Усі знають сервіс olx.ua. Сам там купував багато чого. Технічно, до рівня Розетки чи Алло їм, звичайно, дуже далеко, але це величезний майданчик, де успішно купують і продають майже все, що можна й не можна :)
З місяць тому, наприкінці 2022 року, моя донька спробувала продати там деякі речі, якими ми вже не користуємося, типу дитячих іграшок, різного дріб’язку тощо. Акаунт був не новий, але оголошень у ньому ще не робилося. Відразу після створення оголошень їй написали у месенджер шахраї, пропонуючи заплатити за так звану Olx-доставку й надіслали лінк на фішинговий сайт, де треба було ввести дані своєї картки. Вона на це не купилася, тато похвалив за обачність та й на тому історія забулася.
У січні 2023 я вирішив продати свою невеличку зарядну станцію на 40800 mAh. Розетка зі змінним током, декілька USB-портів з QC, нічого особливого. Але, згадавши за ту історію, вирішив зробити експеримент. Я поставив дуже високу ціну за девайс, розуміючи, що його ніхто за ті гроші не купить. А от нечисті на руку люди точно поведуться, бо їм не важливо, що продають, а цікава сума. А я спробую з’ясувати, хто вони і як працюють. Спойлер: московитів тут я не очікував зустріти. Буде багато картинок і "многабукаф", тож заварюйте чайок та й почнемо.
- Наталя, Львів, Вайбер і перехід на російську мову
- Аліна, Вайбер, спроба отримати гроші
- Фішинговий сайт OLX-доставки
- Третій шахрай, WhatsApp та московія
- Чат підтримки фішингового сайту OLX-доставки
- Фішингові домени та реєстратори, звідки вони?
- Olx, чому до вас так важко достукатися?
- Google, Cloudflare та Smartsupp
- Меседж для OLX
1. Наталя, Львів, Вайбер і перехід на російську мову
23 січня ввечері, о 19:03, у понеділок, я опублікував оголошення про зарядну станцію. Не найкращий час, щоб щось швидко продати, подумав я, і помилився.
Через 6 хвилин, о 19:09, мені у вайбер (щоб він згорів, але видалити не можу :)) написала пані "Наталья", з українським номером +380965926623:
Пейзаж на фоні фото дуже нагадав мені Крим, але то таке. Наталя відразу зайшла з козирів:
Я подумав "ніфіга собі, не встиг опублікувати, а тут вже покупець". Але чому у вайбері, а не всередині самого сервісу olx.ua? Я був чемним і діалог почався:
Поки що все йде нормально, але з цього моменту мій внутрішній голос напружився. Наталя прислала лінк, на який я чомусь мав перейти. А потім видалила його. Відразу. Тупанула, мабуть. А потім відправила ще один, інший. На жаль, вона потім видалила ці два повідомлення у чаті, але я встиг їх скопіювати для подальшої роботи та пошуків інформації.
"отобразиться". Ви можете повірити, що програмісти/локалізатори OLX усі свої повідомлення не перевіряли спелчекером перед релізами, щоб знайти всі описки і помилки? Я — ні. І такі ляпсуси будуть ще багато де пізніше.
Зображаю святу простоту й продовжую діалог, хвилююся, що сайт з дивним доменом:
Пані бажає вчитися і запитує, що то є таке за звір, "домен". Я терпляче пояснюю:
Збільшений скріншот. "Диявол у дрібницях", станція нова, а на скріншоті "Б/у". Навіть не "Б/в", бо локалізація українська. Але ж якісно підробка зроблена, на перший погляд — все гарненько. Тільки от адреса сайту знизу — геть не olx.ua. Але ж не всі такі задроти, як я. Впевнений, що люди ведуться на це.
Далі мені набридло придурюватися і я написав про фішинг, трохи потролив про Львів, де вона, буцімто, живе, після чого діалог зупинився, а пані Наталя видалила повідомлення з лінками на фішинговий сайт з чату:
2. Аліна, Вайбер, спроба отримати гроші
Через три хвилини після початку розмови з Наталею, до мене в чат вже стукає пані Аліна, з номеру +380941371627:
Я вже готовий до діалогу і спілкуюся з двома панянками (чи не дядьки з тюрми мені пишуть? :)). Пані Аліна мене розкусила за три хвилини й зупинила діалог. ККД високий, але менеджери по пошуку лохів працюють неефективно, перебивають клієнтів один у одного:
Повідомлення з лінком вона з чату не видалила. Навчальна група недопрацювала :)
3. Фішинговий сайт OLX-доставки
Адреси сайтів, що мені дали ці дві людини — різні. Але дизайн у них +/- однаковий:
Все написано українською, за мілкими виключеннями. Є стилістичні помилки, праворуч знизу присутня піктограма чату підтримки. Про нього я розкажу пізніше, там теж цікаво, бо на скріншоті її вже немає.
Вмикаємо режим інкогніто, віртуальну машину, заходимо:
Інтернет-ліміт їм треба. "При бажанні", а не "за бажанням". Я вже відчуваю, що десь поруч москалі. Але ж доказів поки що немає. Нічого, йдемо далі, тиснемо "Отримати", й нас заспокоюють, щоб не нервувалися:
Окей, сунемо голову у пащу ведмедя далі і вводимо неіснуючу тестову картку VISA, щоб контрольні розряди зійшлися й система пропустила нас далі. Я не впевнений, що це спрацює, але спробувати варто:
Спрацювало, їхня система ковтнула дані картки й хоче тепер забрати всі гроші, прикриваючись тим, що їй для чогось там треба знати залишок:
Окей, кажемо, що у нас залишок 17 тисяч 943 гривні та їдемо далі:
Тут вони знову трохи затупили, в логотипах втулили "Мир", який ніде не працює, окрім кацапстану, але ж якщо ми аж сюди дійшли, то увага точно не на цьому конкретному логотипі.
Я вписую якийсь рандомний номер "від довідника стеля" і їхню систему заглючує, сторінка крутиться вічно:
Код сторінки, до речі, теж цікавий для аналізу, використовуються реальні файли з CDN самого OLX, фрейми, віджет чату сервіса Smartsupp, і, наприклад, ось такий код:
4. Третій шахрай, WhatsApp та московія
Через 20 хвилин після публікації оголошення на OLX, мені у WhatsApp постукався новий клієнт, вже третій. Евгений Акуленко. Теж з українським номером:
Діалог відразу він почав російською, тому я йому вирішив підіграти й трохи тупити:
Та сама історія, знову лінк, третій домен, назви схожі. Але доставка кур’єром, який до мене прийде додому по посилку. Цікаво. Продовжуємо, і я, типу поводжу себе так, ніби реально ввожу дані карти і у мене щось не виходить:
Виходить, ця людина не має прямого доступу до процесу зняття грошей, а просто "висить" собі у чаті й веде "клієнта":
Я бачу, що він зайнятий, відповідає з паузами та губить контекст розмови. Ще б пак, лохів багато, а операторів мало, треба все встигати. І розв’язка, для мене несподівана:
На цьому діалог зупинився і я перейшов до аналізу фішингового сайту.
5. Чат підтримки фішингового сайту OLX-доставки
Перед тим, як спробувати зробити те, чого від мене добивались шахраї, я написав у службу підтримки на кожному з фішингових сайтів. Спроб було декілька, з різних IP адрес та браузерів, щоб для оператора підтримки я був новою людиною. Але врешті-решт всі IP-адреси забанили та чат більше не відкривався. Кожен раз мені відповідали майже миттєво, кожен раз це був якийсь "Мирослав". І кожен раз він писав російською:
Виходить, у оператора Мирослава доступ до історії транзакцій та запитів на списання коштів є. Логічний фінал, Мирослав раптово розуміє, що його розводять:
Не впевнений, що Мирослав aka Support#8, що приєднується до ЧАСУ (а не до чату), бачить куки браузера, можливо, йому доступні тільки IP-адреси, але це вже неважливо.
В усіх чатах всіх трьох доменів мене забанив цей персонаж (або його аватари по цеху):
Ок, тут ми закінчили, перейдемо до аналізу фішингових доменів.
6. Фішингові домени та реєстратори, звідки вони?
Чесно кажучи, спочатку я думав піти у напрямку HTTPS-сертифікатів і накопати щось там, але відразу зупинив себе "що ти там побачиш, "Let’s encrypt?". Насправді ні, але то вже не важливо. Я пішов у WHOIS і побачив там ось що, ДЛЯ УСІХ ТРЬОХ ДОМЕНІВ:
REG.RU, панове. І, звичайно, роботу через Cloudflare. Домени свіженькі, зареєстровані 15 січня, на рік. Це розхідний матеріал, бо їх однозначно будуть банити. І я впевнений, що з реєстратором ми мало що можемо вдіяти, бо фізично він у рашці.
Коли я відкрив дані про власника, то здивувався ще раз. Нахабності й тупості немає меж. І реєстратор "з’їв" ці фіктивні дані:
Отже, кацапстан. Той оператор, що писав через WhatsApp, очевидно, з росії, вони там люблять цей месенджер. А от дві дівоньки — то вже Україна, але, не маючи інформації від оператора зв’язку по геолокації, я не можу це стверджувати на сто відсотків.
7. Olx, чому до вас так важко достукатися?
По-перше, я відразу написав у підтримку Olx. Шкода, що у них для цього мало людей і в чаті ввечері ніхто не відповідає. Суппорт монобанку розбещує людей :)
На сайті я довго не міг знайти номер телефону. Не зміг знайти месенджер. Не зміг знайти email та чат підтримки. Чорт забирай, де ви ховаєтеся??
Ледве знайшов форму зворотнього зв’язку, але це такий жах, що розумієш: нею мало хто користується. Бо навіть знайти її — ще той квест. Тримайте лінк, комусь згодиться:
Неможливо підібрати правильний варіант звернення. Я розумію, що це складно. Але ж ви не перші, хто робить подібні речі. Не відбивайте бажання написати вам таким чином. Я вперто йшов до цілі і не міг натиснути цю кнопку:
Тисну, а вона не хоче. А виявляється, на екран вище поле не заповнене. Воно там загоряється червоним. Круто. На екран вище. У спеціальному фреймі з прокруткою. На сторінці зі ще однією прокруткою.
Якщо ваш PM хотів зробити так, щоб вам не писали — то йому це вдалося, мої вітання.
Про спроби створення нового оголошення у браузері на десктопі я просто нічого не буду говорити. Це позорисько. І ви про це знаєте.
8. Google, Cloudflare та Smartsupp
В кожну з компаній я написав окремо, це не зайняло багато часу. Буквально хвилину для кожного.
Та у сервіс чатів підтримки на сайт Smartsupp.com, там звичайна гуглоформа:
Маю надію, що це спрацює, і сайти будуть заблоковані. Але цього недостатньо. Було би дуже непогано, якби сюди долучилася Rakuten та у колаборації з українськими операторами сотового зв’язку та поліцією, знайшла покидьків.
9. Меседж для OLX
І наостанок питання-рекомендація до компанії OLX. Якби мій номер телефону, який я зазначив при реєстрації у вашому сервісі, був недоступний публічно, то ця шахрайська схема не могла би спрацювати. Ви усвідомлюєте, що робите?
Ви ж розумієте, що якби ви дали можливість спілкуватися тільки на вашій платформі, це дало би багато плюсів безпеці? Не важливо, що це буде, чат на сайті, телеграм-бот чи ваш застосунок. НЕ ДАВАТИ НІКОМУ НОМЕР ТЕЛЕФОНУ КЛІЄНТА. Це має бути основним правилом.
UPD. 24.01.2023, 15:43
Після спілкування зі службою підтримки OLX, не зразу, але мені написали:
Олексію, профіль даного користувача заблоковано, інформацію передала стражам безпеки. Щиро рада, що все обійшлося без фінансових втрат :)
Підкажу, що на головній сторінці нашого Центру підтримки користувачів є можливість перевірити посилання на достовірність. Також у розділі Безпека описані шахрайські схеми, включаючи фішинг.
Якщо у майбутньому будуть траплятися подібні ситуації, будь ласка, повідомляйте про це нам.
Вдалого дня та мирного неба :)
Svetlana
Customer Care Specialist
Що за профіль, і що саме передали "стражам безпеки", я не знаю. Але маю надію, що це не просто відписка.
А поки що чекаю на реакцію від інших компаній, бо лінки відкриваються, а домени не заблоковані.