Новый вид обмана, используя Авито и Яндекс.Доставку
Декабрь 2020. Яндекс.Доставка только набирает обороты, а мошенники уже взяли их сервис на вооружение. Отмечу сразу, что я не пытаюсь опорочить имя знаменитых ресурсов, а напротив — хочу “отбелить” их репутацию, показав, что их бренды используют хитрые и жадные до наживы люди.
Свое повествование разделил на четыре части:
1. Краткое описание схемы кидалова на личном примере;
2. Основные черты, по которым им можно поверить;
3. Доказательство подделки;
4. Как быть и что делать.
Как меня пытались кинуть
Разместил объявление на знаменитом ресурсе. Спустя время написали в Ватсапп, что хотят приобрести корм. В процессе диалога выяснил, что покупатель далеко и она готова оплатить Яндекс.Доставку.
Я соглашаюсь и мне приходит СМС от некой “Органики” с короткой ссылкой “yalink.ru”. Перехожу. От меня требуется на этом сайте ввести данные банковской карты, на которую, якобы, упадут деньги после совершения сделки.
Ага, щазз. Сильвупле, месье, мерси боку за вашу щедрость. Несусь галопом!
Чем мошенники цепляют наше доверие
1. Придают живости общению — спрашивают о сроке годности, добавляют фотку в аккаунт;
2. Пишет обязательно девушка, так как женщины не подстать мужикам — они белые-пуфыстые и им доверять можно;
3. Используют ссылку с yalink.ru, которая является настоящим ресурсом Яндекса. Важно, что стоит понимать — вы любую ссылку можете сократить сервисом ЯЛИНК, превращая строку из 50 символов в 10, например;
4. Фейковый сайт имеет SSL-сертифиакт [1] — https в начале адреса, вместо http. Также это можно определить по "замочку" в строке браузера, нажав на который сообщат, что “соединение защищено” [2]. Ну и можно подумать, что все в ажуре, но не так все банально, дорогие мои — сертификаты делаются быстро и без дополнительных подтверждений [3]. При этом, даже на вооружении мошенников могут быть и усиленно-подтвержденные сертификаты [4];
5. На поддельном сайте полно реальных и рабочих ссылок на реальный Яндекс;
6. Онлайн-поддержка, которая также готова убедить в непорочности сайта и чистоте ваших помыслов расстаться с деньгами.
Доказательство подделки
1. Фотка их аккаунта пробивается в Яндекс.поиске. Да они явно пользуются базой девочек, отличительной чертой которых — черное платье в белый горох! Ничего святого;
2. На их телефон с мобилы не позвонить, потому что они эти номера покупают за ~6 руб. Об это много статье написано от других ребят — схема не нова;
3. СМС приходит тоже от всякой шляпы. То “ОРГАНИКА”, то “ЙЕСИНФО” и т.д. Такие штуки они также пачками покупают на рынке. Т.е. ни слова про “Яндекс Доставку”, а также не видно самого номера;
4. Любой поддельный сайт можно легко выявить по адресу. Про доменные имена разных уровней можно почитать подробнее [5], но я поясню вкратце — регистрируют домен второго уровня (в нашем случае "co-pay") и выбирают домен первого (".ru" или в моем случае ".li".) А третий, четвертый и пр. можно потом самому придумывать. Что они и сделали — вставили в тертий уровень “yandex”. Он то и вводит в заблуждение простого обывателя, который читает такой итоговый адрес: https://yandex.co-pay.li;
5. SSL-сертификат выдан не Яндексу;
6. Ну и самое явное — чтобы получить деньги на карту, достаточно использовать номер карты. Он же "открытый ключ" [6]. А на сайте вас просят ввести все данные (т.е. включая "закрытый ключ"), после чего деньги снимают. А юридически, вы “как бы оплачиваете услугу” и к ним не подкопаешься.
Как быть
1. Они на акк. тратят копейки. На СМС тоже, но их можно разводить на эти траты, продолжая врубать дурака, прося заново скинуть ссылку для оплаты;
2. Если вы добровольно оплатили услугу, то смиритесь. Я заметил, что они используют дорогие объявления, где продавец хочет 2-10тр и больше. Поэтому такие потери огорчительны, но если дойдет дело до суда и их все же сумеют поймать (что вряд ли), то будет другая проблема — вы, типо, оплатили услугу. Хотя, я могу ошибаться — поправьте в комментах. Я не юрист;
3. Телефоны поддельные. Имена и фотки у них фальшивые. Самое ценное, во что их можно разить — SSL-сертификат, который они зарегистрировали. Поэтому, очень важно и полезно написать жалобу в Управление «K» МВД России, а также тому, кто выдает сертификаты;
4. Сообщить [7] о фишинге в Гугл: https://safebrowsing.google.com/safebrowsing/report_phish/?h...
При этом, используйте не полностью ссылку, а лишь доменное имя.
Неверно: https://yandex.co-pay.li/order/?id=25d7a172ef
Правильно: https://yandex.co-pay.li
5. Сообщить о фишинге [8] в Яндекс: https://yandex.ru/support/search/troubleshooting/delspam.htm...
Источники
[1] Как можно легко получить SSL-сертификат: https://www.reg.ru/ssl-certificate/
[2] Зачем нужен сертификат: https://meduza.io/cards/chto-takoe-ssl-sertifikat-on-mne-voo..., 24.10.2017
[3] Типы сертификатов по типу валидации: https://habr.com/ru/company/tuthost/blog/150433/, 30.08.2012
[4] EV SSL-сертификаты упрощают задачу фишерам: https://www.securitylab.ru/news/490256.php, 13.12.2017
[5] Что такое домен первого уровня: https://www.reg.ru/support/domains/podbor-domennogo-imeni/ch...
[6] Что такое открытый ключ в шифровании: https://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключом
[7] Гайд от пикабушника: Как бороться с мошенниками, или как мне за две недели удалось удалить ~20 доменов
[8] МВД о фишинге и др. видов интерент-мошеничества: https://мвд.рф/document/1910260