Деанон скамеров (антикино)

Глоссарий:

Скам/скамеры: интернет-мошенничество, развод.
Скамеры — мошенники.

Мамонт: человек, который повёлся на развод.
Деанон/деанонимизация установление реальной личности анонима.

Инструментарий:

Открытые источники
Собственные наработки

Схема развода:

Схема не новая, упоминания о ней встречаются и в 2017 году, тем не менее, она всё ещё эффективна:

Вы пишете девушке (или она вам) в Tinder или на любом другом дэйтинг-сервисе (обычно после того, как она пролайкала ваши фото).

Через некоторое время после она предлагает сходить в кино/театр/отель/джакузи/кальянную/бдсм-комнату и т.д., а заодно и купить туда билеты на одном из сайтов. После покупки билета девушка сливается по той или иной причине, а на вопрос про билеты она отвечает, что можно оформить возврат.

Мамонт пишет в виджет поддержки сайта с требованием возврата, ему присылают ссылку якобы на возврат, где уже введены его данные с первой покупки.

Примечательны ответы саппорта: “Для возврата у вас должна быть на счету сумма, равная покупке или больше”

Пример платежки (скрипт с привязанным процессингом)

Если мамонт после нескольких списаний до сих пор надеется, что это просто ошибка, ему с извинениями присылают ещё одну ссылку и списывают с него деньги в третий раз (Сумма третьего списания = сумме двух предыдущих).

Т.е. если мамонт покупает 2 билета по 2.5 тысячи рублей, убыток будет от 10 до 20 тысяч.

По этой схеме работает IFFL TEAM.

По словам администраторов, максимальный чек одной жертвы доходил до 100 000.

Деньги могут выводиться сразу в криптовалюту (зависит от настроек платёжного скрипта) или на дроповский пластик. В иных случаях, когда транзакция блокируются банком-эмитентом, мошенники могут попросить просто перекинуть деньги на пластик, откуда всё равно выводятся в бетховены через анонимные кошельки или криптовалютные миксеры.

С 16-го июня 2020 скамеры IFFL TEAM “заработали” 8014017₽ (сумма на 26.10), если верить их внутренним подсчётам (не исключаем накрутки бота)

Как же у них бомбит, когда мамонт оплачивает с Тинькофф или Альфы

Структура IFFL TEAM:

У скамеров есть несколько тредов на lolz.guru, телеграм-бот, телеграм-канал с выплатами и несколько чатов разной степени закрытости.

На сайте lolz.guru (инфобез, социальная инженерия, схемы заработка и цифровые товары) есть треды:
https://lolz.guru/threads/1824724/ (старый) https://lolz.guru/threads/1158380/#post-13467377 (новый).

Топик создан пользователем Garry_pen_IFFL

Скрин треда

Как попадают в IFFL:

Из скрина понятно, что путь в IFFL лежит через телеграм-бот @relbotbotbotbot, где желающий вступить в скам-комьюнити заполняет анкету:

- Откуда о нас узнали?
- Есть опыт работы скамером?
- Ознакомлены с правилами?
- Реферальное приглашение (если есть)

Далее подтверждение и вступление в группу для новичков. Как только начинающий скамер приводит трёх мамонтов, он может подать заявку на вступление в группу для профи, что даёт скамеру в перспективе комьюнити получше и дополнительные сайты для скама.

Структура IFFL TEAM (Roger_neo, спасибо за паттерны паролей, очень признательны)

Процесс и выплаты

У IFFL, есть целые гайды как кидать доверчивых мамонтов, вот небольшая вырезка:

Профит для рядовых скамеров IFFL:

◾ Выплата за первый билет-75%
◾ За второй билет 55%
◾ За иксовый билет 60% (каждый следующий)
◾ За возврат 50%
◾ Последующие возвраты мамонта 40%

Остальное получают администраторы/хэлперы за минусом расходов:

Расходы для IFFL:

◾ Кодинг
◾ Поддержка бота
◾ Создание и размещение сайтов
◾ Покупка скриптов/платёжных сервисов

Теневой маркетинг

Помимо обычных конкурсов в телеграме (кто приведет больше мамонтов), есть и примеры партизанского маркетинга от IFFL: вот вырезка из Pikabu, где автор поста (MartineLamber) прикидывается естествоиспытателем:

Классика: рекламный скамерский донат (MellStroy)

И да:

На данный момент мы полностью деанонимизировали 4-х администраторов + собрали данные, с помощью которых полиция прикроет всех остальных.

Это не считая рядовых скамеров, деанон которых уже перевалил за 20 человек.

Ага, вот эти ребята (за исключением нашего инсайдера)

Покажем вам, как мы это делали на примере администратора Shkvark.

Привет, Shkvark! (можно просто Коля?)

Для начала мы искали админов по никнеймам телеграма. На всё том же форуме lolz.guru нашли учетку с никнеймом “Gavnokopilka”. Эта учетка отписывается в тредах IFFL TEAM и ставит классы. К учетке привязан телеграм-аккаунт Shkvark (админ/саппорт IFFL ).

Год назад аккаунт написал, что работает уже год с IFFL TEAM, скидывает скрины платёжек.

Далее мы находим одноименного пользователя на других форумах, например, на dark2web.com, где фигурирует тот же телеграм. Из новой информации — аватарка со Шредером (ну кто же ещё) и несколько строк про фишинг.

После этого мы находим учётную запись Steam:

И по общим друзьям находим аккаунт “Краля” с аватаркой Шредера.

Мы выделили аккаунт “малочный”, т.к. это ещё один админ, но тут не о нем.

И у Крали находим сохраненный скриншот из игры “Trove” (никнейм в игре — FooXel)

Дальше ищем никнейм “FooXel” в кэше Яндекса и находим аккаунт с именем “Виталий Порохин” (https://vk.com/stryker79)

На странице находим в друзьях:

https://vk.com/pofactupohui
https://vk.com/id502669311
https://vk.com/idinahyiubludok (Коля Акула)

Дальше ищем упоминания аккаунта (Коля Акула) в VK и находим скрины из игры War Face, где фигурирует “гавкопилка”:

Хмм…Гавкопилка. Очень похоже на “Gavnokopilka”

По слагу “idinahyiubludok” и имени “Коля Акула” находим аккаунт Tik-Tok, где аватарка такая же, как и на форуме Lolz.guru:

Дальше мы находим номер телефона Коли в группе по продаже попкорна https://vk.com/popandko, через Сбербанк находим имя, отчество и первую букву фамилии: Николай Алексеевич Ч.

Подтягиваем по номеру телефона аккаунт на OK.ru https://ok.ru/profile/528285497786
В подписках находим Надежду Ч.(Новикова) https://ok.ru/profile/546150170424 и на олдовых фотках находим Николая:

Семейные фотографии (Попався!)
Коль, мы тут полностью согласны с тобой

А что ещё?

До Коли мы сдеанонимизировали ещё пару админов и завербовали одного. Мы держим своё слово, поэтому в этом лонгриде фигурирует Shkvark, а не ********* (stay paranoid, guys).
Взамен мы получили 1000+ скринов из админки виджета Smarsupp, где скамеры разводят мамонтов по второму, третьему и десятому кругу.

Там же есть все данные пострадавших, а значит можно собрать всех для коллективного заявления.

Сайты скамеров IFFL TEAM

🖥 Отель — https://hotels-empire.ru
🖥 Джакузня — https://jukuznya-lofts.ru
🖥 NEW ANTIKINO — https://cinema-lofts.ru
🖥 Кальян — https://kalyan-parof.ru
🖥 Суши-доставка — https://sushi-housess.ru
🖥 Kino — https://big-plaza.ru
🖥 Театр — https://teatr-dramm.ru

P.S. Думаете, мы не знаем про ваши полуприватные домены?

Если вы пострадали от этих ребят, напишите нам на почту corp@inq-pi.com

// Еще скрины переписок со Smarsupp

СКАМЕРАМ:

Наш инстаграм: www.instagram.com/inquisitor_pi

--

--

--

Детективное агентство. Сжигаем лупы и трубки since 2015: www.inq-pi.com

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Inquisitor Today

Inquisitor Today

Детективное агентство. Сжигаем лупы и трубки since 2015: www.inq-pi.com

More from Medium

Ackoff’s Mess

CS373 SPRING 2022: John Mackie

Hackthebox Paper-Write up

SQLi Union Attacks Explained Simply