Все действия описанные в этой статье я делал на свой страх и риск. Крайне не рекомендую повторять это. Если вы подозреваете, что имеете дело с мошенниками, лучше сразу прекратить общение и заблокировать собеседника.
Введение
Знаете эту схему, когда пишут с предложением "лёгкого заработка"? типа: переходи по ссылкам на картах (например Google Maps), ставь пятёрки каким-то отелям, присылай скрины. За каждый такой отзыв даже обещают платить некоторую сумму. В итоге человек втягивается в рутину, а когда бдительность падает — либо ссылку с вирусом подкинут, либо на фишинговый сайт перенаправят, где ты сам сольешь свои данные. Вариантов развода масса.
Предыстория
У меня есть симка другой страны и она привязана к телеграм аккаунту, на который ранее мне писали с подобными предложениями, но те два деятеля предлагали оплату через популярные европейские платежные сервисы, которые пока что недоступны для россиян из-за санкций, поэтому в целом разговаривать было не о чем. А вот третий предложил оплату в крипте. И тут я решил попробовать довести дело до конца в целях понять, до какого момента он будет платить и на каком этапе произойдет попытка обмана.
Дальше расскажу, как развивался наш диалог. Не буду выкладывать аккаунты этих "мутных типов", они наверняка их часто меняют. Да и кто знает, может они вообще чужие фотки используют и люди даже не догадываются, что их лица используются в таких схемах
Первый контакт
Итак, мне написали с предложением подзаработать на "улучшении рейтинга отелей". Ожидаемый доход 500-1200 фунтов в день. Ухх! Ну я согласился.
У меня уточнили возраст, национальность и род деятельности. Сказал им: 40 лет, русский, работаю в сфере строительства. Далее перенаправили на коллегу receptionist (регистратор), которая будет онбордить меня и сопровождать. С ней же мы обсудили как я буду получать свое вознаграждение. Сошлись на одной из криптобирж
Онбординг
Мне сообщили о рабочих часах и описали задачи которые я буду выполнять.
- Легкие задачи по улучшению рейтинга отелей за которые я буду получать по 5 USDT,
- Бизнес задачи, где нужно будет выполнить несколько заданий подряд и получить гораздо более значимую сумму
За пропуск любой из задач ставка за выполнение простой задачи снизится до 2 USDT. Также есть некий показатель credit score (кредитный рейтинг). Если пропустить несколько задач подряд то это негативно повлияет на него. При нулевом кредитном рейтинге нельзя выполнять задачи
Выполнение первых задач
Принято, погнали дальше. Меня добавили в телеграм канал где было около 20К подписчиков. Туда каждые полчаса прилетала задача в которой была ссылка на отель.
Спустя полтора часа я успешно справился с первыми тремя задачами. Действия простые:
- Проверяю ссылку на безопасность, перехожу по ней
- Ставлю рейтинг
- Присылаю скриншот
- Получаю свои 5 USDT
Класс!
Четвертая задача несколько отличалась от прежних. Это была High Yield task (высокодоходная задача) вероятно здесь и стоило ожидать ловушку, в условиях сказано, что за 5-10 минут как будто бы можно “заработать” значительную сумму.
Я поинтересовался как мне выполнить эту таску, на что регистратор ответила что но все места уже заняты, но на следующее задание она мне точно забронирует место, если я ее заранее об этом попрошу. Классический прием “искусственного дефицита”
Поскольку перед этой задачей я не забронил себе место и пришлось ее пропустить и моя ставка снизилась до 2 USDT, также добавились новые условия: теперь для получения денег нужно накопить 10 USDT (то есть выполнить 5 простых заданий подряд). Но если выполнить бизнес задачу, то ставка опять вернется к 5 USDT
Проверяю систему
Окей, здесь я принял решение продолжать делать простые задачи как можно дольше. Мне стало интересно как долго они будут платить?
Следующие 3 задачи были простыми, затем опять прилетела бизнес задача. Я попросил регистратора разрешить мне скипнуть ее сославшись на занятость и то что я за рулем. Она ОК’нула, но посоветовала не откладывать шанс получить значительный профит как тысячи других людей которые также выполняют задания параллельно со мной. Тем более что заработать много денег можно всего лишь за 5-10 минут.
Тем временем я продолжал фармить свои незначительные, но реальные 5-10 USDT
После очередной выплаты, регистратор включила тактику давления и сообщила мне что мой кредитный рейтинг сильно снизился и мне нужно срочно выполнить бизнес задачу, иначе я потеряю возможность выполнять простые задания.
Я пообещал сделать это завтра, т.к. время было уже вечернее и я слишком устал, чтобы сосредоточится на сложном задании
На самом деле мне уже стало интересно сколько я смогу выжать с этой схемы перед тем как наступит неизбежная попытка развода меня на деньги, либо попытка получения доступа к моему устройству, или что там они для меня приготовили?
В итоге за день общения с мошенником удалось лутануть 40 USDT на счет криптобиржи
Второй день
На следующий день я дождался начала “рабочей смены” 8:00 по гринвичу (UTC+0) и сразу принялся решать простые задачи во благо моего нового “работодателя” хе-хе. После 2х задач регистратор напомнила мне о катастрофически низком кредитном рейтинге, на что я попросил ее еще подождать несколько часов т.к. я нахожусь в шумном месте и не могу сосредоточится на сложной бизнес задаче.
Цель была забрать еще хотя бы 10 USDT для получения которых мне нужно было снова выполнить 5 простых задач.
Но после третьей задачи мне сообщили, что кредитный рейтинг достиг минимума и единственная возможность продолжить работу - решить бизнес задачу.
Я накопил только 6 USDT и потребовал произвести оплату за честно выполненную работу перед переходом к бизнес задаче, на что получил отказ.
Я попытался объяснить что все еще не готов к сложным заданиям, но регистратор была непреклонна. Она сказала что простые задачи мне больше недоступны и убеждала меня что бизнес задача то на самом деле несложная всего 5-10 минут и куча денег будет у меня на счету.
В итоге я сделал вид что злюсь и пропал на время. Вернулся через пару часов, как ни в чем не бывало поинтересовался: "Ну что, может, совесть проснулась? Готова отдать мне мои деньги?” Опять получил отказ и предложение перейти к бизнес задаче.
Я понимал что бизнес задача — главная ловушка всей схемы, и нужно быть во всеоружии, когда я наступлю в эту какашку, а поскольку в тот момент я был не за компом, решил тянуть время до возвращения домой, продолжал требовать свои “бабосики” и грузил ее вопросиками
Тыкаю палкой в логические дыры
Регистратор утверждала, что параллельно со мной задания выполняют тысячи таких же “работников”, но почему же тогда на каждом из отелей, которому я ставил положительный рейтинг, не было больше ни одного подобного отзыва, кроме моего?
Все предыдущие отзывы были сделаны значительное время назад, но не вчера и не сегодня. Странно не правда ли?
На свои вопросы я получал размытые ответы объяснение как происходит сотрудничество, о том что они крупные честные и бла бла бла. А самое главное что мне не стоит ни в чем сомневаться, а просто продолжать усердно работать
Оказывается (вот это новость!) тысячи других людей уже давно выполняют бизнес задачи и рубят бабло, а всякие новички типа меня возятся с простыми задачами зарабатывая “копейки”. Неужели я сомневаюсь, что получу свои 6-10 USDT при том что я уже получил 40 USDT? удивлялась она. Но честно говоря я сильно в этом сомневался ха-ха
Та самая скам-атака
Несколько позже, вернувшись домой и хорошенько подготовившись к потенциальной скам-атаке, я решил сам перейти в наступление и предложил: "Ладно, давайте уже эту вашу бизнес-задачу!"
Мне было чертовски интересно, каким именно способом они попытаются вытянуть из меня деньги и остаться в плюсе. Признаюсь, немного нервничал. Знал, что мошенники обычно весьма изобретательны, и боялся попасться на крючок из-за какой-нибудь невнимательности или незнания каких-то тонкостей
Я был сильно удивлен когда регистратор просто скинула мне номер крипто кошелька и предложила перевести туда 50 USDT в качестве депозита для выполнения бизнес задания. Что то там про пополнение кредитного рейтинга. И конечно же обещала вернуть этот “депозит” вместе со следующими заработанными деньгами.
Серьезно? Это и есть ваша хитрая схема? Ну камон, ребята, я ожидал от вас чего-то более изощренного!
Финал
Далее я, конечно же, не стал упускать возможность устроить маленькое театральное представление. Изобразил возмущение, обрушил на ее голову всю мощь своего негодования: "Да вы же обычные мошенники!" Послал ей соответствующую гифку, а затем заблокировал все аккаунты, с которых мне писали по этой “супервыгодной подработке”
Занавес. Расследование мошеннической схемы завершено без потерь для исследователя, но с приобретением ценного опыта и материала для статьи
Ах да, кошелек скаммера облегчился на 40 USDT, что тоже очень приятно
Честно говоря, я даже немного расстроился. Готовился к эпичному батлу со злоумышленниками, но похоже что они решили просто выйти в ноль, либо у них банальные методы обмана типа "Дай нам немного денег сейчас — и мы обещаем никогда не вернуть тебе намного больше!"
Надеюсь эта история убережет кого-то от потери денег и личных данных из-за желания легко заработать
Меры безопасности
Как я подготовился к переписке со скаммерами
А теперь, пожалуй, стоит рассказать о том, как я готовился и какие реальные опасности может таить коммуникация с мошенниками
Для эксперимента я использовал старенький Android-смартфон в который загрузил и активировал VPN-клиент и отключил детектор локации
Также я арендовал VPS (Виртуальный частный сервер) и установил на нем операционную систему. Сервер можно просто грохнуть после эксперимента
Каждую ссылку которую присылали мне мошенники я проверял визуально, а также на сервисе virustotal.com
Какие данные передаются со скриншотами
Я провел небольшой рисеч по этому вопросу. Взял скриншот с компьютера на Windows. Посмотрел его метаданные через Exif tools не нашел никакой личной информации, только размер, формат, разрешение. Затем отправил его через Telegram и снова проверил. Telegram превратил его в JPEG, сильно сжал (размер уменьшился примерно в 12 раз) и снизил разрешение. Но никаких личных данных так и не появилось.
Скриншот с Samsung Galaxy S23 изначально содержал довольно много информации: модель телефона, версию прошивки Android, мой часовой пояс, время создания и уникальный идентификатор изображения.
Но когда я его отправил через Telegram, личные данные исчезли! Остались только базовые технические параметры
Получается что Telegram удаляет чувствительные метаданные из передаваемых изображений
Из скриншотов мошенники могут определить тип вашей операционной системы визуально — Android, iOS или Windows — и подготовить под неё вредоносное ПО. В моём случае на скриншоте сделанного с телефона был также виден Google-аккаунт, с которого я оставлял отзывы
В случае со скринами с Windows можно увидеть открытые вкладки браузера, закладки, переписку, файлы на рабочем столе, учётные записи и т.д.
Внимательно проверяйте WEB ссылки
В данном эксперименте мне присылали сокращенные ссылки вида maps.app.goo.gl (домен goo.gl - это официальный сервис сокращения ссылок от Google). Они создаются автоматически самим сервисом Google Maps, при использовании функции "Поделиться". Мошенники могут мимикрировать ссылки под настоящие (например, maps.app.goo.g1 вместо maps.app.goo.gl), такую измененную ссылку трудно заметить, особенно если уже втянулся в процесс и стал менее внимателен.
Сокращенные ссылки (bit.ly, t.co, goo.gl) скрывают настоящий адрес — используйте сервисы для предварительного просмотра таких ссылок.
Опасность установки вредоносного ПО
В наше время установка приложений от компаний, попавших под санкции, затруднена. Например, приложения банков определяются как приложения из неизвестных источников, так как устанавливаются через APK-файл, присланный от банка (актуально для пользователей Android). Поэтому у многих отключен запрет на установку приложений из неизвестных источников
Клик по ссылке может привести к скачиванию вредоносного APK-файла, который затем предлагается установить. Некоторые пользователи могут случайно подтвердить установку, не задумываясь о последствиях
Прочие проблемы
Еще есть куча проблем, которые могут быть связаны с вредоносными ссылками:
- Drive-by загрузки. Когда вредоносный код загружается без вашего разрешения при посещении сайта
- Внедрение опасных расширений в браузер, которые могут перехватывать ваши данные
- Доступ к вашим аккаунтам без пароля через перехват cookie-файлов
- CSRF-атаки - Принуждение вашего браузера выполнять нежелательные действия на сайтах, где вы авторизованы
- Перенаправление ваших запросов на поддельные сайты через изменение DNS-настроек
- Создание бэкдоров "черного хода" в вашей системе для будущего доступа злоумышленников
- И многие другие угрозы
Правило безопасности: если сомневаетесь — не нажимайте. Лучше потратить минуту на проверку ссылки, чем потом часы на восстановление скомпрометированных аккаунтов или очистку устройства
Всем добра