Отчет по проведенному расследованию на мошенника
Итак, доброе утро дорогие читатели. Прошу прощения за долгое отсутствие статей. Некоторое время назад, я начал искать мошенника и хотел бы поделиться с вами тем, что мне удалось найти, каким образом это происходило и что я думаю делать дальше. Карта расследования висит в канале для наглядности.
Началось все с того, что в очередной раз копаясь по всяким форумам и группам в соц. сетях, я натолкнулся в пикабу на пост о мошеннике. >>ссылка на пост<<
Также нашелся пост в вк. >>тык<< И также был пост на каком-то сайте >>тык<<
Сам кейс изначально мне показался не очень сложным, тк думал, что мошенником является лишь аккаунт "Андрей Смолин"
Решил сразу проверить, на что он подписан.
Первой группы как таковой уже не существует, какие-то ставки или что-то в этом роде. Вторая же группа, это такая же барахолка, которая фигурирует изначально, только направленная на украинский сегмент. На скам не проверял, это не та цель.
Взяли на заметку.
На этом, информация связанная с этим аккаунтом заканчивается.
Дальше я стал думать о том, что бы проверить саму группу. Я воспользовался инструментами, которые позволяют посмотреть, где была заказана реклама данного паблика или где он упоминался\репостился.
Весьма интересно получается. Много пабликов, большие охваты, отсюда и кол-во людей в группе барахолки.
Так-как изначально была информация лишь о том, что "Смолин Андрей" является скамером, я и не думал проверять гаранта. Я ошибался. Став искать его упоминания в телеге, я нашел вот что. >>тык<<
Тут наш гарант великодушно и чистосердечно признался что он хохол. Записали.
Дальше я работал лишь с его аккаунтом и связанными с ним акками.
У него огромное кол-во мусорных чатов. Возможно для распространения своей группы, возможно для создания шума, что бы было непонятно, чем конкретно он увлекается.
Привязанный номер телефона конечно окажется купленным. Он не дает нам дополнительных векторов для работы, поэтому двигаемся дальше. Ради интереса я проверил активность номера при помощи HLR запроса. Номер не активен.
По итогу дважды упираемся в тупик.
Единственное, что связывает аккаунты и указывает на то, что ими владеет один человек, это подписка на торговую группу.
Чуть позже при помощи MailCat я нашел почты
Рабочей является только одна "[email protected]" тк на момент проверки другие домены почт просто не работали. Проверка на утечки паролей ничего не дала.
Тут я начал ловить тупняки. Больше ничего не удавалось найти, пока до меня не дошло проверить никнеймы, которые использовались им.
Я банально протыкал все никнеймы и единственным рабочим оказался @voentorg50. Этот аккаунт также состоит во всех группах. Понимаем, что это еще один аккаунт, который принадлежит нашему типочку.
Чуть позже моя подписчица нашла информацию по криптокошелькам в общем чате TrustWallet.
Дальше были попытки понять, куда уходят деньги в крипте.
Интересным оказалось то, откуда приходили токены на этот кошелек.
Фиг его знает, оказались какие то китайцы мошенники или че то в таком роде. Они меня не особо интересовали, но я сохранил скрины.
Короче говоря, токены я потерял на моменте их ухода в обменник SunSwap и дальше найти не смог.
Дальше я стал копаться по всем схожим никнеймам, которые содержат "Garant_Baraholki"
Мне удалось найти связанный аккаунт с предыдущими >>тык<<
Он также состоит в торговой группе.
Сейчас этот аккаунт удален или переменован. Вот id "1394196404"
Аккаунт оказался не особо прикрытым. Так же на одну из указанных почт есть аккаунт >>тык<<
Также есть опять три почты в домене ua, но активная будет лишь в i.ua.
ГБ любезно предоставил мне IP с которых регались\спалились почты
И еще я решил проверить почты на регистрацию где-либо
Также, проверка на утечку, смогла показать мне слитый хэш пароля от START и показал, что есть на одну из почт регистрация Duolingo, и язык изучения - французский.
И в других сервисах пишет, что это не VPN. Так-что тут несколько вариантов было. Либо это настоящий IP, либо же это VPS. IP не пингуется (выключен, уничтожен и тп)
Ладно, вернемся к данным. Номер привязанный к аккаунту оказался также неактивен, но к нему есть привязка к некому аккаунту вк, который находится в Крыму, Керчь. >>тык<<
Чуть ранее, подписчица нашла такое вот сообщение.
Дальше я воспользовался инструментом, который показывает информацию о странице и то, как она выглядела раньше.
Никнейм нам прямо говорит о том, что парень крымский. ну и указана Керчь.
Ну, собственно, на этом я и остановился.
Спасибо за внимание. Присоединяйтесь к беседе, давайте дальше вместе думать.