Стоп, мошенник!

@osint_mindset Статья - X, редактор - Akvagon | August 21, 2023

Дамы и господа, в очередной раз рады приветствовать Вас на нашем Форуме Расследований! Сегодня мы разберем не совсем классический OSINT-таск, связанный с мошенничеством. Нам предстоит не просто найти информацию, но и понять, опираясь на добытые нами факты, пытается ли нас обмануть мошенник, или же мы зря бьем тревогу.

Задание:

Ваша компания представит на выставке свой новый продукт, и хочет разослать приглашение потенциальным заказчикам. Неожиданно, директору приходит письмо с предложением купить базу данных гостей мероприятия за 1500$. Это большие деньги, но выиграть вы можете еще больше. Все, что у вас есть - это email отправителя:

Richard.Frank@globalexposearch.com

Необходимо проверить, является ли отправитель мошенником и обосновать свой ответ.

Необходимо проверить, является ли отправитель мошенником и обосновать свой ответ

Перенесемся к обсуждениям на форуме. Стоит заметить, что началом решения каждого таска являются вопросы. И вот первые из них:

Скриншот взятый на форуме

Ответ был дан незамедлительно. Логично, что в оригинальной базе данных наверняка будет больше людей, чем в промоутерской. Да и затраты на организацию результативного промоушена, в сравнении с покупкой готовой БД могут сильно отличаться. Но, как говорится, пока кто-то разглагольствует, кто-то серчит. Один из форумчан высказал мнение:

Думаю это мошенник, на сайте нет такого имейла, через Дорк не Гуглится и я не нашел ни одного Ричарда Франка, связанного с такого рода деятельностью.

Поиск с использованием Google dork

Действительно, смущал тот момент, что используя дорки, мы не смогли найти упоминаний электронной почты. Более того, перелопатив всю сеть, используя все возможные поисковики, никакой связи между Ричардом Франком и деятельность, связанной с базами данных, мы также не нашли. Единственный найденный нами Ричард Франк был писателем, но это явно не наш клиент.

Информация о писателе Ричарде Франке

На удивление, работая в одной команде, форумчане не разделились во множестве мнений, как это это обычно происходит, а пришли к единому результату - предложение однозначный фейк. Но нужны факты, и мы сформировали для себя вопросы, на которые целенаправленно искали ответы:

1.Существует ли такой email? (на этот вопрос мы ответили выше, не обнаружив о нем никаких упоминаний)

2.Есть ли у данного представителя фирмы профили в социальных сетях? (ВКонтакте, Instagram, Facebook, LinkedIn, Twitter)

3.Есть ли упоминания о возможных адресах представителя?

4.Есть ли упоминания об абонентских номерах представителя?

5.Есть ли у фирмы сайт, и если да, стоит проверить всеми это всеми доступными способами, начав с просмотра даты регистрации доменного имени.

В результате поисков, подтвердилась последняя догадка - был обнаружен сайт.

Скриншот сайта https://globalexposearch.com/

И вот здесь мнения, наконец, разделились. Одни решили, что наличия сайта достаточно, более того это было подкреплено и информацией касательно продажи интересующей нас базы данных, скриншот о которой ниже.

Скриншот об интересующей БД

Другая же часть форумчан принялась разбивать эту теорию, лишь ответив на поставленные выше вопросы. Более того, смутило, что сайт зарегистрирован лишь год назад. Основным аргументом вышла сводка найденной информации. Что же мы нарыли, что бы поверить в реальность данной компании? Да ничего:

- Соцсети пустые.

- Людей не существует, проверка по социальным сетям результатов не дала.

- На LinkedIn компаний нет.

- Два похожих сайта, номер пустой, домены на левые godaddy.

- Регистрация домена меньше года.

- Вторая компания бьется на китайской выставке как скамеры.

Информация о домене

Однако, существует и изящное, доказательное решение. Первым ответ дал Øyvind:

Да, является мошенником, собственно его решение:

1.Сначала перешел на сайт, первое что вызвало подозрение - это отсутствие ссылок на соцсети за кнопками.

2.Решил проверить домен https://whois7.com/?q=globalexposearch.com провайдер GoDaddy, у него плохая репутация (https://www.reddit.com/r/webdev/comments/15gd93q/dont_use_godaddy/), айпишник вообще индийский, что довольно странно, ведь на сайте компании написано, что их офис находиться в Техасе.

Проверка домена

3.Попробуем написать запрос -”Richard Frank expo”. Выводит на сайт https://www.zoominfo.com/p/Richard-Frank/5947307956, доменное имя (expoglobalnetwork.com) компании, где якобы работает Ричард стилистически очень напоминает наше (globalexposearch.com), и сами сайты в целом друг друга повторяют. Возможно, это одна группировка. Все ссылки на соцсети также недействительны и упоминаний в сети не имеют.

Скриншот сайта www.zoominfo.com

4.Проверил этот домен https://whois.domaintools.com/expoglobalnetwork.com , ip тоже индийский, провайдеры совпали.

Проверка домена

5.Среди коллег Ричарда можно найти https://www.zoominfo.com/p/Alex-Roman/3433397922, его почта(Alex.Roman@expoglobalnetwork.com) уже была отмечена как "скам" организаторами выставки https://www.advancedmanufacturingexpo.com/scammers, за действия в которых мы подозреваем Ричарда.

Информация о мошеннике

6.В совокупности фактов можно сделать вывод, что предложение - скам.

Не всегда задачи дают нам четкие красивые ответы. Иногда, стоит задать правильные вопросы, чтобы, услышав тишину, сделать верные выводы. А на сегодня это всё, друзья, до новых встреч в интересных решениях!

@osint_mindset Канал, где вы можете узнать основные события в сообществе

@forum_rassledovaniy Форум, где вы можете поучиться решать таски