Фишинговые сайты, ориентированные на мошенников и воров

Вечером в пятницу я готовился завершить рабочую неделю, когда через контактную форму на этом сайте пришло любопытное и назойливое письмо:

“Здравствуйте, я пользуюсь именем Nuclear27 на вашем сайте Briansclub[.]ru“, – писал “Митч“, путая меня с владельцем, возможно, крупнейшего в мире подпольного базара краденых кредитных и личных данных. “Я пополнил свой кошелек на сайте, но пока ничего не появилось, и я хотел бы знать, почему”

Настоящая страница входа в BriansClub.

В сообщении Митча выделяются несколько моментов. Для начала, это не настоящий домен BriansClub. И легко понять, почему Митча обманули: Настоящий сайт BriansClub в настоящее время не находится в верхней части результатов поиска при запросе названия магазина в Google.

Кроме того, этот начинающий преступник явно купился на рекламу BriansClub, которая использует мое имя и изображение в серии объявлений, размещенных на всех ведущих киберпреступных форумах. В этих объявлениях краб с моей головой на песке делает зигзаги и загсы. Все это должно быть большой шуткой: Krebs означает “краб” или “рак” на немецком языке, но “краб” иногда используется в русском хакерском сленге для обозначения “кардера”, или человека, который регулярно занимается уличным мошенничеством с кредитными картами. Как Митч.

В конце 2019 года BriansClub изменил свою домашнюю страницу, разместив на ней поддельные изображения моих карт социального страхования и паспорта, кредитного отчета и информации о счетах мобильного телефона. Это произошло сразу после того, как KrebsOnSecurity опубликовал новость о том, что кто-то взломал BriansClub и выкачал информацию о 26 миллионах украденных дебетовых и кредитных счетов. Взломанная база данных BriansClub оценивалась в 566 миллионов долларов США, и эти данные впоследствии были переданы тысячам финансовых учреждений.

Митч сказал, что он только что сделал депозит на сумму 240 долларов в биткоинах на сайте BriansClub[.]com и хотел узнать, когда эти средства будут отражены в балансе его счета в магазине.

Подыгрывая ему, я сказал, что сожалею о его испытаниях, и спросил Митча, есть ли какие-нибудь украденные карты, выпущенные определенным банком или в определенном регионе, которые он ищет.

Митч не клюнул, но и не стал разубеждать меня в том, что я виноват в пропаже его средств. Он поделился фотографией, на которой изображены средства, отправленные им на биткойн-адрес, указанный BriansClub[.]com – 1PLALmM5rrmLTGGVRHHTnB6VnZd3FFwh1Z – с помощью биткойн-банкомата в Канаде.

Настоящий BriansClub использует сомнительный сервис обмена виртуальной валюты, базирующийся в Санкт-Петербурге, Россия, под названием PinPays. На сайте компании долгое время присутствовал лишь значок бренда и адрес мессенджера для связи с владельцем. Поддельный BriansClub сообщил Митчу, что адрес биткоина, который его попросили оплатить, был адресом PinPays, который менялся при каждой транзакции.

Сообщение об оплате, отображаемое фишинговым доменом сайта кардинга BriansClub[.]com.

Однако после регистрации на фишинговом сайте и нажатия кнопки пополнить счет мне был показан точно такой же биткоин-адрес, который, по словам Митча, он оплатил. Кроме того, сайт не использовал PinPays; он только заявлял об этом, чтобы еще больше имитировать настоящий BriansClub.

Согласно Blockchain, на этот биткоин-адрес, с которого Митч произвел оплату, за последние пять месяцев поступило более тысячи платежей на общую сумму более 40 000 долларов США в биткоинах. Большинство из них – относительно небольшие платежи, как у Митча.

Снимок экрана, который Митч прислал со своим депозитом.

Таких мошенников, как Митч, можно встретить на каждом шагу, как и фишинговые сайты, которые подделывают криминальные услуги в Интернете. Вскоре после появления в Интернете в прошлом году в качестве фишингового сайта BriansClub[.]com был размещен на хостинге компании в Москве с несколькими другими доменами, подделывающими популярные киберпреступные магазины, включая Jstashbazar[.]com, vclub[.]cards, vclubb[.]com и vclub[.]credit.

Тот, кто стоит за этими сайтами, получает приличный доход, обманывая несведущих мошенников. Проверка кошелька Bitcoin, указанного в качестве платежного адреса для BriansClub[.]org, например, показывает аналогичную картину: 704 транзакции на общую сумму $38 000 в биткойнах за последние 10 месяцев.

“Вау, спасибо, что обокрал меня”, – написал Митч, после того как я задремал на вечер, не отвечая на его все более настойчивые письма. “Надо было потратить последние деньги на мои счета, которые я пытаюсь оплатить. Надо было догадаться, что ты просто вор”

Решив, что уловка зашла слишком далеко, я признался Митчу, что на самом деле не являюсь администратором BriansClub и что человек, с которым он связался, был независимым журналистом, пишущим о киберпреступности. Я сказал ему, чтобы он не расстраивался, поскольку более тысячи человек были подобным образом обмануты магазином кардинга.

Но Митч, похоже, не принял моего признания.

“Если это так, то почему ваше имя повсюду, в том числе в окне, которое открывается, когда вы хотите сделать депозит?”, – потребовал Митч, имея в виду фишинговый сайт.

Очевидно, что ничто из того, что я сказал, не могло сдержать Митча в этот момент. В последующем письме он спросил, действительно ли ссылка, которую он включил в сообщение, является “законным” адресом BriansClub. Я ответил лишь, что ему стоит подумать о другой работе, пока его снова не обокрали или Королевская канадская конная полиция не появилась на его пороге

Мошенники, попавшиеся на фальшивые сайты кардинга, могут рассчитывать на то, что их счетами завладеет настоящий магазин, что обычно означает, что кто-то потратит ваш баланс на украденные карты. Но чаще всего эти самозваные кардинг-сайты просят новых участников пополнить свои счета, сделав депозиты в виртуальной валюте, например, в биткойне.

В 2018 году KrebsOnSecurity изучил огромную сеть фишинговых сайтов, маскирующихся под ведущие кардинговые магазины, и все они восходили к группе веб-разработчиков в Пакистане, которая, очевидно, обкрадывала воров в течение многих лет.

Как я отметил в том материале, создание сети поддельных сайтов кардинга – это идеальное киберпреступление. В конце концов, никто из тех, кого обманули или обманули, не собирается сообщать о преступлении властям. Никто также не поможет бедному лоху, которого обманули на одном из этих фальшивых кардинговых сайтов. Caveat Emptor!

Самое большее, на что можно надеяться, это на то, что случайный предприимчивый мошенник будет привлечен к ответственности. Хотя трудно поверить, что власти будут преследовать мошенников, обворовывающих друг друга, в 2017 году мужчина из Коннектикута признал себя виновным по обвинению в фишинге нескольких криминальных темных интернет-рынков в схеме, которая в итоге принесла более 365 000 долларов и более 10 000 украденных учетных данных пользователей.

А как насчет происхождения фишингового домена briansclub[.]com? Если посмотреть на оригинальные регистрационные записи WHOIS для briansclub[.]com через DomainTools (рекламодатель на этом сайте), мы увидим, что он был зарегистрирован в ноябре 2015 года – через несколько месяцев после появления в сети настоящего BriansClub. Он был зарегистрирован на “Брайана Миллиардера“, он же Брайан О’Коннор, очевидно, опытный музыкальный ди-джей, рэпер и продюсер рэп-музыки из Флориды.

Брайан Миллиардер.

В течение нескольких лет после появления сайта, BriansClub[.]com и другие домены, зарегистрированные, по-видимому, на г-на Миллиардера, перенаправляли на его основной сайт – newhotmusic.com, который существовал до кардинг-шопа BriansClub, а также имел раздел сайта только для членов под названием Brian’s Club.

Мистер Миллиардер не ответил на многочисленные просьбы о комментарии, но похоже, что его единственное преступление – быть несколько кричащим диджеем. Запись DomainTools для briansclub[.]com гласит, что домен был заброшен или бездействовал в течение некоторого периода времени в 2019 году, но был снова захвачен кем-то в мае 2020 года, когда он стал фишинговым сайтом, подделывающим настоящий BriansClub.

Оставьте комментарий