати для более глубокого анализа посоветовал бы использовать CFF Explorer - это такой себе сборник всего нужного для исследования файла.
Открываю значится я Olly, ну вы все помните её, надеюсь, смотрю список разделов, один из которых имеет название “ti_lox”, это, безусловно, интересная уловка от создателя, но почему они не использовали готовые пространственные дыры в уже существующем заголовке? Прикольный вопрос. Отвечать на него я, конечно же, не стану.
“правая кнопка мыши - Edit - Binary”, лицезреем картину порванного хеша в инструкциях PUSHAD-PUSHFD. То есть делалось это тем же методом, что и когда мы с вами превращали 7zip в PE. Выудить сам Шелл откуда мне не удалось, он был подвержен явным изменениям, но в теории, если заморочится, то это возможно, а после декриптовать тот, узнав конфигурацию полезной нагрузки.
Но это можно сделать менее вредно, раз здесь есть бэкдор, то давайте его запустим! Я сомневаюсь, что он ещё работает, но если он живой, в теории, мы можем получить хоть какую-то информацию.
Запустив обычный сниффер трафика, понимаем, что он больше не активен, никакой сетевой активности.
Ну и для галочки хотелось бы проверить хэш этого приложения на Вирустотал. Для этого воспользуемся древним, но единственным известным мне, методом - Хэштаб. Установили - правая кнопка мыши по PE.exe - свойства - хеш-суммы. Копируем любой из этих, желательно MD5 и идем на ВТ. Кстати хороший метод не палить приложения на таком портале.
Сам вредонос уже анализировался, имеет процент обнаружения 10 из 70. И несколько человек отметили этот файл негативно.
Опять немного Steam’а
А этот мужичок всячески пытался меня заманить на свой сайт с кейсами, я всё думал почему. Оказалось, когда нажимаете на “Login steam”, открывается не окно стима, а подделка, которая ничем не отличается от прежде рассмотренных - steamcomuity.com . И вас просит пройти авторизацию, то есть он сделал сайт фальшивый с кейсами для создания переадресации на фальшивый Стим.
Это интересно, но не прям вау. Давайте-ка посмотрим его профиль: Аккаунт был зарегистрирован в этом году, игр нет, есть несколько групп, перейдя по которым наблюдаем его же сообщения с аналогичным текстом. Никакой информации, что могла бы вывести на личность нет.
Типа итоги
Ну вот такое вот что-то вышло, здесь крайне мало практики, нет технических подробностей, но зато живые эмоции. Писалось сгоряча. Будьте внимательными и беда обойдет вас стороной. На данном этапе существования скамеры имеют огромный размах - невозможно что-то купить, невозможно продать, а я ведь просто ищу хоть что-нибудь честное в этом мире. Проблема в самих торговых площадках, которые бездействуют или наоборот создают выгодные условия для обмана, если не изменить кардинально концепцию маркетплейсов - всё это так и продолжится. Простого человеческого понимания и холодного рассудка здесь недостаточно. И всё же, будьте умнее. До скорого. Небольшое послесловие: на данный момент количество мошеннических телеграм каналов по "продажам" ( скаму наивных) перевалило за тысячу, может быть заняться уничтожением, как думаете?
Последнее редактирование:
