Письмо от мошенника было довольно пространным. В нем он рассказывал, что якобы получил полный доступ к Gmail-аккаунту и затем сделал полный дамп содержимого диска, обнаружил, что владелец аккаунта смотрит порно, и угрожал разослать по всей адресной книге компрометирующие фото владельца компьютера, сделанные с помощью камеры. Мошенник требовал $750, причем зачислить их нужно было на биткоин-кошелек. На это владельцу аккаунта отводилось 50 часов.
Богдана само письмо не напугало, поскольку явно было составлено по шаблону. Однако указанный пароль он действительно использовал на некоторых сайтах (позже он проверил пароль на сервисе Have I Been Pwned? и оказалось, что пароль скомпрометирован).
«На скриншоте отмечено, какая информация помогла мне в поисках. Во-первых, видно, что отправитель ненастоящий, а во-вторых — указан его IP-адрес. С него я и начал», — рассказал разработчик редакции. Самыми вероятными было два варианта: либо это IP-адрес взломанного устройства, с которого рассылаются такие мошеннические письма, либо это IP-адрес самого мошенника. Богдану стало интересно проверить, сможет ли он найти самого скамера.
Он проверил всю сетевую информацию об отправителе письма, которая может быть доступна публично.
Вкратце алгоритм поиска был таким:
- Открыть оригинал письма, проверить IP и доменное имя отправителя в формате adsl-***-***-***-***.une.net.co.
- Проверить, что такое une net co, узнать, что это — провайдер в Колумбии (т.е. письма рассылаются или через провайдера, или через домашнюю сеть).
- Проанализировать порты, открытые по указанному IP, узнать, что открыты FTP-сервер и два HTTP-сервера, послать запрос и увидеть, что в передаче данных участвует оборудование компании Thomson. «Компания Thomson не производит шлюзы, а только домашние роутеры, а значит, мы уже у ворот компьютера того гов**ка», — пишет программист в Twitter.
- Далее выяснить по одному из портов, что устройство скамера использует протокол TR-069 — для него известны уязвимости.
- Далее разработчик не вдается в детали, однако говорит, что дал скамеру или жертве другого скамера знать о факте взлома, переименовав его Wi-Fi-сеть.
«Теперь он будет знать либо о том, что его взломали, либо о том, что он очень плохо прикрывает свои хвосты», — говорит разработчик.
Напомним, в начале декабря этого года стало известно, что хакеры похитили 500 млн аккаунтов отельной сети Starwood, у сети в том числе есть и отели в Украине.