История одного взлома или как пытались увести всё, но не увели ничего

:

: 7

Цель данного топика придать огласке действия мошенников пытавшихся обмануть не не только простых пользователей, но и навредить честным людям, которые вывели их на чистую воду. Злоумышленники боятся огласки и известности, так как это сильно навредит их планам. Публикую этот пост по просьбе друга и основателя проекта macpages.me Наиля Янгазова. Далее повествование идет от его имени.

Предисловие


У меня есть моя основная почта на сервисе MobileMe, который кстати будущим летом уже станет историей. Я был наивен и никогда не использовал сложные, сгенерированные пароли в сети и все было здорово. Однако, в конце 2010 года, работая за компьютером неожиданно получаю сообщение о восстановлении пароля на почте, процедуру сам не заказывал. Естественно, понимаю, что почту хотят увести, но успеваю перед злоумышленником по этой ссылке сам сменить пароль. С тех пор я использую только пароли, сгенерированные софтом, например 1Password на Mac.

Все было нормально до последнего времени — на почте был уникальный пароль с спецсимволами, буквами разного регистра и длиною не менее 10 символов. Подбором такой взломать не каждый ботнет сможет. К тому же такой пароль не был один на все аккаунты — почту, твиттер, панель для домена и т.п.

Marberry.ru


Партнерская программа marberry.ru
На прошлой неделе на почту проекта support@macpages.me пишет некая, как потом оказалось, несуществующая личность Алексей Щербаков из «отдела развития» интернет-магазина marberry.ru. Предлагает очень лакомую партнерскую программу, обещая 15% скидки пользователям на всю технику Apple и неплохой процент нашему проекту за привлеченных покупателей.

Отмечу, что у нас уже есть подобная партнерская программа с iPrintIt — сервисом фотопечати из iPhoto и Aperture в России. Их основателя я знаю лично и компания это создавалась не так давно у всех нас на глазах, думаю еще можно откопать топики обсуждения и зарождения идеи на ru_mac. Поэтому к новому предложению, которое появилось из неоткуда я отнесся с подозрением.

Уточняю у менеджера откуда такая дешевая техника, мы сами-то из Финляндии по такой цене не всегда привезти можем, а тут еще и нам хороший процент обещают и пользователям нашим скидка. Чудеса экономики какие-то, как оказалось позже — нет, просто обычные кидалы.
Партнерская программа marberry.ru
Отвечают, что закупаются в ООО «Дихаус» и волноваться не стоит, вся техника «белая» и на гарантии (для тех, кто не в курсе скажу, что Дихаус действительно один из основных если не основной дистрибьютер техники Apple в России, у него закупаются крупные ретейлерские сети вроде Re:Store). Вроде идет вполне нормальное общение, отвечают вовремя и вполне корректно, но сайт магазина мягко говоря напрягает — он слеплен на скорую руку, половина ссылок не работает, информация о технике скудна, а контакты еще скуднее.
Сайт marberry.ru — кидалы и обманщики

Что-то тут не так Кэп


Далее лазаю по их сайту и натыкаюсь на ссылку сообщества во Вконтакте. Более 80 тысяч участников, видео с благодарными покупателями, какие-то обсуждения. Вроде вполне живое сообщество, проникаюсь небольшим доверием и соглашаюсь на партнерку. Хотя знаю, что накрутить это дело в социальной сети не составляет труда.

Вечером в воскресенье готовлю баннер в сайдбар с предложением скидки. С менеджером договорились, что указывая кодове слово «macpages» при оформлении заказа покупатель будет получать скидку 15%. Напоследок решаю погуглить и почитать отзывы о компании:

  • Продают продукцию Apple не дорого, на самом деле обман. Подал 8.04.11 заявление в Генпрокуратуру и на Петровку 38. С Петровки в тот же день отзвонились и уточнили данные как со мной связаться. Вопрос как долго могут рассматриваться такие дела, и что мне ещё нужно сделать чтобы вернуть деньги?
  • мой друг потерпевший. Живу в Казани. Найти бы этого мошенника. Неужели никто так и не может его посадить?
  • Нашли его.ему 16 лет, уже который раз причем его ловят. надеюсь возместит ущерб.
  • все кто обманут звонить в УВД г. КАЗАНИ. (на ул. К. Маркса) +7(843) 291-27-85 Новикову А.А.
  • Сегодня в контакте написала, все что я думаю про этого Вову, короче меня быстренько везде забанили и матом обложили.

Вся орфография сохранена, эти и другие отзывы доступны здесь, а так же многих других сайтах в сети. Забегая вперед скажу, что мошеннику действительно 17 лет на данный момент, может поэтому и промышляет — несовершеннолетний.

Понимаю, что связался не с теми и решаю сделать страницу с недобросовестными магазинами и сервисами, которые работают с техникой Apple, дабы предупредить других пользователей. Ребята с marberry.ru якобы ничего не подозревая продолжают уточнять по почте как будем взаимодействовать, не отвечаю им.

Тебя взломали


Просыпаюсь сегодня в 8 утра. Привычка сразу проверять почту на айфоне не подводит — в 3:39 ночи был сменен пароль на основную почту. Далее идут сообщения о восстановлении пароля для админки macpages.me и панели на домены, у меня их две — на webnames и majordomo. На первой к тому же сменили контактный email, чтобы я не смог восстановить доступ даже успешно войдя в почту MobileMe.

Вот так потерять все в сети разом, мягко говоря было неожиданностью. Но паниковать не стал.

Все дело в нюансах


Ребята с marberry.ru подчистили все лазейки, сменили пароли и контрольные вопросы для восстановления паролей. Не постеснялись указать имя, адрес, номер мобильного в контактах владельца учетной записи. Но в итоге Apple их подвела…

Для почты на MobileMe есть несколько возможностей настройки — в самой учетке по адресу me.com и на сайте компании по адресу appleid.apple.com. Так вот, чистили все дело через второй адрес, но в настройках на me.com остался нетронутым второй мой адрес email — списки адресов альтернативных email как оказалось на обоих адресах независимые, причем на me.com он судя по всему не редактируется. Как вы уже догадались, на сохранившийся адрес я смог отправить ссылку на восстановление пароля.

Далее получив доступ к почте восстановил контроль над доменами и админкой сайта. В случае webnames мне повезло — компания находится в Самаре и я смог лично приехать в офис, предъявил паспорт и менеджер без лишней бумажной волокиты (что удивило!) затер контактный адрес злоумышленника, вписав мой.

Позже я еще видел на почте сообщения о попытках восстановить пароли на разных сервисах, но доступ для мошенников был закрыт… От безысходности начались еще более неадекватные действия с marberry:

  • Пока не успел вернуть зоны на домене, на macpages.ru разместили нецензурной брани в мою сторону и адрес прописки (раскрытие персональных данных ведь наказуемо?), а позже сделали редирект на marberry.ru
  • Прислали SMS об этом:

    СМС от marberry.ru

  • Начали названивать через Skype (питерский шлюз на +7 (812) 458-87-70) и с неизвестных номеров (на самом деле я знаю номера):

    Звонки от marberry.ru


Кульминация — просят пойти на компромисс. Адрес отправителя фейковый, поэтому Mail его и посчитал спамом:
Спам

Выводы


А выводы я сделал следующие:
  • Не «завязывайте» все сервисы на одну почту, лучше создайте отдельный ящик для этого дела и не светите его нигде
  • Статарйтесь указывать в профилях альтернативные email, как правило через них можно оперативно восстановить доступ
  • Используйте только серьезные пароли, никаких логинов и 12345 — я этим не болею, но есть такие пользователи
  • Разным сервисам — разные пароли
  • По возможности ограничивайте весь доступ по ip и используйте СМС-нотификацию. Если почту у вас уведут, то без ip не попадут, а если и это удастся — вашу SIM им не подделать

Гвоздь программы


Мы подошли к самому интересному моменту, но сначала особо подчеркну, что публикую общедоступные данные — из социальных сетей, сайтов и открытых источников. Наш гвоздь — Владимир Шакуров, прописан в г.Казани, 17 полных лет, а в мае уже будет 18 и соответственно ответственности поприбавится:
Вова Шакуров

Его профайл на Вконтакте, можете передавать приветы. А вот группу буквально сегодня прикрыли модераторы Вконтакте, много жалоб:
Группа marberry.ru — кидалы
Кстати, товарищ талантливый, обманывая десятки если не сотни людей на технике Apple он трудится над новыми проектами, которые я бы рекомендовал обходить стороной и советовать другим делать тоже самое ( не открывайте эти адреса; возможен фишинг):

  • beta.lefreim.com и lefreim.com
  • marberry.ru
  • vovashakurov.ru
  • mrbr.ru
  • medialights.ru

Список будет пополняться. Домены у него все зарегистрированы через PrivacyProtect.org, но на данный момент мне удалось выяснить его:
  • ФИО
  • Паспорт (полные данные)
  • Интернет-провайдера и некоторые адреса email
  • Номера личных мобильных и номера «контактов» marberry.ru
  • Ближайшие контакты с именами и номерами, в том числе возможные контакты соучастников
  • Есть логи авторизаций, переписок, СМС

В связи с этим встает вопрос, что сделать дальше. В наши отделы К мало верю, но вдруг? Есть некоторые контакты в ФСБ, стоит задействовать? Если кому-то кажется, что ничего страшного не произошло и кража паролей детская шалость, то кроме паролей там были данные кредитных карт и личные персональные данные.

Гугл вову знает, надо чтобы знали все

Прошу всех, у кого есть возможность, максимально широко распространить информацию об этом человеке. В свою очередь через знакомых блоггеров постараюсь обеспечить максимальное количество репостов в рунете, да и вы можете копипастить сколько угодно.

И еще кое-что, скорее к юристам. Данному человеку так же известны некоторые данные обо мне (ФИО, прописка, паспорт, номер телефона). Не исключаю, что скоро обо мне что-нибудь напишут в сети. Можно будет дополнительно и за это дело привлечь? Ведь фактов там не будет, а значит клевета.

UPD

Нашлось интересное видео свидетельства развода этого человека — ссылка (вконтакте)

Некая Елена описывает в своем блоге как ее кинули и постит его паспортные и «юридические» данные — ссылка

Уменьшенная копия его паспорта — ссылка (вконтакте)