Tether больше не флипает, или что бывает с теми, кто выдает курсы Onchain School за свои
Недавно произошел особый случай, который поразил нас своей дерзостью. Админ канала "Tether флипает" начал выдавать обучение Onchain School за свое "менторство", перепродавая его втридорога.
Кроме того, как позже выяснилось, он обманул большое количество людей и перешел дорогу админам каналов Dolboeb trade, Смартовичок DAO, Gho$teer и другим ребятам, сливая их приватки или просто кинув на деньги.
Мы не могли пройти мимо данного инцидента и начали свое расследование. Как с помощью ончейна мы нашли скамера, как вернули деньги и кто стоит за обманом большого количества людей - все в этой статье.
ДИСКЛЕЙМЕР: Человек, обратившийся к нам за помощью, пожелал остаться анонимным. Поэтому его контакты мы зарисовали. Но подлинность истории подтвердим скринами переписок и другими фактами с ончейна.
Предыстория: как мы узнали о сливе курса
В начале августа на один из наших командных аккаунтов написал человек, который ранее интересовался обучением в Onchain School.
Он сказал, что приобрёл «менторство» за $5,000 в крипте. Но вскоре выяснилось: вместо обещанной программы ему слили небольшую часть нашего курса, при чем без видеоуроков и поддержки, выдавая её за полноценное обучение.
В качестве подтверждения своих слов человек показал транзакцию на $5,000, отправленную за «менторство»:
Уже на следующий день с этого же кошелька была совершена ещё одна оплата — 375 USDT за первую часть нашего обучения. По этому факту можно уверенно утверждать, что скамер изначально хотел перепродать наши материалы.
Зацепки в виде транзакции оказалось достаточно, чтобы по адресам и перепискам выйти на конкретного сливщика.
Однако был нюанс: слив происходил с фейкового аккаунта. Нужно было установить связь между аккаунтом скамера и нашим студентом, который стоял за сливом. Было очевидно, что это либо один и тот же человек, либо два знакомых, действующих вместе.
Выяснение обстоятельств
Написали парню, которого вычислили по одинаковому кошельку “ментора”, сливающего наши материалы, и нашего студента.
Ранее у него был никнейм @illegalinvestment. На данный момент никнейм убран, но мы покажем историю смены никнейма этого аккаунта
На тот момент у нас не было 100% уверенности, что слив идёт именно от него. Но мы решили вести разговор так, словно уже точно знаем все детали.
Реакция не заставила себя ждать — последовали стандартные отговорки в стиле "это не я"
Сбор данных через TeleSINT
Чтобы проверить аккаунты, мы использовали TELESINT-бота — сервис для OSINT-анализа Telegram, сохраняющему историю смен имён, никнеймов, групп и другие данные.
Этот бот нарушает политику приватности телеграм и его постоянно банят, поэтому актуальную версию надо искать через заркало https://telesint.dev/bot
Для проверки ввели его ID и никнейм обоих аккаунтов
Проверили и второй аккаунт, и он имеет общие группы (отмечены галочками на скрине выше)
Мы сделали предположение, что аккаунт @btcoffshore изначально создавался под скам: он выглядел как «рабочий инструмент», без привязки к личности.
А вот второй аккаунт @illegalinvestment использовался скорее как личный. Это было заметно по двум признакам:
- он «палился» реальным именем в истории смены названия аккаунта,
- состоял в значительно большем количестве групп, чем скам-аккаунт.
Кидок других людей
После того как к нам обратился первый пострадавший, мы начали внимательно анализировать транзакции на его кошельке.
- Кошелёк оказался относительно свежим — первые движения появились всего 2 месяца назад.
- Все транзакции были на суммы около $300, что выглядело подозрительно однообразно.
Такой паттерн говорит о том, что кошелек создавался специально для приёма оплат, а не для личного пользования. В противном случае история была бы длиннее и разнообразнее.
Спустя некоторое время вышел пост у СмартовичокDAO, где тоже фигурировал наш главный герой. Там дополнительно подтверждалась информация: его второй аккаунт связан с Тезером.
Канал, в котором есть пруфы - https://t.me/tether_otmena
Этот скамер кинул на деньги не только парня, который купил у него якобы "менторку", но и много других людей.
Он пытался слить приватку Ддао от канала https://t.me/dolbaeb_trade, придумал легенду якобы это какой-то админ (по факту это был он сам) купил за 10к$ рекламу миррора Ддао, но в итоге собрал он с около 100 чел деньги и "ушел в закат"
Пруфы и более полную историю скама можно почитать здесь https://t.me/ghosteer_flip/1241 и в последующих сообщениях
Также нашего героя упоминал сам D в своем канале - https://t.me/dolbaeb_trade/4018
Полный деанон
Ну вот мы и подошли к самому интересному - как мы узнали полные данные нашего скамерсанта
1. Установили настоящее имя
У нас была его почта, так как доступ к материалам в Notion раздавался именно на нее:
Мы решили проверить почту через Google, но там отображался только сам адрес без имени. Даже при отправке письма в поле получателя имя не подтягивалось — только laykunr@gmail.com.
Мы предположили, что laykun - это фамилия, а имя мы и так уже знали от TELESINT бота. Забили в поиск Лайкун Роман и Laykun Roman, и получили выдачу аккаунтов в соцсетях.
Дополнительно помогли голосовые сообщения: по голосу было понятно, что это молодой парень ~20 лет. Это сразу отсекло несоответствующие профили старших людей.
- старую страницу ВК → vk.com/yufhgg
- профиль на Freelancehunt → freelancehunt.com/en/employer/romalajkun62.html
- несколько других аккаунтов (малополезных в контексте расследования).
2. Нашли соцсети и установили связь между аккаунтами
В его профиле ВК было указано место проживания - Ракошино
На фрилансханте указано Мукачево
Если посмотреть на карту, то Ракошино и Мукачево находятся совсем рядом — фактически это одна агломерация.
Возможно, что на Freelancehunt не было выбора его села, поэтому он взял ближайший значимый город. Но то, что профили связаны между собой - вероятность очень высокая.
Осталось только это проверить на практике. Взяли известную нам почту, и ввели ее на Freelancehunt для сброса пароля, чтобы проверить реально ли аккаунт привязан к почте нашего скамера
Проверка показала, что почта laykunr@gmail.com действительно есть в системе Freelancehunt.
А значит, с вероятностью 99.9% именно на неё зарегистрирован тот же аккаунт, который мы нашли ранее.
Из этого мы сделали выводы про нашего скамера:
При этом, по часовому поясу, который отображается на скринах его канала, видно, что он сейчас, скорее всего, находится не в Украине.
3. Возврат денег
Имея все данные на руках, мы написали скамеру напрямую в личку.
До этого мы почти неделю пытались решить вопрос мирно — предлагали обсудить ситуацию и договориться. Но всё это время парень нас попросту игнорировал.
Поэтому мы написали ультиматум: или возвращаешь деньги или мы полностью деаноним личность.
После этого ситуация резко сдвинулась с мёртвой точки. Уже на следующий день скамер вернул деньги.
Итоги
Слив пресечен, деньги человеку возвращены.
Если вас кинул данный человек - вы теперь знаете как кто он и на что давить, чтобы вернуть свои деньги.
Выводы с этой истории
1. Не переходите дорогу Onchain School
Мы бы не трогали этого персонажа, если бы он не начал выдавать наш продукт за свой. Это очень большая наглость, которую мы не могли обойти стороной.
В будущем он мог бы сливать наш обуч на гораздо большую аудиторию. Это крыса, которую надо было наказывать еще до того, как ущерб станет еще больше.
За подобные случаи мы готовы взяться плотно, и доводить их до завершения. У нас нулевая толерантность к сливам, и мы такие кейсы готовы освещать публично.
Вы рискуете нарваться на скам. Кроме того, качество обучения ВСЕГДА будет хуже, чем если бы вы обучались в школе напрямую.
Мы практически единственные на рынке разбираемся в теме ончейна + даем для этого все необходимые ресурсы (платные платформы, гайды) и поддержку по всем вопросам.
3. Соблюдайте ончейн и информационную гигиену
В интернете и ончейне есть ОЧЕНЬ много ваших следов, даже если вы думаете, вас никак не отследить. В нашем случае было достаточно публично доступных источников информации, чтобы установить личность кидалы.
Так не всегда получается, но у правоохранительных органов есть возможность запрашивать у бирж данные про владельцев аккаунтов (они ОЧЕНЬ активно делятся вашими данными по запросу), проверять данные с закрытых реестров, сотрудничать с междунароными структурами (Европол, Интерпол и тд) и много других средств.
Если вы думаете, что вас не достанут - поверьте, вас достанут. Вопрос лишь в том насколько органам интересно вами заниматься.
По всем вопросам пишите в саппорт либо в чат канала.