Хацкеры, которых мы заслужили

Мошенничества на Авито всех уже порядком достали. Появившаяся несколько лет назад схема с обманом покупателей через фишинговые сайты служб доставки во время самоизоляции просто расцвела.

Минутка занимательной статистики: в мае 2019 года было зарегистрировано 6 доменов второго уровня с частицей CDEK, в мае 2020 – уже 106. Чувствуете разницу? И это не считая многочисленных доменов третьего уровня, заточенных под все популярные службы доставки сразу.

Скам-проекты, заточенные под Авито и Юлу активно обсуждаются в специализированных телеграм-каналах. Схема функционирует по принципу CaaS (Cybercrime as a Service): одни люди занимаются разработкой фишинговых сайтов, необходимых скриптов и выполняют прочую техническую работу, после чего сдают все это в аренду тем, кто будет уже непосредственно заниматься мошенничеством. Такой вот бизнес «под ключ». Детали реализации этой мошеннической схемы за последние месяцы были неоднократно разобраны в различных статьях, которые при желании можно нагуглить за пару минут.

Мы же сделаем акцент не на технических подробностях, а на людях, благодаря которым этот «бизнес» живет и процветает.

В качестве отправной точки мы решили взять сайт cdek.shippings.info, выбрав его из пары сотен имитирующих сайт СДЭК фишинговых ресурсов, появившихся за последние 2 месяца.

Почему именно этот сайт? Да просто он удачно попал под руку, да еще и располагается на домене третьего уровня, а это означает, что домен второго уровня SHIPPINGS.INFO был зарегистрирован для адресации целого букета фишинговых сайтов, например, pochta.shippings.info, avito.shippings.info и так далее.

Для начала обратимся к данным Whois. Домен был зарегистрирован 23 мая 2020 года через российского регистратора, что вполне типично для таких фишинговых сайтов.

IP-адрес сайта (95.111.248.248) принадлежит диапазону адресов немецкого хостера Contabo. С учетом того, что создатели фишинговых сайтов тоже люди и им не нравится скакать с хостинга на хостинг, посмотрим какие еще сайты висят на этом IP-адресе.

Сразу же получаем весьма неплохой улов:

• CDEK.SHIPPINGS.INFO

• PEK.SHIPPINGS.INFO

• BOXBERRY-DENGI.RU

• POCHTA-RF-OPLATA.RU

• CDEK-DENGI.RU

• AVITO-DENGI.RU

• CARRIERS.SU

• CDEK.CARRIERS.SU

• AVITO.CARRIERS.SU

• BOXBERRY.CARRIERS.SU

Параллельно с ними обнаруживается домен ALVES.XYZ, который был привязан к этому IP-адресу в период с 23 мая по 26 июня 2020 года. По счастливой случайности именно 23 мая был зарегистрирован домен SHIPPINGS.INFO, с которого мы начали наше повествование.

Покопаемся в истории изменения NS-записей домена ALVES.XYZ. С 2 по 23 мая он домен был привязан к IP-адресу 173.212.250.207, принадлежащему тому же немецкому хостеру. Параллельно с ним хостились вот такие говорящие сами за себя сайты:

• TRACKINGS.SU

• BOT.TRACKINGS.SU

• YOULA.TRACKINGS.SU

• POCHTA.TRACKINGS.SU

• CDEK.TRACKINGS.SU

• OLX.TRACKINGS.SU

• AVITO.TRACKINGS.SU

• BOXBERRY.TRACKINGS.SU

• PEK.TRACKINGS.SU

• PEK.COURIERS.SU

• AVITO.COURIERS.SU

• YOULA.COURIERS.SU

• BOXBERRY.COURIERS.SU

• OLX.COURIERS.SU

• BOT.COURIERS.SU

• СOURIERS.SU

• CDEK.COURIERS.SU

Перенесемся еще немного назад во времени. С 13 апреля по 2 мая ALVES.XYZ был привязан к IP-адресу 173.212.231.205 заодно с вот такими сайтами:

• DELIVERIES.SU

• PEK.DELIVERIES.SU

• ALVES.PW

• BOT.AVITO-SHIPPINGS.RU

• AVITO-SHIPPINGS.RU

• BOXBERRY-SHIPPINGS.RU

• CDEK-SHIPPINGS.RU

• SBERBANK.TOP

• SBERBANKOPROS2020.RU

• POCHTA.SHIPPINGS.SU

• SHIPPINGS.SU

• AVITO.SHIPPINGS.SU

• OLX.SHIPPINGS.SU

• BOXBERRY.SHIPPINGS.SU

• CDEK.SHIPPINGS.SU

• PEK.SHIPPINGS.SU

• BOT.SHIPPINGS.SU

• YOULA.SHIPPINGS.SU

• YOULA-PAYS.RU

Но хватит копаться в истории, мы уже прекрасно поняли, что там, где мы встречаем ALVES.XYZ и немецкий хостинг от компании Contabo, мы непременно обнаруживаем и дюжину фишинговых сайтов служб доставки. Вот сейчас, к примеру этот домен привязан к адресу 173.212.225.100 параллельно с

• OPLATAAVITO.RU

• OPLATABOXBERRY.RU

• CDEKOPLATA.RU

Открываем один из них и видим до боли знакомую картину.

Мошенники даже поленились прикрутить к нему бесплатный сертификат от Let’s Encrypt.

Теперь, когда мы набрали целый букет фишинговых сайтов, хостящихся на серверах Contabo, перейдем к изучению Whois-данных обнаруженных нами доменов.

Это дает нам новую зацепку. При регистрации доменных имен ALVES.PW, CARRIERS.SU, TRACKINGS.SU, DELIVERIES.SU и СOURIERS.SU был указан адрес электронной почты michaelshnitman@workmail.com.

Выясняем, что этот же адрес был указан при регистрации доменного имени MERCHANT.SU (IP-адрес 160.153.133.225 - США), имеющего субдомен DS1.MERCHANT.SU (IP-адрес 46.49.74.75 - Грузия). IP-адрес хостинга приводит нас к еще одному любопытному доменному имени - ALVES.TEAM.

Как видите, нас просто преследуют доменные имена с частицей ALVES. Есть подозрение, что это неспроста. Начнем с сайта https://alves.xyz.

Владелец сайта позиционирует себя как веб-разработчика и графического дизайнера. На сайте указаны следующие контактные данные:

• Telegram: @alvesofficial (ранее @alvesindustries)

• https://www.twitch.tv/alvescoder

• https://www.youtube.com/alvesindustries

• ник в платёжной системе QIWI — alvescoder

Потратив некоторое время на поиск в открытых источниках, получаем следующие данные:

Телефон: +79381068253 (имеется привязанный QIWI-кошелек).

Адреса электронной почты:

• alvesvasquez@yandex.ru

• alvesindustries@gmail.com

• alvesvasquez@gmail.com

• alvesofficial@yandex.ru

• nosterplusalves@yandex.ru

Электронные кошельки:

• Яндекс.Деньги: 410018051516436;

• BTC: 1FexUshJ9eDFLEtx2oHhc3tn9JzNB8Nnt;

• QIWI: ALVESLZT

Попутно обнаруживаем, что в профиле учетной записи @alvesofficial в Telegram ранее было указано имя Михаил.

@alvesofficial является участником следующих Telegram-каналов:

• @phpclubru

• @vakesaburtalo (чат районов Ваке и Сабуртало в г. Тбилиси).

• @freelancertg

Узнать это нам помог @telesint_bot.

У нас вырисовалось совпадение по Грузии: хостинг ресурса DS1.MERCHANT.SU, тематический чат жителей Тбилиси, ну и непосредственное упоминание Грузии в качестве местонахождения.

В то же время на различных фрилансерских биржах (например, вот здесь: https://freelance.ru/alvesvasquez) в качестве места жительства указан Санкт-Петербург. На сайтах для фрилансеров ник Alves всплывает в связке с именем Михаил, которое мы уже встречали ранее.

Параллельно обнаружились страницы Alves-a в соцсетях, на которых, впрочем, нет ничего интересного.

Зато на тематических околохакерских форумах ник Alves очень даже неплохо засветился. Например, пользователь с таким псевдонимом размещал объявления о продаже скам-проектов.

Был замечен в участии в обнальных схемах.

А на небезызвестном форуме LolzTeam данный субъект был забанен за мошенничество.

Как вы могли заметить, в тексте объявления про обнал упоминается некая команда. Это и не удивительно, такие вещи редко проворачивают в одиночку. Поищем ее возможных участников.

В поле зрения сразу же попадает завсегдатай форумов под ником Merchant. Выше мы уже упоминали, что при регистрации доменных имен ALVES.PW и MERCHANT.SU был использован один и тот же адрес электронной почты. Merchant тоже продает скам-проекты, периодически кидая своих покупателей, а когда на него поступают жалобы, на его защиту сразу встает Alves.

Вот, к примеру, ответ на жалобу в адрес Merchant:

Еще на одном форуме Alves писал:

https://chf.su/threads/10151/ данный индвид купив платеженую систему с авито и юлой у @c2cmerchant (телеграм) перепродает ее на вашем форуме, просим принять меры, за пруфами и подробностями - @c2cmerchant (телеграм). Самым главным пруфом послужит кол-во отзывов у продавца и дата создания темы, вот ссылка на оригинальную тему со стороннего форума

На Lolz.guru Merchant забанен по причине мультиаккаунта. Другие его учетки имеют недвусмысленные названия ScamHub и JesusSkam.

В жалобе на пользователя Merchant фигурируют его телефонный номер и идентификатор в Telegram – @c2cmerchant.

Этот номер успел отлично засветиться на Авито. В объявлениях о продаже всякого барахла указан адрес: Ставропольский край, р-н Ленинский, Ставрополь, площадь Ленина. Да, собственно, и сам номер является ставропольским.

Следующая интересная позиция в поисковой выдаче – объявление о продаже грузинских лари (опять Грузия!), размещенное 15 декабря 2019 года.

Тут мы уже видим псевдоним Давид26. 26 – это код Ставропольского края, если что.

Возьмем этот номер телефона и прогоним его через NumBuster – в чьей-то записной книжке данный номер указан как «Давид Хацкер». Отличный «хацкер», использующий один и тот же номер для всего подряд.

Гуглим дальше, используя имеющиеся контактные данные. Очень быстро обнаруживаем электронную почту и социальные сети нашего «героя».

Находим страницу ВКонтакте, принадлежащую Фатькину Давиду Алексеевичу, 4 августа 1998 года рождения.

Что мы видим? Знакомое нам не самое распространенное имя Давид и город Пятигорск, находящийся (внезапно!) в Ставропольском крае. В профиле имеется ссылка на Instagram.

Это уже кое-что! Дальнейший поиск позволяет нам найти еще несколько заброшенных учетных записей Давида Фатькина ВКонтакте, но они не представляют особого интереса. Обнаруживаются учетка в «Одноклассниках» (https://ok.ru/profile/575035880041), профили в Facebook (https://www.facebook.com/david.fatkin.14) и в Twitter (https://twitter.com/davidfatkin666), а также адрес электронной почты david.fatckin@mail.ru.

Изучив Instagram Фатькина, мы обнаружили, что в ноябре-декабре 2019 года Давид посещал Грузию и публиковал в сториз виды Батуми.

Напомним, что в декабре 2019 года некто Давид26 из Пятигорска, использующий тот же номер телефона, что и сетевой мошенник с ником Merchant, продавал грузинские лари, оставшиеся после путешествия.

Но самое интересное, что в тот же период времени наш первый фигурант – Alves активно общался в тематическом чате жителей Тбилиси. В частности, в Telegram-канале @vakesaburtalo он писал:

Подведем итог.

Анализ общедоступных данных указывает на то, что активным участником команды @alvesindustries является житель Ставропольского края по имени Давид Фатькин, использующий на тематических форумах псевдонимы Merchant, Scamhub, Jesusskam. Давиду хватило мозгов светить свой номер телефона везде, где только можно, так что найти его не составило особого труда.

Помимо продажи скам-проектов на форумах сетевых мошенников, Давид занимается рекламой: с 22 июня 2018 года Фатькин Давид Алексеевич зарегистрирован в качестве индивидуального предпринимателя (ОГРНИП 318265100079550).

Мы не можем с достаточной долей уверенности утверждать, что Фатькин и Alves – это одно лицо, но то, что они как минимум действуют заодно - сомнений не вызывает.

На этом мы заканчиваем наше повествование. Запостим напоследок вот эту фотографию, на которой молодой предприниматель «Давид Хацкер» с надеждой смотрит в светлое будущее.

@In4security