Polskie fora, rosyjski łącznik, serbska mafia i iPhone’y za 40% ceny

Reklama

ndz., 05/19/2019 - 18:02 -- zzz

Co mają ze sobą wspólnego fikcyjne forum z dziesiątkami tysięcy postów, nieistniejące przesyłki rzekomo odebrane przez klientów, fanpage ze smoothies i rabat 60% na elektroniku? Oto wyniki naszego nowego śledztwa.

 

Zaczęło się od reklamy na Facebooku, którą zobaczył jeden z naszych Czytelników. „Chcesz kupić oryginalny iPhone XS s Rabatem 60% za jedyne 1900zł? Dowiedz się więcej na Forum…”, poniżej komentarze niedowierzających użytkowników, ponad setka reakcji (głównie śmiejących się buziek). Reklamę opublikowano na fanpage’u „Smoothies Fan Club”, założonym 12.12.2018, przejętym prawdopodobnie półtora miesiąca później – wtedy kończą się przepisy na smoothie, ustępując miejsca poradom dotyczącym zakupu tańszego sprzętu i relacjom z podróży, pisanym częściowo po polsku, częściowo po grecku. Zmienia się też adres strony i zdjęcie w tle.

Facebook podaje, że osoba zarządzająca stroną mieszka na Cyprze, no, to grekę znać musi… albo i nie. Prawdopodobnie korzysta z bota, który pobiera treści z różnych blogów i łączy je w jedną całość. Zrobiliśmy dwa kolaże, żeby to wam pokazać. Pojedyncze zdania, czasem całe akapity są kopiowane m.in. z takich stron jak visitgreece.grrunvel.gratholidays.gricestory.pldziennikipodrozne.com czy intoamericas.com. W przypadku zdjęć robione są lustrzane odbicia, by utrudnić ich namierzenie w sieci.

Wszystkie linki publikowane na fanpage’u, również ten z reklamy, prowadzą na btc-forum.pl. Przyjrzyjmy się dokładniej ofercie p. Adama Canucka – takie bowiem nazwisko widnieje w adresie fanpage’a i tak podpisuje się użytkownik forum, który proponuje „dowolny sprzęt elektroniczny z Kanady za jedyne 40% wartości”.

 

Rzut oka na ofertę

Katalog rzekomo dostępnych produktów jest obszerny, a ceny wyjątkowo atrakcyjne. Przy zakupach w sieci zawsze jednak należy pamiętać, że oferty, które wyglądają na zbyt piękne, żeby były prawdziwe, najprawdopodobniej prawdziwe nie są.

„Jak ja to robię? Naginam wszelakie systemy!” – tłumaczy autor wątku. „Otrzymują Państwo towar z pewnego źródła (oryginalny i legalny), który można sprzedać, podarować lub wykorzystać we własnym zakresie, nie ma żadnego ryzyka!” – zapewnia. Aby cokolwiek zamówić, należy wysłać wiadomość prywatną. „Minimalne zamówienie zaczyna się od 500 USD! Nie widzę sensu realizowania zamówień na mniejsze kwoty!” – pisze Adam Canuck, nadużywając wykrzykników, ale posługując się całkiem dobrą polszczyzną. Reklama na Facebooku zawierała pewne naleciałości rosyjskie (takie jak pomylenie przyimka w wyrażeniu „iPhone XS s Rabatem” czy nieprawidłowa odmiana w sloganie „Rabat 60% na Elektroniku”), ale w przywoływanym wpisie na forum takich błędów nie ma.

„Pracuję wyłącznie z ludźmi życzliwymi i odpowiedzialnymi! Mogę odmówić współpracy bez podania przyczyny” – zastrzega sprzedawca, dodając, że każdemu, kto zamieści na forum opinię i zdjęcie otrzymanego sprzętu, zapewni 20 USD zniżki przy kolejnym zamówieniu. Nie ukrywa jednak, że „priorytetem są transakcje na dużą skalę”. Na forum – jak się okazuje – działa pośrednik finansowy, który dba o bezpieczeństwo zawieranych transakcji. „Opłata odbywa się poprzez Gwarant Serwis, który zabezpiecza transakcję. Swoją część pieniędzy otrzymuję dopiero wtedy, gdy poinformujecie Państwo Gwarant Serwis o tym, że towar został z dostarczony, jest zgodny z opisem oraz nieuszkodzony. Schemat ten sprawdza się od wielu lat” – przekonuje Canuck, a koszt takiej usługi wynosi 3% od kwoty transakcji.

Gwarant Serwis współpracuje z operatorem płatności Payoneer (mało znanym w Polsce, ale nie na tym polega przekręt – z usług tej firmy korzystają m.in. Dailymotion, Amazon, Airbnb, Shutterstock czy Google). Płacić można kartą, przelewem lub używając kryptowalut.

Czas dostawy wynosi do 30 dni roboczych, według sprzedawcy zwykle krócej. W założonym przez niego wątku można przeczytać: „Wysyłamy towar do naszego współpracownika w Europie, który zajmuje się kwestiami finansowymi, celnymi i kwestią deklaracji zgodności. Następnie z czystą dokumentacją wysyłamy go pod wskazany adres odbiorcy. (…) Do produktu załączamy fakturę, równoznaczną z paragonem. Umożliwia to, w razie konieczności, korzystanie z każdego autoryzowanego serwisu na podstawie gwarancji”. Ustaliliśmy, że przesyłkę można śledzić po podaniu jej numeru referencyjnego na stronie adamdelivery.pl – wygląda to tak jak poniżej (dziękujemy Czytelnikowi za zrzut ekranu):

Jak się pewnie domyślacie, przesyłka nie została dostarczona. Mamy też fakturę, wystawioną rzekomo przez Internet Mall Slovakia s.r.o. Dane niby się zgadzają, szkopuł w tym, że od prawie trzech lat siedziba firmy mieści się na innej ulicy, w związku z czym wystawiane przez nią faktury wyglądają trochę inaczej – ktoś tu nie odrobił pracy domowej.

Forum tworzone metodą skopiuj & wklej

Zwróciliście uwagę na datę publikacji postu Adama Canucka? 12.10.2016 i nie jest to data prawdziwa. Domenę btc-forum.pl zarejestrowano 14.01.2019 za pośrednictwem H88 S.A. (dawniej Domeny.pl Sp. z o.o.), co oznacza, że przed tą datą forum nie istniało. Domenę adamdelivery.pl, pod którą działa strona umożliwiająca rzekomo śledzenie przesyłek, zarejestrowano u tego samego usługodawcy 25.02.2019. W obu przypadkach dane abonenta nie są dostępne. Co ciekawe, w cyfrowym archiwum Wayback Machine znaleźliśmy – zamiast kopii forum – taki oto blog:

Jeden z Czytelników zasygnalizował, że czasem ładuje mu się forum, a czasem ten właśnie blog – sami tego nie zaobserwowaliśmy. Na wypadek, gdyby forum miało zniknąć, zrobiliśmy parę zrzutów ekranu.

Hacking z anonimowością na czele, exploity i malware, kopanie kryptowalut, kwestie prawne, a w dziale dla zaufanych użytkowników, obok biznesplanów, zarobek półlegalny i nielegalny. Na dole widzimy imponujące statystyki: „Liczba postów: 85007 • Liczba tematów: 9949 • Liczba użytkowników: 9003”. Wystarczy jednak pomyszkować wśród postów, by przekonać się, że niemal wszystkie zostały skopiowane z innych serwisów, w szczególności z devilteam.pl oraz forum.bitcoin.pl. Iście tytaniczna robota (choć prawdopodobnie zautomatyzowana).

 

Wcześniejsze wcielenia

U góry strony, obok informacji o oficjalnym mirrorze w sieci Tor, można przeczytać, że forum „przeniesiono na nową domenę”. No dobrze, to pod jaką działało wcześniej? Poszperaliśmy na Wykopie i ustaliliśmy, że pod koniec ubiegłego roku „dowolny sprzęt elektroniczny z Kanady za 40% wartości” reklamował na Facebooku niejaki Marcin Kanadyjczyk, linkując przy tym do dark-forum.com. W archiwum Wayback Machine zachowała się kopia oferty.

Domenę dark-forum.com (obecnie nieaktywną) zarejestrowano 25.11.2018 za pośrednictwem firmy NiceNIC.NET z siedzibą w Hongkongu. Dane rejestrującego zostały utajnione, ale przy użyciu serwisu DomainBigData można dokopać się do historycznych wpisów w bazie WHOIS, wykonanych 27.11.2018. Wynika z nich, że domenę zarejestrował p. Jakub Kolbusz z Warszawy posługujący się adresem e-mail założonym w rosyjskim serwisie: iamtogetheryou@rambler.ru. Szybko zresztą namierzyliśmy jeszcze jedną domenę, deliverymarcin.com, zarejestrowaną u chińskiego usługodawcy tydzień później – zgadzają się wszystkie dane prócz adresu e-mail (w tym przypadku jakub.kolbusz@yandex.com – gdyby ktoś nie wiedział, Yandex jest rosyjskim odpowiednikiem Google’a).

W cyfrowym archiwum Wayback Machine nie znaleźliśmy niestety kopii dark-forum.com z interesującego nas okresu ani tym bardziej deliverymarcin.com. Użytkownicy Wykopu są jednak zgodni: Marcin Kanadyjczyk to wcześniejsze wcielenie Adama Canucka, dark-forum.com przeistoczyło się (i to dość szybko) w btc-forum.pl, a deliverymarcin.com zostało zastąpione przez adamdelivery.pl. Inna sprawa, że posty na Wykopie poświęcone obu przedsięwzięciom bardzo szybko znikają, choć ślady po części z nich zachowały się w wyszukiwarce Google, np. taki:

W grudniu osoba posługująca się adresem e-mail wazowski.mike32@gmail.com zamieściła w serwisie ogloszenia.nowy-sacz.pl następującą ofertę sprzedaży:

Zwróćcie uwagę na imię ogłoszeniodawcy – Jakub. Gdzieś już je widzieliśmy, prawda? Wspomniany adres e-mail można namierzyć także w rosyjskim serwisie społecznościowym VK (dawniej VKontakte). We wrześniu ub.r. posługująca się nim osoba chciała kupić lub wynająć konto założone w polskim banku i oferowała za nie do 1000 USD.

Wątki rosyjskie

Okazało się poza tym, że „elektronika z Kanady”, sprzedawana za pośrednictwem btc-forum.pl, była promowana nie tylko na Facebooku, ale też na VK. Jeden z Czytelników przekazał nam zrzut ekranu, z którego wynika, że na stronie vk.com/kanadyjczyk został zorganizowany konkurs, w którym można było rzekomo wygrać sprzęt o łącznej wartości 12 tys. zł. Strona została zlikwidowana zaraz po rozstrzygnięciu konkursu, nagrody raczej nie zostały rozesłane.

Warto też wspomnieć o jeszcze jednym miejscu, w którym można znaleźć „dowolny sprzęt za 40% ceny rynkowej”, ze szczególnym uwzględnieniem iPhone’ów. Chodzi o dark-forum.net, gdzie tak samo jak na btc-forum.pl, produkty Apple’a są „zawsze dostępne”. Z niejasnych dla nas przyczyn autor wątku – podpisujący się jako Quick Cash – zamieścił go w dziale poświęconym cardingowi. Sama oferta jest mniej rozbudowana niż na polskim forum, zmniejszyła się też minimalna kwota zamówienia z 500 do 200 USD (co można tłumaczyć tym, że Rosjanie zarabiają z reguły mniej niż Polacy), czas dostawy skrócił się aż o połowę i to przy tym, że sprzedawca gwarantuje dostarczenie towaru w dowolne miejsce na świecie – nie tylko w Europie jak Adam Canuck.

Podobnie jak w przypadku btc-forum.pl, za sprzęt można (a nawet należy) płacić przez działającego w serwisie pośrednika finansowego. Istnieje też możliwość śledzenia przesyłki, ale nie udało się nam ustalić, na jakiej stronie. Użytkownicy są oczywiście zachęcani do publikacji opinii i zdjęć otrzymanych urządzeń, a o szczegóły zaleca się pytać przy użyciu wiadomości prywatnych.

Domenę dark-forum.net zarejestrowano najpóźniej ze wszystkich uwzględnionych w tym artykule – konkretnie 12.02.2019 – za pośrednictwem firmy Internet Domain Service BS Corp., a dane abonenta skutecznie utajniono. Nie mamy więc pewności, czy za dark-forum.net stoi ta sama osoba (lub ten sam zespół) co za btc-forum.pl i dark-forum.com, widzimy jednak sporo podobieństw w funkcjonowaniu omawianych „biznesów”.

 

„Serbska mafia”

Wpisując do wyszukiwarki tytuł wątku z rosyjskiego forum, czyli „любая техника за 40% от стоимости в магазинах”, natrafiliśmy na ostrzeżenia przed sprzedawcą Српска Мафија, zwanego też bardziej swojsko Serbem, który oferował sprzęt na nieistniejącym już forum ccc.mn. Skorzystaliśmy jeszcze raz z archiwum Wayback Machine i znaleźliśmy rosyjskojęzyczną stronę bardzo podobną do btc-forum.pl.

Interesujący nas wątek także znaleźliśmy. Oferta okazała się do złudzenia podobna do tej z polskiego forum – zarówno pod względem słownictwa czy formatowania, jak i użytych grafik (zwróćcie uwagę na te, które mają uwiarygadniać, że sprzedawca posiada reklamowany towar).

Najstarsza zachowana kopia oferty z ccc.mn pochodzi z września 2017, ostatnia – z października 2018, po tym czasie wątek został prawdopodobnie skasowany (jak wspominaliśmy, w rosyjskiej sieci pojawiło się wiele skarg na Serba). Dla porządku przypomnijmy, że btc-forum.pl powstało dopiero w połowie stycznia 2019.

Samo ccc.mn zniknęło z sieci tydzień temu. A jak długo istniało? Według DomainBigData domenę zarejestrowano 3.02.2015 za pośrednictwem Todaynic.com, forum ruszyło parę tygodni później. Rejestrujący (teoretycznie) nie zadbał o swoją prywatność, stąd wiemy, że domena należy do Aleksandra Sidorowa z Moskwy, który posługuje się adresem e-mail inmyminduaredown@gmail.com. Ups!

Podsumowując, chcielibyśmy jeszcze raz przypomnieć, że podejrzanie niskie ceny markowych produktów zwykle oznaczają tylko jedno – ktoś chce oszukać jak najwięcej osób. Po zebraniu odpowiednio dużej liczby opłaconych zamówień sprzedawca się ulatnia. Za jakiś czas może pojawić się gdzie indziej, nie musi nawet zmieniać schematu działania, bo i tak znajdzie chętnych do przetestowania jego oferty. Uważajcie i ostrzeżcie znajomych.

 

Autor: 
Anna Wasilewska-Śpioch
Źródło: 
zaufanatrzeciastrona.pl

Reklama

plportal.pl