«Вычислил по IP»: львовский разработчик выследил скамера, который вымогал деньги за взломанный Gmail
19 ноября львовский разработчик Богдан Процишин (имя изменено по просьбе героя истории) проверял папку «Спам» в Gmail, когда обнаружил письмо от мошенника. В письме речь шла о том, что тот якобы взломал почту и получил доступ ко всему компьютеру. Мошенник требовал денег, взамен угрожая разослать компрометирующие фото друзьям и коллегам Богдана. Разработчик, в свою очередь, попробовал выследить мошенника. И у него это получилось.
Письмо от мошенника было довольно пространным. В нем он рассказывал, что якобы получил полный доступ к Gmail-аккаунту и затем сделал полный дамп содержимого диска, обнаружил, что владелец аккаунта смотрит порно, и угрожал разослать по всей адресной книге компрометирующие фото владельца компьютера, сделанные с помощью камеры. Мошенник требовал $750, причем зачислить их нужно было на биткоин-кошелек. На это владельцу аккаунта отводилось 50 часов.
Богдана само письмо не напугало, поскольку явно было составлено по шаблону. Однако указанный пароль он действительно использовал на некоторых сайтах (позже он проверил пароль на сервисе Have I Been Pwned? и оказалось, что пароль скомпрометирован).
«На скриншоте отмечено, какая информация помогла мне в поисках. Во-первых, видно, что отправитель ненастоящий, а во-вторых — указан его IP-адрес. С него я и начал», — рассказал разработчик редакции. Самыми вероятными было два варианта: либо это IP-адрес взломанного устройства, с которого рассылаются такие мошеннические письма, либо это IP-адрес самого мошенника. Богдану стало интересно проверить, сможет ли он найти самого скамера.
Он проверил всю сетевую информацию об отправителе письма, которая может быть доступна публично.
Вкратце алгоритм поиска был таким:
- Открыть оригинал письма, проверить IP и доменное имя отправителя в формате adsl-***-***-***-***.une.net.co.
- Проверить, что такое une net co, узнать, что это — провайдер в Колумбии (т.е. письма рассылаются или через провайдера, или через домашнюю сеть).
- Проанализировать порты, открытые по указанному IP, узнать, что открыты FTP-сервер и два HTTP-сервера, послать запрос и увидеть, что в передаче данных участвует оборудование компании Thomson. «Компания Thomson не производит шлюзы, а только домашние роутеры, а значит, мы уже у ворот компьютера того гов**ка», — пишет программист в Twitter.
- Далее выяснить по одному из портов, что устройство скамера использует протокол TR-069 — для него известны уязвимости.
- Далее разработчик не вдается в детали, однако говорит, что дал скамеру или жертве другого скамера знать о факте взлома, переименовав его Wi-Fi-сеть.
«Теперь он будет знать либо о том, что его взломали, либо о том, что он очень плохо прикрывает свои хвосты», — говорит разработчик.
Напомним, в начале декабря этого года стало известно, что хакеры похитили 500 млн аккаунтов отельной сети Starwood, у сети в том числе есть и отели в Украине.
Комментарии | 5
Жаль, что скамер без чувства юмора… назвал бы письмо с вымогательством «Руки вверх», а в самом тексте предложил бы оформить подписку на порнхаб на сдачу с 750 баксов — кешбек, может львовский программист и не искал бы его(
Стоит ли здесь оставлять стебные комментарии, а то Богдан может обидеться и начнет еще одно расследование параллельно занимаясь своим другим любимым занятием?
Как раз в линкедин есть вакансия на xhamster с релокейтом на Кипр, Боде пригодится.
и что толку что он его вычислил? Вот если бы прилетел в Боготу или Медельин или где он там и пристрелил эту собаку, вот это дело было бы, а так..
чучундра, вычислил он уже взломанный роутер, который рассылает письма по указанию ботнета. хозяин роутера скорей всего даже не в курсе что там с его IP отсылается
АИН хоть бы не позорился публикуя истории для школьников
Рассылка с историей браузера. Страшный сон на яву.