Внимание! Данная статья разжигает ненависть к социальной группе "мошенники", и вредит бизнесу этой группы!
Положение дел
По мере распространения социальных сетей и мессенжеров, следом появляются и деятели, использующие эти системы людям во вред, себе на пользу. Речь идёт о мошенниках "всех сортов, всех размеров и цветов", которые приходят в соц-сетях и мессенжерах (далее по тексту - приходимцы), и пытаются обманом выдурить деньги. Обычная их практика - misrepresentation, то есть выдают себя за лиц или представителей организаций, которые как бы предлагают "верный бизнес" всякого рода.
Здесь собран мой опыт и приведены рекомендации, как распознать таких мошенников. Так как я имею отношение к криптовалюте Emercoin, специфика моих приходимцев состоит в том, что они выдают себя за "листинг менеджеров" или представителей иного рода тех или иных криптобирж. Ниже я буду разбирать уловки именно таких деятелей, но понятно, что опыт и приёмы мошенников во всех областях более-менее одинаковы, и рассмотренные ниже приёмы распознавания можно применить не только в области листинга криптовалют.
Итак, начали. Вам в Телеграм, или в Фейсбук, или в LinkedIn является приходимец, который заявляет, что он-де представитель Великой Криптобиржи, им так нравится Ваш проект, давайте сотрудничать!
Проверка профиля
Первым делом, если это соц-сеть - желательно взглянуть на профайл приходимца. Хорошо сделать поиск его фото (с честной и располагающей улыбкой), взятого из соцсети, в TinyEye. Существует весьма высокая вероятность (я оцениваю её в ~20%), что это фото будет найдено в других местах, и там будет написано и другое имя, и другой род занятий настоящего человека, показанного на фото. Поиск делается буквально в пару кликов: сначала наводите курсор мышки на фото, потом в меню выбираете "Copy image URL", потом вставляете в строку поиска TinyEye - и готово! В качестве примера - посмотрите на скриншот профиля мошенника в начале статьи, где является некая Mendes Delma, cо слегка подретушированным фото Анжелины Джоли в молодости. К сожалению, этот простой приём не сильно эффективен, но тем не менее, в силу его простоты, им пренебрегать не стоит.
Также, могут насторожить несоответствия профайла. Например, русское имя, и место рождения и обучения приходимца - Корея. Да, такое возможно и для добросовестного пользователя, но если видите подобное - это повод насторожиться.
Далее, следующий шаг.
Проверка домена
Просим у приходимца его e-mail address на домене компании, которую он представляет. Аккуратно копируем предоставленный e-mail, отрезаем от него имя пользователя, и ищем домен в whois. Смотрим дату создания домена. Например, приходимец выдаёт себя за представителя криптобиржи Bithumb (https://bithumbcorp.com), и присылает свой e-mail: Listing@bitthumbcorp.com. Обратите вниминие: лишняя буква "t" в домене, предоставленном приходимцем! Итак, обрезаем Listing@ и делаем поиск на домен приходимца bitthumbcorp.com в whois. Видим дату регистрации: 29 июня 2022, то есть всего полтора месяца назад! Свежесозданный домен - повод сильно насторожиться! Несложно видеть, что оригинальный домен криптобиржи был зарегистрирован 10 октября 2019. Здесь же налицо попытка использовать сходство до степени смешения доменных имён для misrepresentation, то есть попытки выдать себя за представителя биржи.
Обязательно! При копировании домена для проверки - используйте copy/paste, не перенабирайте вручную! Вы можете неосознанно исправить специально внесённое отклонение, или же имя домена может содержать похожие по начертанию буквы, но не алфавита US-ASCII, например кириллицу, и Вы наберёте верный домен.
Но могут действовать они не прямиком!
Мошенник тоже не дурак, и весьма часто на предложение "дай email" отвечает контр-предложением: Вы дайте свой, я пришлю предложения и прочие документы, Вы ответите и так далее. Чтож! Можно продолжить игру. Единственный совет - не давайте ему постоянного адреса, ибо разозлённый мошенник может Вас подписать на кучу рассылок. Рекомендую использовать "одноразовые" адреса, например с сервиса 33mail.com. В случае засыпания спамом - бросаете тот адрес, да и всё. Итак, Вы предоставили адрес. Вас прислали письмо. Письмо выглядит - вроде бы правильно, адрес отправителя - верный, на правильном домене bithumbcorp.com:
Но видим, что присутствует и поле Reply-To (куда отвечать), то есть куда будет отправлен ответ. И тут ясно видно, что приходимец хочет, чтобы я считал, что письмо пришло из bithumbcorp.com, но ответ хочет получить на свой свежесозданный похожий домен.
Итак: Видите Reply-To, да ещё и на похожий домен - ну точно мошенник, дальше можно и не проверять! Естественно, можно также глянуть на дату создания домена из Reply-To описанным выше способом. И даже если Reply-To отстуствует - то неплохо проверить дату домена из поля отправителя From. Свежая дата - с головой выдаёт мошенника, пытающегося представляться кем-то.
SPF
Да, со статусом письма выше - всё понятно, но продолжим исследование.
Интересно же - как мошенник смог отправить письмо с как бы верного домена? И как понять, что он такое не имел права делать?
Для этого - внимательно посмотрим заголовок письма (в Thunderbird его можно открыть командой CTRL/U). В заголовки - смотрим поле:
Authentication-Results: myt5-00bde88d7b3f.qloud-c.yandex.net; spf=fail (myt5-00bde88d7b3f.qloud-c.yandex.net: domain of bithumbcorp.com does not designate 23.83.212.6 as permitted sender, rule=[-all]) smtp.mail=Listing@bithumbcorp.com
И видим, что spf=fail, то есть проверка аутентификации отправителя не прошла, и более подробно: domain of bithumbcorp.com does not designate 23.83.212.6 as permitted sender. Иными словами, домен bithumbcorp.com заявляет, что ничего не знает про отправителя IP=23.83.212.6. Итак, налицо вброс письма через неавторизованный узел e-mail.
Итак, проверка SPF позволяет понять, действительно ли письмо отправлялось с нужного домена.
Внимание! Эта проверка ничего не говорит о поле From, она говорит только, что домен отправителя такой-то имеет право отправлять с таких-то IP, и не более. Тем не менее, результаты этой проверки хорошо показывают "фейковые вбросы". И не прошедшая проверка - сильный повод считать, что письмо было отправлено путём спам-вброса.
Массовая рассылка
Но существуют и сервисы массовой рассылки (неформально говоря, легальный спам), которые и поле From правильно ставят, и проверка SPF у них проходит. Но! В письме SPF-проверка идён на домен мейл-рассыльщика, а не на домен из поля From.
Приведу пример письма мошенника, использовавшего сервис массовой рассылки Sendinblue (указаны только поля заголовка, представляющие интерес):
From: "Binance" <do_not_reply@mgmailer.binance.com>
Authentication-Results: vla5-3c8f2e67b9b2.qloud-c.yandex.net; spf=pass (vla5-3c8f2e67b9b2.qloud-c.yandex.net: domain of bi.d.mailin.fr designates 185.41.28.109 as permitted sender, rule=[ip4:185.41.28.0/22]) smtp.mail=bounces-168403270-do_not_reply=mgmailer.binance.com@bi.d.mailin.fr; dkim=pass header.i=@sendinblue.com
Message-Id: <984cec26-d5b8-48bb-873c-a4f542b4d664@smtp-relay.sendinblue.com>
Origin-messageId: <202207242141.83062310802@smtp-relay.sendinblue.com>
Итак, что мы видим тут:
Поле From - как бы принадлежит криптобирже Binance, хотя ответ на e-mail не предусматривается (письмо содержало URL на мошеннический домен).
Проверка SPF - проходит. Но домен, как мы видим: dkim=pass header.i=@sendinblue.com, к Binance отношения не имеющий.
И наконец два поля (Message-Id и Origin-messageId), обычно бесполезные, но тут - явно показыающие, что письмо было создано на домене sendinblue.com, и с него же и отправлено.
То есть явно видна попытка misrepresentation, и приходимец отправлен в бан.
Все указанные выше проверки при некоей сноровке делаются буквально за несколько минут. И почти всегда сразу понятно, что приходимец - мошенник. Но естественно, если ни один из вышеперечисленных способов не сработал, то это не значит, что челвек - именно легальный представитель той или иной организации. И если есть сомнения - то необходима:
Независимая проверка через службу поддержки
Надо просто написать запрос в службу поддержки организации-представителя, и прямо спросить: Такой-то человек, с такими-то аттрибутами, является ли Вашим легальным представителем? И ждать ответа. И в процессе ожидания, если интересно - продолжать общаться с приходимцем (естественно, не сообщая ему о запросе), но не совершая необратимых действий, типа отправки денег или персональной информации. Обычно поддержка отвечает в течение 1-2 дней, и тут и становится ясно, мошенник ли это, или добросовестный контрагент.
Совет
Если Вы распознали мошенника - не надо рассказывать ему, что он сделал не так. Нечего бесплатно его обучать. Вам оно надо, чтоб он стал более хитрым и продуманным? Вспомните сказку про Волка и семерых козлят. Волк смог войти в домик, потому что козлята постоянно ему говорили, что он делает не так, и сумел в конце концов достаточно обучиться, чтобы пройти проверки. Не уподобляйтесь козлятам, будьте умнее!
И вопрос
А у Вас есть, что добавить к этой статье? Может, Ваше знание поможет хорошим людям сохранить деньги и нервы! Пишите советы в комментариях!
Tags: #мошенники #скам #мошенникивинтернете #кибербезопасность #спам #криптовалютнаябиржа #листинг #анализданных