Restablecimiento de máscaras

En tiempos difíciles, la sociedad se divide en dos categorías. Algunas personas buscan ayudar a otros para superar las dificultades mediante esfuerzos conjuntos lo antes posible y de manera más eficiente. Y otros usan una situación crítica exclusivamente con fines de lucro. Y no les importa en absoluto que se beneficien de aquellos que ya no están solo en esta situación.

No tienes que ir muy lejos por ejemplos. Uno puede recordar los ataques terroristas en el metro de Moscú en 2010, cuando algunos conductores arrojaron sus asuntos y llevaron a las personas a los hospitales de forma gratuita, mientras que otros aumentaron los precios de los servicios de taxi 10 o más veces.

Algo similar está sucediendo ahora. A raíz del aislamiento general, la demanda de bienes en los que pocas personas estaban interesadas anteriormente ha aumentado considerablemente. Tome máscaras médicas, por ejemplo. Durante los tres meses de octubre a diciembre de 2019, se registró un poco más2300 nombres de dominio con una partícula * máscara *. ¿Qué crees, cuántos de estos recursos estaban destinados a la venta de máscaras médicas? ...

Cero ... Ninguno ... Por cierto, en farmacias las máscaras se vendieron en promedio a un precio de 7 a 15 rublos cada una.

Ha llegado el año 2020, y con él el coronavirus. Todo ha cambiado dramáticamente. Durante los mismos 3 meses, de enero a marzo, aparecieron en la red 32,000 nombres de dominio con la partícula * máscara *, el 80 por ciento de los cuales explotó el tema de las máscaras médicas. Además, todo se desarrolló de dos maneras. Parte de los recursos estaban destinados a la venta real de máscaras, pero su costo de la máscara aumentó en promedio a 60 rublos cada uno. Otros sitios fueron francamente fraudulentos.

La semana pasada, 2maski.ru entró en mi opinión .

Cito intencionalmente la dirección del sitio, ya que puede ser interesante para los usuarios familiarizarse con su contenido.



Este recurso es interesante de muchas maneras. En primer lugar, está dirigido a personas jurídicas: el lote mínimo de máscaras que se pueden pedir en el sitio es de 200 mil piezas a un precio de 7 centavos por máscara. Es decir, el costo del lote mínimo es de 14 mil dólares estadounidenses o 1 millón 120 mil rublos a la tasa actual del Banco Central.

En segundo lugar, utiliza un sistema de pago de pedidos muy específico: se propone transferir dinero a través de los sistemas de transferencia Contact y Hummingbird, como a través de un garante. Es decir, indique como destinatario de la transferencia a su pariente o amigo, envíe un escaneo del recibo y, después de recibir los bienes, cambie el destinatario al deseado.

Y en tercer lugar, este sitio tiene una orientación definitivamente fraudulenta, como lo demuestran numerosas publicaciones en los medios y en diversos recursos. Si lo desea, puede incluso buscar en Google escaneos de recibos para la transferencia de sumas considerables de dinero para pagar máscaras inexistentes.



Ignoremos el hecho de que tales acuerdos entre entidades legales son generalmente inaceptables, y en general el esquema de pago horrorizará a cualquier contador o empleado adecuado del servicio de seguridad económica de la empresa. Lo principal que vemos: en la práctica, funciona.

Dado el cinismo de este esquema fraudulento, no podía permanecer indiferente e invité a los suscriptores del canal In4security en Telegram a realizar una pequeña investigación, mientras lanzaba la mía.

Respondimos a la llamadaashotog y momonovquien monitoreó la información de contacto provista en el sitio de estafas y ayudó a simplificar la información recibida.



En el sitio web 2maski.ru, el número de teléfono +79645829878 y la dirección de correo electrónico cn-partner@mail.ru se utilizan para la comunicación. Tanto el correo como el teléfono se mencionan en una gran cantidad de anuncios colocados en todo tipo de tableros a mediados de marzo de 2020. Un detalle interesante: todos los anuncios se colocan en nombre de Victor.

El teléfono aparece en relación con las antiguas y muertas cuentas VKontakte y Odnoklassniki, pero, aparentemente, pertenecen al antiguo dueño del número.

La dirección de correo electrónico cn-partner@mail.ru es única y nos lleva al sitio cn-partner.ru .



Vamos a la página principal del sitio y vemos, al parecer, una tienda en línea normal.



Pero, como dicen, hay una advertencia. Precios. Por ejemplo, la tarjeta gráfica Nvidia GeForce GTX 1060 cuesta aproximadamente 2 veces más barata aquí que el promedio del mercado: 8 mil rublos contra 16-20 mil. Bueno, la oferta es excelente, hay que aprovecharla. Haz clic en el botón Comprar.



Oh. El pedido mínimo es de un millón de rublos, y el pago debe hacerse de acuerdo con el mismo esquema que en el sitio web 2maski.ru. Usando la misma dirección de correo para dos aventuras fraudulentas diferentes ... Qué imprudente.

Una búsqueda de contactos le permite identificar direcciones adicionales utilizadas para publicar anuncios. En particular, la dirección partner_73@inbox.ru y rotenberg1960@mail.ru.

El correo rotenberg1960@mail.ru en combinación con el teléfono +79645829878 se indicó en el anuncio medfirms.ru/med82713.html , publicado el 10 de febrero, es decir, un mes antes de la aparición del sitio 2maski.ru.



Presta atención al nombre de Víctor (escrito en este caso con un error).

Las direcciones de correo electrónico también aparecen en otros anuncios.



Por ejemplo, se puede encontrar en el sitio web voshod-invest.ru/inv_show_offer.php?id=9672 , donde el número de teléfono es +79653493247 como número de contacto.
Con los datos de contacto, todo está más o menos claro. Busquemos nombres de dominio y fragmentos de texto de anuncios.

Primero encontramos un artículo sobre Pikabu, cuyo autor se tomó el tiempo y escribió a los estafadores. El artículo menciona un hecho curioso. Para obtener el código de transferencia y los datos del remitente y el destinatario, los atacantes enviaron un enlace a un recurso de phishing que imita el sitio web de Sberbank: sber-bank.su/ru/person/remittance/kolibry_rus/ .



El sitio aún es válido. Colgando sobre CloudFlare, al registrar un dominio, se indica la dirección de correo electrónico ki.wa18@yandex.ru. Especialmente interesante es el hecho de que el nombre de dominio se registró en mayo de 2019, mucho antes de la pandemia, lo que demuestra una vez más que los distribuidores de máscaras pueden participar en una variedad de esquemas fraudulentos.

Sin embargo, ya conocemos dos de ellos (máscaras y productos de China). O tal vez hay algo más?

Por supuesto que lo hay! En primer lugar, encontramos el perfil de Instagram creado para publicidad: www.instagram.com/2maski.ru , en cuyas suscripciones se encuentran dos más:
www.instagram.com/2maski_ua
www.instagram.com/2maski_ru

En paralelo, se utilizaron páginas de VKontakte para anunciar 2maski.ru, pero no son muy interesantes, por lo que no nos centraremos en ellos. De vuelta a Instagram.

La cuenta 2maski_ua nos lleva al análogo del sitio web 2maski.ru, para residentes de Ucrania: www.2mask.com.ua .

En general, los sitios son idénticos y solo difieren en el idioma y la información de contacto.



Entonces, el correo ukraina1960@bk.ru se usa en el recurso ucraniano en combinación con el teléfono +380972451427. Se puede observar una coincidencia parcial con la dirección rotenberg1960@mail.ru, sin embargo, estos son solo supuestos.

También en el anuncio a la dirección: www.44.ua/ads/583818 aparece el correo cn.partner@yandex.ru, que solo fortalece la conexión de los tres sitios de estafas ya identificados.

Por cierto, los anuncios del sitio para Ucrania también se publican en nombre de Victor.

Pero entonces comienza la diversión. El correo ukraina1960@bk.ru se menciona en varios sitios en relación con estafas con la venta de apartamentos en el período de 2015 a 2019. Por ejemplo, aquí sovet.kidstaff.com.ua/question-2185350. Y aquí vemos que el esquema de engaño al vender apartamentos no es diferente del esquema con máscaras o productos electrónicos chinos. ¿Coincidencia? No lo creo.



Queda claro que detrás de todas estas estafas, lo más probable es que haya una persona o un grupo de personas, y el "negocio" se pone en marcha. Esta es una gran noticia. Como cuanto más activa es la persona involucrada, mayor es la probabilidad de que algún día se queme con algunas cosas pequeñas.

Comentario necesario La investigación analizó cientos de recursos y docenas de números de teléfono. Intencionalmente no inserto en el texto todos los datos de contacto de los atacantes, ya que esta información no ayuda a la historia, sino que solo confunde a los lectores.

La búsqueda de información sobre "estafadores de apartamentos" lleva a otro artículo sobre Pikabu. En él, como vendedor, aparece un cierto Viktor Pavlovich. Como puede ver, los estafadores tienen un ansia poco saludable por el nombre de Víctor.

Además, se encuentran docenas de menciones de fraudes con apartamentos de Viktor Pavlovich en los vastos países de la antigua Unión Soviética, desde Ucrania hasta Kazajstán, muchos de los cuales cuentan con el correo ya conocido ukraina1960@bk.ru. Por cierto, a diferencia de las direcciones de correo electrónico, los estafadores cambian de teléfono de manera bastante activa.

En las noticias de varias agencias de noticias, aparece información sobre las numerosas víctimas que transfirieron dinero para comprar un departamento inexistente. Los foros en línea están llenos de temas de fraude de apartamentos. A veces se encuentran con comentarios bastante interesantes.



Sin embargo, esta información no ha recibido confirmación.

Estudiaremos la historia de un esquema fraudulento con la venta de apartamentos con una transferencia de prepago a través de sistemas de transferencia instantánea de dinero. El texto principal del anuncio es estándar, solo cambian ciertos detalles: el nombre del propietario del apartamento, el país y el motivo de su mudanza, la dirección, los nombres de los sistemas de pago (según el país de residencia de las posibles víctimas). La mayor parte del anuncio está dirigido a residentes de Rusia, Bielorrusia, Ucrania y Kazajstán.

Las características semánticas y estilísticas de los anuncios son interesantes. En particular, la ausencia de comas o un espacio antes de la coma, y ​​no después de ella, es sorprendente.



Además, todos los teléfonos, tanto en las cartas de los estafadores de departamentos como en los anuncios o páginas de sitios web que venden máscaras médicas, se indican en un formato similar.

Algunos de los primeros anuncios con texto similar datan de 2013. El enlace puede leer la conmovedora historia de Zarutskogo Belov, Alexander Pavlovich y Constantine Pavlovich, para vender sus granjas ganaderas en la región de Pavlodar y trasladarse a Perú e Israel, respectivamente. Además de las granjas, Pavlovich combina dos puntos: un apartamento inexistente en Astana y una dirección de correo electrónico kz-leo@bk.ru.

Veamos dónde más se presentó esta dirección de correo electrónico.

Primero, verifique el perfil en Mail.ru. Que vemos



Victor Pavlovich! Este es el tercer Pavlovich en nuestra historia. Y recuerde que nuestro estafador con máscaras es claramente un ansia poco saludable para el nombre de Víctor.

Más interesante.

La dirección kz-leo@bk.ru fue mencionada en Mail.ru por natalisvs en un mensaje fechado el 19 de octubre de 2013 .



Por lo tanto, obtenemos la dirección natalisvs@mail.ru, cuyo perfil muestra un cierto Igor Sidorenko.

Tenga en cuenta que Igor también es fanático de poner un espacio antes de la coma.



Los perfiles de Igor se encuentran rápidamente en otras redes sociales.

La dirección de correo electrónico natalisvs@mail.ru fue indicada en el sitio vse.kz por un usuario con el seudónimo dark.nik en el tema dedicado a la búsqueda de recorridos .



Esta persona es un usuario muy activo del foro. Por el momento, dejó más de 4.5 mil mensajes. En particular, en 2015, vendió un apartamento en Kazajstán .

Y en 2016, ofreció los servicios de un guía personal y un conductor en un Toyota Land Cruiser Prado.

Y finalmente, en 2019, publicó documentos sobre el paso de t / o , en el que su nombre y teléfono son claramente visibles.



Entonces. ¿A quién tenemos como resultado?

Vivir en Kazajstán Nikita Konstantinovich L.

VKontakte página: vk.com/nikinzdeshniy
Mi mundo: my.mail.ru/mail/dark.nik
Facebook: www.facebook.com/nikin.zdeshniy
Instagram: www.instagram.com/nikin_zdeshniy

Quiero señalar de inmediato. El propósito del artículo no es acusar a nadie de fraude, sino observar coincidencias, analizar tendencias y estudiar tendencias. Esto es un alimento para el pensamiento, que puede ser útil para alguien.

¿Qué sigue?

Luego, hay agencias de aplicación de la ley que pueden verificar, porque según los informes de los medios, durante el último mes, se han presentado docenas de denuncias de fraude ante la policía utilizando el sitio web 2maski.ru.

Realmente quiero que en este momento difícil para todos, Internet no se convierta en un claro para todo tipo de románticos del gran camino.