Wpis z mikrobloga

tl;dr Ktoś próbuje mnie wydymać na allegro.

W ostatnim czasie spotkała mnie kolejna próba wyłudzenia na #allegro (sprzedaję kody paysafecard z wysyłką via email). Oczywiście nie dałem się nabrać. Opiszę jednak zaistniały scenariusz, może komuś się przyda.

Kupujący (konto niezarejestrowane) zapewniał, że wpłaty dokonał, przesłał screenshot z banku jako potwierdzenie wpłaty. Przesłał skan dowodu osobistego. Korespondował z dwóch adresów email. Wpłaty, która miała być "zaksięgowana w poniedziałek bo weekend" oczywiście nie było.

Odnalazłem za pomocą facebook właściciela dowodu osobistego. Powiedział, że minimum kilkanaście/kilkadziesiąt osób zostało oszukanych za pomocą jego skradzionego (zgłosił na bagiety) dowodu osobistego.

Przykre jest to, że jak napisał, jestem pierwszą osobą o której wie, a która nie dała się oszukać.

Teraz trochę błędów logicznych/socjotechniki wyjebkowicza:

1. Korespondencja przeciąga się na ~3 dni od daty kupna, a on ciągle pisze, że potrzebuje kodu pilnie, na wczoraj, jakby czas stanął mu w miejscu.

2. Co mi daje skan dowodu osobistego, nie wiadomo kogo?

3. Spreparowany dowód wpłaty z jakiegoś gówno banku, o którym nawet nie słyszałem.

4. Na odchodne kupujący, licząc, że jednak zmięknę prosi w związku z moją negatywną odpowiedzią, abym odesłał w poniedziałek przelane pieniądze na nr konta nadawcy. Blef ostatniej szansy.

Dzisiaj kolejny agent kupił ode mnie z konta "junior".

Ponad 90 komentarzy pozytywnych za kupno oraz 8 za sprzedaż. 0 negatywów. Ostatnia transakcja sprzedaży ponad 6 miesięcy temu. Ostatnie kupno 2 x w styczniu wcześniej w listopadzie. Transakcje głównie na jakieś gówno skiny #csgo.

Gówniak konto email ma zarejestrowane @ gmail, profile na jakichś gówno stronach o counter strike. Profil na kowbojki.pl (???)

Argumentacja kupującego:

"Proszę przesłać kod bo widać, że mam same pozytywy, bo potrzebuje pilnie bo promocja na grę jakaś jest i zaraz się kończy, bo bank mi zamula to kasa będzie jutro"

Ciężko spekulować, że jakiemuś wyjebkowiczowi chciało się przez x czasu tworzyć ślady/historię działalności w internecie nazwijmy to "wiarygodnej działalności szczyla fana csgo" w postaci kont, postów na różnych forach.

Nie widzę natomiast argumentu dzięki, któremu można by mieć pewność, że konto jakiegoś nastolatka, nie zostało przejęte przez niemilca. Środowisko gimboforów dotyczących gier, ściąganie podejrzanych plików/cheatów, słabe zorientowanie gimbusów w zakresie BHP internetu.

Przykro mi więc bardzo, ale nawet jeśli zakupu dokonał u mnie skretyniały gimbus z szczerymi pozytywnymi intencjami, to i tak poczekam na zaksięgowanie wpłaty.

Myślę, nad tym, aby następnym razem spróbować pozyskać realny adres IP od kolejnego ewidentnego wyjebkowicza. Wołam #hacking #tor @ZaufanaTrzeciaStrona @niebezpiecznik-pl , może ktoś podrzuci jakiś pomysł/exploit/patent/etc.

Gdzieś kiedyś czytałem o preparowaniu dokumentu PDF, który wysyła zapytania do zdalnego serwera?

#deepweb #truestory
  • 9
@ZaufanaTrzeciaStrona: Oczywiście również pomyślałem o osadzaniu obrazków w mailu, czy wysłaniu linka. Oczywiście stwierdziłem, że to odpada bo #tor. Dlatego pomyślałem o załączniku do maila. Przy odrobinie szczęścia mogłoby się okazać, że wyjebkowicz zabezpiecza się jedynie za pomocą tor browser i pokusi się o ściągnięcie i otworzenie załącznika bez żadnej prezerwatywy.

Tym tokiem rozumowania wytypowałem pdf.
@goodbye_cruel_world: Głowy nie damy ale chyba większość klientów poczty/otwieraczek do dokumentów domyślnie blokuje zewnętrzne zasoby. Wyślij linka do serwera a w skrypcie zrób warunek blokujący wyświetlanie formularza z IP z Tora i wyrzuć komunikat w stylu "ze względów bezpieczeństwa nie obsługuje anonimizerów" i czekaj aż z zachłanności połączy się ze zwykłego IP.
@goodbye_cruel_world:
@ZaufanaTrzeciaStrona:
Moim zdaniem mała szansa. Wcześniej użyje jakiegoś publicznego proxy czy VPN, nie odsiejesz wszystkich.
Nawet i jeżeli, to dostaniesz numer IP. Co ci to da? Pójdziesz na policje? Może to być słaby dowód.
Olej, jak masz wrażenie, ktoś cię robi w balona bądź stanowczy i czekaj na pieniądze na koncie.
@goodbye_cruel_world: powiem Ci tak dobra wyjebka to taka o której się dowiadujesz ostatni.. Gdzie wyjebkowicz juz dawno się bawi za Twoje pieniądze.
A co do namierzenia.. To życzę powodzenia bo nawet jak byś miał IP i dane to i tak milicja nie pomoże.
jak byś miał IP i dane to i tak milicja nie pomoże.


@bslawek: Jakbym miał adres IP istnieje niewielki % szans, że poinformowanemu o tym fakcie "kontrahentowi" pocieknie rzadka struga gówna w nogawce. Na nic innego nie liczę. No może poza zabawą + zdobyciem doświadczenia.
@goodbye_cruel_world: tylko weź pod uwagę ze ktoś kto się bawi w wyjebki zna przynajmniej podstawy BHP, i wie ze używa się tora, vpnow i mobilnego internetu na kartę.. Albo "publicznej sieci" nie mówię że nie idzie, ale to długa droga gdzie pomoc służb jest pomocna, a taka prawda że nie chce im się zazwyczaj wola umorzyć