суббота, 1 мая 2010 г.

Аудит г-на FrichX


UPD: Запостил эту информацию в тематически заинтересованные сообщества. No Spam!

Получили широко разошедшееся сейчас письмо г-на FrichX на наш сайт hackaround.ru. Поскольку наглость этого человека зашкаливает, взялся сделать аудит. Также предприняты другие действия о результатах которых (если они появятся) напишу дополнительно. Принцип действия спамера аналогичен тактике директора ЦРУ У.Колби в 70-х годах. Когда ЦРУ стали уличать в терроризме, убийствах, взрывах, свержении правительств, наркобизнесе, агентурных провалах и т.д., то У.Колби побежал что называется во главе разоблачителей и так рьяно стал разоблачать собственную службу, что насилу успокоили. Не знаю где этот "гений" спама такому научился, но наблюдаю то же самое. Отличная защита: Вы его ещё и пожалеете, ну или по крайней мере выпустите пар. Если мозга мало - заплатите.

Как распознать спамера влезающего в обсуждение его письма? Очень просто. Стилистика написания поста и методика доказательств в нём всегда идентична тексту широко распространившегося письма. Во всех его постах обязательно идёт перечисление, ссылки по рунету, просьба обратиться в правоохранительные органы, преимущественно СБУ (сразу как видите слово СБУ - это он) и бездоказательные утверждения что якобы ему заблокиравали какой-то там WMID. Спамер устраивает обсуждение между своими аккаунтами с высказыванием диаметрально противоположных точек зрения, особенно обожает использовать анонимов там где это позволительно. В этом нет ничего нового, разумеется. Для аккаунтов см. дату регистрации и сравниваем с датами постов - она как правило того же дня. Для всех своих "переписок" он ведёт лог и на любую реакцию реала сразу выдаст свою. Палится достаточно легко. Темы рассказов спамера: "как он борется с FrichX", "как FrichX закрыли правоохранительные органы", "что он FrichX всех здорово обманул" и "что его FrichX - оклеветали".

Письмо которое мы получили (наш реальный e-mail получателя я заменил на [skip], оставил регистраторский на который слали):


Received: from [89.111.167.3] (helo=mx1.r01.ru)
by mailkiller2.gpt.ru with esmtp (Exim 4.69)
(envelope-from )
id 1O69jJ-0003lQ-2k
for [skip]; Mon, 26 Apr 2010 01:51:09 +0400
Received: from web11.ukraine.com.ua ([195.64.184.23])
by mx1.r01.ru with esmtp (Exim 4.69 (FreeBSD))
(envelope-from )
id 1O69jI-000IFQ-Ow
for hackaround.ru@r01-service.ru; Mon, 26 Apr 2010 01:51:09 +0400
Received: from web11.ukraine.com.ua (localhost [127.0.0.1])
by web11.ukraine.com.ua (8.14.3/8.14.3) with ESMTP id o3PLpAiJ007262
for ; Mon, 26 Apr 2010 00:51:10 +0300
Received: (from frichx00@localhost)
by web11.ukraine.com.ua (8.14.3/8.14.3/Submit) id o3PLpAc1007261;
Mon, 26 Apr 2010 00:51:10 +0300
Message-Id: <201004252151.o3PLpAc1007261@web11.ukraine.com.ua>
To: hackaround.ru@r01-service.ru
Subject: =?windows-1251?Q?=CF=F0=E5=E4=F3=EF=F0=E5=E6=E4=E5=ED=E8=E5?=
HACKAROUND.RU
From: frichx@meta.ua
Content-Type: text/plain; charset="windows-1251";
Date: Mon, 26 Apr 2010 00:51:00 +0300
X-Priority: 3
X-Library: Indy 8.0.25 X-R01-ForwardFor: hackaround.ru@r01-service.ru X-DSPAM: Result X-DSPAM: Result X-DSPAM-RESULT: Not detected X-Yandex-TimeMark: 1272232269 X-Yandex-Spam: 1 X-Yandex-Front: mxfront5.mail.yandex.net X-Yandex-Forward: bd4712713e8dd29500c506b6c9bc6a6f

Здравствуйте администратор сайта http://hackaround.ru

Я, почетный член арбитражной комиссии, электронной платежной системы WebMoney, псевдоним - FrichX, заявляю Вам, как представителю Интернет-ресурса hackaround.ru, о том, что располагаю компрометирующими материалами, относительно Вашей деятельности в сети Интернет, которые нам любезно предоставил Ваш хостинг-провайдер r01.ru. Мною, на сайте WebMoney, уже была создана персональная страница претензий http://arbitrage.webmoney.ru/asp/claimsurl.asp?procurl=http://hackaround.ru/ , предназначенная для публикации жалоб на Ваш ресурс, и я предлагаю Вам, добровольно внести пожертвование, направленное на развитие платежной системы WebMoney, для отмены этого негативного процесса.

Пожертвование от Вас, должно быть передано лично мне, ответом на данное сообщение, в виде реквизитов Paymer-чеков, на общую сумму 800 WMZ, не познее 30 апреля 2010 года, иначе, помимо публикации на вышеуказанной странице претензий всех поданных нам претензий на Ваш сайт, я опубликую этот компромат также и в своих личных, многочисленных блогах, таким образом, помимо блокирования вашего WMID, вместе со всеми Вашими электронными денежными средствами, я могу Вам гарантировать существенный отток Ваших клиентов, а может быть и вовсе полное блокирование домена hackaround.ru на стороне реестра.

Вот ссылка на одну из многочисленных моих работ:

http://habrahabr.ru/blogs/infosecurity/85817/ (сотни подобных документов найдете через поиск ключевых слов "FrichX" и например "gullon")

Здесь, как видите, обсуждается ставший вдруг скандальным сайт gullon.eu, некогда безупречной и процветающей испанской кондитерской фирмы Gullon, который был полностью блокирован арбитражным сервисом WebMoney и лично мною, теперь его место вполне может занять HACKAROUND.RU!

Так что не тяните, потому что потом это будет гораздо дороже, а может быть и вовсе станет уже не возможно остановить негативный процесс, инициированный мною. Также хочу Вас предупредить о том, что я не намерен вступать с Вами в переговоры, и в виде ответа на данное предупредительное сообщение, Вы можете отправить мне только реквизиты Paymer-чеков в выше оговоренной сумме, и ничего больше!

FrichX http://frichx.pp.ua/

P.S. Любителям поскандалить, и тем, кто желает обвинить меня в мошенничестве или вымогательстве, советую ознакомиться с официальным опровержением http://malyshev.habrahabr.ru/blog/91160/ К тому же хорошие связи у меня не только в электронных СМИ, доменных регистраторах и хостингах, но и в силовых структурах Украины!


Скриншот моего последующего письма в арбитраж WebMoney. Обращения скрываются под специальным кодом и рандомной ссылкой, по другому никак не показать.

Смотрите (клик):


Итак, аудит:

То что лежит на поверхности

WhoIs?

Domain ID:1483_PPUA-DRS
Domain Name:FRICHX.PP.UA
Created On:16-Mar-2009 23:04:19 UTC
Last Updated On:16-Mar-2009 23:04:19 UTC
Expiration Date:16-Mar-2011 23:04:19 UTC
Sponsoring Registrar:NIC.UA (nic-mnt-cunic)
Status:serverTransferProhibited
Status:serverDeleteProhibited
Registrant ID:TND10-CUNIC
Registrant Name:Евгений Федорич
Registrant Organization:none
Registrant Street1:Ирпенская 72
Registrant Street2:
Registrant Street3:
Registrant City:Киев
Registrant State/Province:
Registrant Postal Code:03179
Registrant Country:Ukraine
Registrant Phone:+380.934323060
Registrant Email:frichx@meta.ua
Блог на ya.ru
  • 20 лет
  • День рождения: 30 мая 1989
  • Киев
Встречается характерная для рассылаемого спама ошибка: "Читать далле..."

Резюме на LegalCamp.org
Студент НТУУ "КПИ". Программирую ~5лет. Создаю сайты ~2года. Навыки: HTML, CSS, JQuery, SQL query, MySQL, PHP, CodeIgniter Framework, Photoshop
Блог на Blogspot.com

Любимые книги * Библия

Резюме на Job4IT.net
  • ICQ 445252050
  • Skype frichx

Резюме на IT-Monsters.com.ua

  • 16.08.07 - 25.08.07 - Рекламное агентство «Зеленый коридор», промоутер ("долго" проработал)
  • 4.02.08 - 18.02.08 - ГКП Телерадиокомпания «Киев», курьер ("долго" проработал)
  • 22.07.08 - 27.12.08 - Предприятие «Джоб5», модератор сайта участие в програмировании функционала сайта (использование технологий: HTML, PHP, Photoshop, MySQL, CSS); системное администрирование сети и компьютеров; частичная модернизация форума на движке SMF.

  • Телефон: 8(093)749-58-25, 8(044)452-23-36
  • Портфолио:
  • Сайт: http://uvolili.com.ua - разработка, дизайн, программирование; Использовались технологии: HTML, PHP, CSS, JavaScript (JQuery), MySQL.

Аккаунты

Хронология деятельности FrichX

22-июн-2007зарегестрирован на blogus.ru, причём у него просят инвайт на http://www.0day.kiev.ua/
04-сен-2007зарегестрирован на форуме, профиль пуст iChip.ru
04-мар-2008общается с администраторами linux.org.ua
08-окт-2008писал темы на job5.com.ua
05-дек-2008зарегестрирован http://frichx.blox.ua
16-мар-2009зарегестрирован http://frichx.pp.ua
??-апр-2009зарегестрирован профиль на blogger.com
14-мая-2009написана заметка "Лохотрон" от Дмитрия Вагина - комментарии анонима
14-мая-2009там же аноним общается сам с собой - 3 поста
15-мая-2010сообщение от имени gamepm.livejournal.com о том что он изложил суть лохотрона Balconi S.P.A. и за это от его имени рассылается спам
16-мая-2010аноним (вероятно тот же gamepm удаливший свой журнал) рассказывает о том что последний "хапнул повесточку от мусоров"
29-мая-2009размещено резюме на it-monsters.com.ua
30-июн-2009написана заметка "ЛОХОТРОН от Gullon = Balconi S.P.A. = ZOTT GMBH & CO. KG" на blogspot.com - первая в этом блоге
01-июл-2009написана заметка "ЛОХОТРОН от Gullon = Balconi S.P.A. = ZOTT GMBH & CO. KG" на frichx.ya.ru - первая в этом журнале
01-июл-2009написана заметка "ЛОХОТРОН от Gullon = Balconi S.P.A. = ZOTT GMBH & CO. KG" на frichx.blox.ua
18-июл-2009просит обменять инвайт на Соцпро на инвайт к Лепре, e-mail: frichx@meta.ua
25-авг-2009написана заметка "ЛОХОТРОН от Gullon = Balconi S.P.A. = ZOTT GMBH & CO. KG" на frichx.livejournal.com
09-сен-2009последнее посещение iChip.ru
07-сен-2009зарегестрирован на welinux.ru
14-сен-2009frichx вступил в webcommuna.ru
21-окт-2009funny и фунтик с регистрацией в день поста общаются про Balconi S.P.A.
22-окт-2009сообщение о мошенничестве Balconi S.p.A./RU
27-окт-2009зарегестрирован на D-Link
30-окт-2009регестрируется только затем чтобы сказать что Balconi S.P.A. - лохотрон
06-ноя-2009зарегестрирован на livestreet.ru
30-ноя-2009frichx спрашивает кому нужны инвайты на Google Wave
12-дек-2009зарегестрирован на blog.i.ua
09-янв-2010участие frichx в спамерской рассылке
23-янв-2010зарегестрирован на autokadabra.ru
17-фев-2010подписывается за спам в защиту дельфинов Дании
25-фев-2010frichx - безработный, резюме с rabota.ua в кэше яндекса, впоследствии удалено
01-мар-2010повторно написана та же заметка "ЛОХОТРОН от Gullon = Balconi S.P.A. = ZOTT GMBH & CO. KG" на frichx.ya.ru
01-мар-2010повторно написана та же заметка "ЛОХОТРОН от Gullon = Balconi S.P.A. = ZOTT GMBH & CO. KG" на frichx.blox.ua
02-мар-2010LiluMi подружился с FrichX
06-апр-2010FrichX - life-hacker
14-апр-2010Anti-FrichX (рег. 14.04.2010) обвиняет FrichX
16-апр-2010сообщение Малышева "Лохотронщики на хабре" пост на хабре
16-апр-2010написана заметка "Внимание! Мое имя оклеветали! (Gullon)" на frichx.livejournal.com
16-апр-2010написана заметка "Внимание! Мое имя оклеветали! (Gullon)" на frichx.blox.ua
16-апр-2010началось обсуждение писем-счастья pervouralsk.ru
16-апр-2010началось обсуждение писем-счастья searchengines.ru
19-апр-2010аноним сообщает о формировании ссылки http://arbitrage.webmoney.ru
19-апр-2010аноним общается сам с собой, сообщает что gamepm подставили
19-апр-2010stlx (рег. 19.04.2010) сообщает о письме-счастья на owebmoney.ru
19-апр-2010FrichX (рег. 19.04.2010) отвечает stlx на owebmoney.ru
19-апр-2010написано объявление на frichx.pp.ua "Внимание! Мое имя оклеветали! Я никогда не писал угрожающие письма, никогда не вымогал денег! НИКОГДА!!Подробнее можно прочитать и ссылка к Малышеву
20-апр-2010аноним внезапно решает сообщить нам что gard и frichx - одно лицо
22-апр-2010началось обсуждение писем-счастья на abonentik.ru
25-апр-2010жж-юзер alexmetalin пишет о письме-счастья с данными
25-апр-2010началось обсуждение писем-счастья на domenforum.net
26-апр-2010получаю письмо от frichx@meta.ua 01:51 Предупреждение HACKAROUND.RU
26-апр-2010пересылаю 02:16 письмо frichx в арбитраж WebMoney
26-апр-2010получаю ответ в 20:06 от WebMoney Support "Это мошенники. Спасибо за сообщение"
26-апр-2010жж-юзер isa_bella пишет о письме-счастья с данными
26-апр-2010началось обсуждение писем-счастья на webledi.ru
26-апр-2010началось обсуждение писем-счастья на habrahabr.ru
26-апр-2010Предупреждение клиентов хостинга Хостинг Центр
26-апр-2010Предупреждение клиентов хостинга Rusonyx
26-апр-2010началось обсуждение письма счастья на composapience.ru, 26-28 апр 2010 аноним активно участвует в обсуждении, очевидно это пытливая для девушки в web Юля, Александр сообщающий про СБУ (см.блог Д.Вагина), Стас и turboStas, Дмирий и Дмитрий Воронов
26-апр-2010началось обсуждение письма счастья на pr-cy.ru
27-апр-2010я поучаствовал в обсуждении письма-счастья
27-апр-2010началось обсуждение писем счастья на volandku.ya.ru
27-апр-2010сообщение от некого energetik555 что он якобы переслал письмо офиц.представителю МВД Украины в России на domenforum.net
27-апр-2010сообщение lilumi в твиттере где он жалуется что его заблокировали, а затем разблокировали на habrahabr.ru из-за FrichX
27-апр-2010началось обсуждение писем-счастья на cishost.ru
27-апр-2010началось обсуждение писем-счастья на green.kirov.me
27-апр-2010Статья "FrichX - лохотронщик" закрыта, а хабраюзер Малышев заблокирован на хабре
28-апр-2010сообщение некого Бортникова, что якобы хостинг на который ссылался frichx его идентифицировал. на webmoney.ru
28-апр-2010Хабраюзера Малышева разблокировали, статья ушла сначала в архив, затем в черновики (вместе со всем обсуждением)
28-апр-2010Предупреждение подписчиков Chelbusiness.ru
28-апр-2010сообщение о письме счастья в блоге finnbell
28-апр-2010сообщение о письме счастья в блоге natusya-kolyu4ka
29-апр-2010frichx.pp.ua выдаёт ошибку 403, а в [..] об этом сообщается от имени Анонима
30-апр-2010сообщение о письме счастья с комментарием анонима
30-апр-2010удалённое сообщение на developers.org.ua в кэше яндекса: frichx@meta.ua 6 час. назад Мутнячек на хосте реальный у меня (frichx.pp.ua и frichx.in.ua), лохи конкретно бузят, но я с админами ukraine.com.ua добазарился за 200 грн. в мес. так что они меня не парят и все нештяк!
30-апр-2010Предупреждение клиентов хостинга McHost.ru
30-апр-2010я выложил скриншот своего общения с WebMoney
30-апр-2010я провёл аудит и выложил сейчас его результаты, а вы его прочитали

Комментариев нет:

Отправить комментарий