Новичок на Волге
@In4securityЧто бы вы подумали, если бы вам предложили травить грызунов ядом "Новичок"? Ну или цианидом. Наверняка вы бы решили, что тот, кто предлагает нечто подобное, немного не в себе. Вот и мы так подумали, когда увидели сайт https://otravila.ru/.
Впрочем, нас не проведешь, мы прекрасно понимаем, что ни один человек в здравом уме не будет продавать таким образом вещества, оборот которых либо запрещен, либо строго контролируется, а значит мы имеем дело с банальным мошенником, наживающимся на тех, кто желает приобрести что-то нелегальное.
Для начала посмотрим зарегистрированные им домены. Немного магии Whois и получаем вот такой список.
appmsr.ru
geoimei.ru
watsigym.ru
watsicon.ru
watsic.ru
onyxmatil.ru
otravila.ru
yadkupite.ru
yadkupitii.ru
yadkupiti.ru
ru-1000000005.ru
onyxmett-com.ru
ru-1000005.ru
ru-100000005.ru
ru-10000005.ru
ru-10000000005.ru
poroshoklar.ru
onyxmettt-com.ru
onyxmetttt-com.ru
yadkupit-1.ru
Все эти домены можно поделить на две категории. Первая - это сайты по продаже различных ядов; вторая - ресурсы, рекламирующие взлом мессенджеров и удаленный доступ к геолокации. Теперь сомнения уж точно отпали. Перед нами сетевой мошенник.
На фоне других сайтов особенно выделяется ресурс https://appmsr.ru/.
Он предлагает в режиме реального времени взломать любой телефон и получить доступ к переписке из любого мессенджера. Что ж... раз есть такие предложения, значит на них есть спрос...
Естественно, взлом любого мессенджера (даже тех, что не имеют привязки к телефону) осуществляется исключительно по номеру телефона и стоит 1000 рублей. Но не пытайтесь заказать его - СВР, Моссад, АНБ, МИ6 и прочие спецслужбы давно выстроились в очередь и засыпали создателей сайта заказами на ближайшие 3 года.
Впрочем, для западных спецслужб цена выше.
Но давайте забудем про яды и внимательнее изучим домены, посвященные взлому мессенджеров. Помимо доменов в зоне .RU:
appmsr.ru
geoimei.ru
watsigym.ru
watsicon.ru
watsic.ru
создатель этих сайтов активно поднимает их зеркала в других зонах. Если посмотреть исторические данные Whois по этим доменам, можно выяснить, что они имеют привязку к реальным людям (для того, чтобы не нарушать закон о персональных данных, мы скроем некоторые сведения, позволяющие идентифицировать конкретного человека).
appmsr.com
Admin Name: Gleb Yurev
Admin Organization: raspechatka sms
Admin Street: pr.solidarnosti *, korp.*, kv.**
Admin City: Sankt-Peterburg
Admin State/Province: leningradskaja obl.
Admin Postal Code: 193312
Admin Country: RU
Admin Phone: +7.909370****
Admin Email: appmsr.com@allperson.ru
phone-location.info
Admin Name: P**** Sergey
Admin Organization: App Messenger
Admin Street: Chernyshevskogo str., 10, KV **
Admin City: Novokuybyshevsk
Admin State/Province: Samarskaja obl.
Admin Postal Code: 446206
Admin Country: RU
Admin Phone: +7.925195****
Admin Phone Ext:
Admin Fax: +7.925195****
Admin Fax Ext:
Admin Email: appmesseger@gmail.com
whaspy.com
Admin Name: Alexandr M*******
Admin Organization: Pris LTD
Admin Street: Kadomtsev
Admin City: Novokujbyshevsk
Admin State/Province: Samara
Admin Postal Code: 446219
Admin Country: RU
Admin Phone: +7.986951****
Admin Fax: +7.986951*****
vzlom-instagram.net
Registrant Email: prispw@protonmail.com
Registry Admin ID:
Admin Name: Alexandr M*******
Admin Organization: LTD Pris
Admin Street: Kadomtsev
Admin City: Novokujbyshevsk
Admin State/Province:
Admin Postal Code: 446219
Admin Country: RU
Admin Phone: +7.917115****
Анализ данных из открытых источников позволяет предположить, что указанные данные принадлежат реальным людям, которые имеют живые профили в соцсетях и поддерживают активность. Только вот вряд ли сами они имеют отношение к этим сайтам, зато их виртуальные личности используются весьма активно.
Впрочем, есть еще одна интересная деталь. Все указанные в Whois телефоны принадлежат Самарской области.
На давайте пройдемся по профилям владельцев доменов. Возьмем, например, владельца домена appmsr.com Глеба Юрьева. У него имеется страница в VK.
Она не слишком активна, но создает впечатление страницы живого человека. Чего не скажешь о других учетных записях. Так, профиль Глеба Юрьева на mail.ru заблокирован в связи с обнаруженной на нем подозрительной активностью.
И тут мы видим интересный факт. Глеб Юрьев был указан в качестве владельца действующего домена appmsr.ru, а тут на странице имеется ссылка на другой очень похожий домен - appmsg.ru. В настоящее время сайт недоступен, но давайте откроем его в веб-архиве. Итак, 2017 год, что мы видим?
Мы видим редирект на опять же недоступный в наши дни сайт appmsr.net, а там...
А там - вполне знакомый нам развод со взломом WhatsApp в два клика. Таким образом мы видим, что appmsg и appmsr вполне могут быть связаны между собой, а сама схема успешно функционирует уже не первый год.
Пройдемся по соцсетям проекта.
Сайт appmsg.ru (равно как и appmsr.com) рекламировался в специально созданном для этого Твиттере: https://twitter.com/appmesseger
И в YouTube (без особого успеха).
Именуемый создателем проекта Глеб Юрьев (в других источниках - Юриев) даже имеет Runet-ID, правда не принял участия ни в одном мероприятии.
А сам проект Appmeseger (обратите внимание, что слово messenger написано с ошибкой) имел блог на liveinternet.ru.
Аккаунт на GitHub говорит нам, что Глеб занимается разработкой на PHP.
В профиле на Magento мы видим, что Глеб проживает в Самаре. Так же на нем можно найти ссылку на сайт магазина гаджетов http://gadget.boutique, ознакомиться с содержанием которого можно в Веб Архиве.
В этой связи особенно интересным видится факт, что все ранее обнаруженные нами телефоны принадлежат Самарской области, а используемая для связи почта appmesseger@mail.ru фигурирует в связке опять же с самарским номером.
Магазин гаджетов GADGET.boutique имеет 2 сообщества Вконтакте.
Первое сообщество администрируется неким Глебом Аксеновым, фото профиля которого ничем не отличается от фото Глеба Юрьева/Юриева.
Второе сообщество администрируется учетной записью под именем Глеб Юриев...
Помимо того, что обе этих учетных записи имеют друзей/подписчиков из Самары и используют имя Глеб, среди их подписчиков можно выделить одного общего человека - самарца Ильдара Ульбекова.
Без особого труда в Самаре обнаруживается ИП Ульбеков Ильдар Исмаилович (ИНН 633007617795) с основным видом деятельности «Разработка компьютерного программного обеспечения».
Указанный на странице Ильдара Твиттер Ildarul1 не существует, зато прекрасно находится совпадающий с его ником ВКонтакте твиттер https://twitter.com/Ildarul, в котором в 2012 году рекламировался сайт ООО "Лаймон", занимающегося бурением на воду в Самаре.
В настоящее время ООО "Лаймон" (ИНН 6330007679) ликвидировано, но ранее оно принадлежало семье Ульбековых. В списке контактных телефонов данного ООО находится номер +79277038028, подозрительным образом совпадающий с тем, что фигурирует в связке с адресом электронной почты appmesseger@mail.ru.
Подтверждением связи Ильдара с проектом Appmeseger может являться и то, что номер +79277038028 в сочетании с именем Ильдар фигурирует на досках объявлений Авито и BBRO.SU в связке с учетной записью Appmsr...
Ильдар имеет закрытый профиль в Instagram. В описании не сказано ни слова о взломе WhatsApp или продаже "Новичка". Но факты... Впрочем, решать нашим читателям.