Как заметно украсть домен: история одного мошенника

До этого случая я считал, что мошенники, ворующие аккаунты и домены, это всегда бессмысленные ники, прокси и анонимные кошельки. Но случай, о котором пойдет речь в этой статье, перевернул мое представление о мошенниках.

В этой истории человек, совершивший кражу доменов, даже не думал прятаться. Но обо всем по порядку. Все началось вот с этого сообщения в чате от соучредителя ООО Драгтаймс Юрия Милаева.

Что произошло

Злоумышленник взломал почтовый ящик и получил доступ к аккаунту Инстаграм (90 тыс. подписчиков) и панели регистратора доменов Руцентр, в котором находились домены компании: dragtimes.ru и unlim500.ru.

На резервную почту, которую злоумышленник не сумел взломать, пришло уведомление, и Юрий сразу узнал о потере контроля над доменами и аккаунтом в Инстаграм. С угонщиком удалось оперативно связаться.

Мошенник выбрал доброжелательную тактику, пытаясь убаюкать жертву, и в аудиосообщении многократно выразил свое уважение Юрию. Также он заверил, что все это произошло в рамках закона, хотя, конечно же, украсть домены в рамках закона невозможно.

Кстати, отличительной особенностью нашего хакера является своеобразная трактовка законов. По его логике, если нет пострадавшего, значит нет и преступления. Вот как он оправдывает свой опасный стиль езды в одном из сюжетов канала Москва 24:

Что такое Драгтаймс

Чтобы точнее понимать мотивацию сторон, следует немного рассказать о компании Драгтаймс. И лучше меня это сделает соучредитель Юрий Милаев:

«Драгтаймс – это был просто новый этап совместного увлечения гонками и автомобилями. Мы основали компанию, чтобы было удобно арендовать автодром и организовывать заезды. Коммерческой составляющей здесь не было – каждый из четырех соучредителей работал в своей, не связанной с автомобилями, сфере. Можно сказать, что это была наша такая дорогая игрушка, которая не приносила какие-то прибыли, а наоборот, часто требовала вливания денег. Поэтому выкупать домены за большие деньги не было не только логики, но и экономического смысла. Проще было разместить сайты на других доменах».

Похититель доменов Павел (Изба) Иванов по роду деятельности хорошо знал о компании Драгтаймс. Он посещал гонки и с его слов, его много лет назад Юрий даже подвозил на своей машине.

Взламывая аккаунты или покупая уже взломанные, Изба имел представление, кому и по чем он их будет продавать.

Попытка выкупить

Юрий понимал, что возврат доменов – длинная и дорогая история, требующая привлечения юристов. Кроме того, вопреки своим обещаниям, мошенник все-таки начал вредить компании – в профиле Инстаграма начали выходить бессмысленные посты, а на доменах был поставлен редирект на сайты с проститутками. Это все вынудило Юрия быстрее согласиться на выкуп доменов и профиля. Мошеннику был дан контакт человека, который должен был оплатить. И оплата была совершена.

Но здесь наш хакер подстраховался и создал полную копию своего аккаунта на другом телефоне. После оплаты он заявил, что никаких денег не получал. Более того, теперь он убедился в платежеспособности жертвы и заговорил о том, что такие активы не могут стоить меньше миллиона рублей.

Мошенник открыто демонстрировал свою безнаказанность и полную уверенность, что домены принадлежат ему по праву. Процесс переноса доменов из Руцентра в Рег.ру сопровождался репортажем из офиса регистратора. Это, по мнению мошенника, должно было окончательно убедить жертву в законности отъема доменов.

Вот здесь Павел (Изба) Иванов открыто заявляет, что админит украденные домены.

Мошенник начинает продвигать идею, что доступы он купил, и этим узаконил сделку. Хотя, вот здесь он удивляется, почему на почте не было двухфакторной авторизации, т. е. он не скрывает, что аккаунт был взломан.

Теперь, когда стало понятно, что вести переговоры в доброжелательном ключе не имеет смысла, хакеру явно указали на уголовное преследование за мошенничество. Как ни странно, это произвело обратный эффект – мошенник обиделся на то, что его назвали мошенником. А после того как ему сообщили о намерении через регистратора забрать доступы к доменам, он даже пригрозил судом.

А вот как обиделся махинатор на пост в Инстаграме о том, что мошенники одумались и вернули аккаунт. Изба действительно вернул доступы к Инстаграму, очевидно считая, что самым ценным активом являются домены.

Теперь, кроме «взламывателя», появился еще один виртуальный персонаж – «инвестор», который якобы оплатил покупку взломанного аккаунта. По странной логике мошенника он вообще как бы ни при чем: аккаунты взломал не он, купил их тоже другой человек. И праведный гнев на обвинение в мошенничестве выглядит очень естественно. Мошенник требует извинений, угрожает судом и очередным редиректом доменов на проституток.

После того как требования мошенника стали игнорировать, он начал понимать, что больше платить ему никто не будет, и вопрос возврата доменов переходит в юридическую плоскость. Вся выстроенная ранее логическая цепочка дала сбой, и тут Остапа понесло:

Развязка

Вся прелесть данной ситуации в том, что фактически Павел (Изба) Иванов не завладел доменами. Да, он получил доступ к личному кабинету регистратора Руцентр и возможность менять ДНС сервера. Также он сумел сменить регистратора. Но, несмотря на все эти, казалось бы, серьезные манипуляции, администратор домена оставался неизменным. Это то же самое, что и взлом квартиры. Ее можно сдать в аренду, жить самому или продать ключи от нее, но продать такую квартиру без собственника не получится – Росреестр не признает сделку. Так же и с доменами ru – чтобы сменить администратора, необходимо личное присутствие владельца домена или доверенность от него. Только после этого будет внесена запись в реестр о смене администратора. Мошенник просто умело выдавал себя за владельца доменами, не являясь им. И все эти реверансы и хитросплетения имели единственную цель – получить максимально возможное вознаграждение.

По факту данного случая было направлено заявление в REG.RU с указанием всех мошеннических действий. Компания REG.RU подтвердила прием обращения и начала внутреннее расследование. Уверен, что REG.RU сможет предпринять шаги, чтобы пресечь переадресацию доменов на порносайты и дальнейший шантаж.

По всем фактам, которые изложены в статье, готовится обращение в правоохранительные органы. Благо уверенность в безнаказанности подвела мошенника, и он предоставил огромное количество доказательств своей деятельности: фото, видео и аудиоматериал, по которому не составит труда восстановить всю картину преступления.

Очевидно, что здесь имеет место УК РФ Статья 272, часть 2. Неправомерный доступ к компьютерной информации, совершенный из корыстной заинтересованности – до 4 лет. Часть 3 – совершенное группой лиц – до 5 лет.

И, конечно же, классическая УК РФ Статья 159, часть 1 – мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество.

Когда мошенник повышает ставки, он должен понимать, что жертва вынуждена делать то же самое, привлекая все больше экспертов к делу. А когда начинается разбор ситуации по сути, то все утверждения мошенника сдуваются. В итоге мы имеем слишком самоуверенного и хитрого взломщика, единственной целью которого было получить как можно больше денег.

Если у вас случилась неприятная ситуация с доменом, пишите мне в Фейсбук – чем смогу, помогу.

0
46 комментариев
Написать комментарий...
Stas Sokolov

В моей вселенной этот Павел (Изба) Иванов случайно бы упал лицом об асфальт несколько раз. И только после этого можно было начинать переговоры.

Ответить
Развернуть ветку
Roman Nenznaskiy

Вся эта возня напоминает общение жабы с гадюкой. Все эти драгтаймсы - убийцы на дорогах. 

Ответить
Развернуть ветку
Andrey Fedorov

А помогает им во всем этом (и нам историю описывает) киберсквоттер. Собралась компашка.

Ответить
Развернуть ветку
Алексис Второй

Это команда, которая арендовала(ет) полигон и устраивала(ет) на нём соревнования в полной безопасности для окружающих. Ну, может, кто-то иногда гонял на Киевке по ночам, т.к. в городе смысла ноль — тут, например, никак не реализовать потанцевал 1500-сильного ГТРа.

Ответить
Развернуть ветку
Roman Nenznaskiy

Вы путаете анлим и драгтаймс. 
драгтаймс - это стритрейсеры!

Ответить
Развернуть ветку
Алексис Второй

Анлим500 это мероприятие, Драгтаймс это команда/медиа. Вряд ли вы найдете в публичном доступе материалы с нарушением законов или с призывами гонять в городе, где фигурировало бы хотя бы одно из этих имён. Представьте машину, которая набирает 200 за 6-7 секунд. Как вы представляете такие уличные гонки? Ну может редко кто с рейслоджиком по прямой 400 метров проедет, но им всегда было проще за МКАД выехать. Такое поведение на улицах города всегда плодил и популяризовывал Повидлыч.

Ответить
Развернуть ветку
Кирилл Петровский

Зашел удостовериться, что угнали домен с рег.ру

Ответить
Развернуть ветку
Sergio Mekeda

Наоборот. Он пригнал домены в Рег.ру, но их там заблокировали похоже)

Ответить
Развернуть ветку
Roman

Это уже даже не смешно!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Павел Гросс-Днепров
Автор

Проблема в том кто будет подавать? Владелец доменов нет в стране. Его партнёр, который в свое время не подумал перевести домены на себя?) 

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Марк Самородских

+

Ответить
Развернуть ветку
Алена Кальметова

Шантаж и вымогательство еще. Надо наказывать таких бесстрашных типов. Отвратительная история. Пусть справедливость восторжествует 🤞

Ответить
Развернуть ветку
Sergio Mekeda

Вот это самая показательная цитата: "Да есть лазейки в законе. А кто ими не пользуется?". Больше похоже не на мошенника, а на полумошенника)

Ответить
Развернуть ветку
Dmitri Atname

Так а где в итоге администратор домена? Идет какое-то обсуждение и перевод денег между какими-то персонажами, которые юридически к домену не имеют никакого отношения.

Ответить
Развернуть ветку
Павел Гросс-Днепров
Автор

Администратор домена нет в стране на данный момент,  но планировал приехать в ближайшее время и передать домены партнёру, либо у российского консула в любой стране заявление о передачи домена заверить. Человек, который рулил проектами на этих доменах, вкладывал деньги до сих пор есть ООО совместное с владельцем доменов. 

Ответить
Развернуть ветку
Dmitri Atname

В российском консульстве делается доверенность и отправляется dhl. Это явно дешевле и быстрее, чем препираться с мошенником и платить ему какие-то деньги.

Ответить
Развернуть ветку
Рустам

Это не имеет значения. Возможно направление регистратору заявления, подписанного ЭЦП. Да даже проще. Можно передать домен на другой аккаунт, даже если нет доступа к своему аккаунту. У reg.ru эта возможность есть: https://www.reg.ru/support/domains/perenos-domena/perenos_domenov_vnutri_reg_ru/kak-perenesti-domen-s-odnogo-akkaunta-na-drugoj

Ответить
Развернуть ветку
Самозанятый Енот Полоскун

Салом украинским запахло, не? Вкусно то как пахнет, черт побери. Лайкну и схожу за попкорном...

Ответить
Развернуть ветку
Алексис Второй

Знаю, что у Юрия есть хорошие знакомые, которые могут поспособствовать проведению органами тщательного анализа личности злодея и его жизни с целью выявления других противоправных деяний. :-)

Ответить
Развернуть ветку
N A

Я когда заголовок прочитал "Как заметно украсть домен" - был уверен, что автор расскажет про киберсквоттеров в руководстве некоторых регистраторов. Как зону .рф "пилили" некоторые из этих регистраторов, ну и про прочие интересности. Ан нет, про мелюзгу речь...

Ответить
Развернуть ветку
Sergio Bambaren

Так это u36a, он же Павлик Морозов Избушкин, который когда-то кошмарил форумы на автомобильную тематику.

Ответить
Развернуть ветку
Alex Kavin

А ещё и вымогательство пришить можно. Прям для полноты картины.

Ответить
Развернуть ветку
Grolribasi

История не про рег.ру. Ложная тревога, ребята, расходимся.

Ответить
Развернуть ветку
Саша Миронюк
чтобы сменить администратора, необходимо личное присутствие владельца домена или доверенность от него. Только после этого будет внесена запись в реестр о смене администратора.

извините, можно тут поподробней. Я покупал сайт, домен разумеется в том числе. Переоформление на меня заняло около часа через специальную форму в регистраторе. Перевели как хостинг (перекинули все файлы) на другой, так и регистратора поменяли, я создал аккаунт у регистратора и в рамках одного регистратора с одного аккаунта на другой перекинули домен. Никто не ехал лично к регистратору, все происходило в рамках одной комнаты в Урюпинске.

Или я не прав?

Ответить
Развернуть ветку
Павел Гросс-Днепров
Автор

Владельцу домена нужно подписывать соглашение и приехать с ним в офис к регистратору илм заверить у нотариуса
Мошенник по факту не владелец же этих доменов. Он не сможет сделать возможность онлайн передавать домены итп. 

Ответить
Развернуть ветку
Sergio Mekeda

 Для ru и рф только лично или у нотариуса. Если оформлена онлайн-передача заранее (опять таки лично владельцем или через нотариуса), то можно и онлайн перевести.
Главное убедитесь, что произошла именно смена администратора. Часто делают "полную передачу на другой аккаунт" - это не смена администратора. Домен могут вернуть обратно в любой момент. 

Ответить
Развернуть ветку
Саша Миронюк

спасибо, а как убедиться, что произошла смена администратора? Я не понимаю, через whois показывает private person. А как по другому узнать?  

Ответить
Развернуть ветку
Sergio Mekeda

Вот здесь  https://www.reg.ru введите ваш домен и нажмите whois. Появится ссылка "Написать админстратору". Напишите что-то. Если письмо вам не придет есть повод напрячься)

Ответить
Развернуть ветку
Саша Миронюк

письмо пришло на мою почту, получается ваши утверждения выше вместе с Павлом неверные?

Ответить
Развернуть ветку
Sergio Mekeda

Откуда такой неожиданный вывод?))

Ответить
Развернуть ветку
Саша Миронюк

так как определить истинного администратора то...вы можете ответить?

Ответить
Развернуть ветку
Sergio Mekeda

В панели регистратора зайдите на домен и найдите ссылку "Информация о владельце домена". Все)
У каждого регистратора по-разному)  

Ответить
Развернуть ветку
Саша Миронюк

В администораторе домена указан я, то есть утверждение, что надо лично у нотариуса присутствовать или у регистратора - неверная, странно, я думал Павел компетентен в данном вопросе.

Ответить
Развернуть ветку
Katja Mekeda

Сообщение удалено

Ответить
Развернуть ветку
Sergio Mekeda

У вас маниакальное стремление поймать кого-то на некомпетентности)  В случае из статьи не была оформлена онлайн передача домена. В вашем очевидно была. 

Ответить
Развернуть ветку
Саша Миронюк

причем тут маниакальность? Или вы видите то, что хотите видеть? Меня это коснулось, я решил докопаться и проверить самого себя, в итоге оказалось, что...цитирую:

 Владельцу домена нужно подписывать соглашение и приехать с ним в офис к регистратору илм заверить у нотариуса

утверждение неверное. Причем здесь кого-то поймать? Павел тут вроде авторитет в этом плане, но по факту "докапывания" оказалось, что вовсе необязательно быть лично у кого-то.

Ответить
Развернуть ветку
Sergio Mekeda

С чего вы решили что не верное? Почитайте правила регистрации доменов, а потом уже ввязывайтесь в спор. Я вам объяснил как все происходит, а вы опять ищете подвох)
Вот почитайте здесь сами https://cctld.ru/domains/docs/

Ответить
Развернуть ветку
Саша Миронюк

понял, спасибо, очень практично давать ссылку на многостраничную документацию. Задан был конкретный вопрос, внятного ответа так никто и не дал. Продолжаем искать подвох.

Ответить
Развернуть ветку
Sergio Mekeda

Я все объяснил. Но вы же мне не верите) Читайте первоисточники. Удачи)

Ответить
Развернуть ветку
Всвиторе

Если не собираетесь ничего не делать, то заведите новые домены да и всё. 

Ответить
Развернуть ветку
Пётр Иванов

А ведь может повернуть, что робин-гуд, спасал жителей от драггеров..

Ответить
Развернуть ветку
Рустам

А зачем платили то ему? Как дети малые. Вы думали, что мошенник вернет Вам все доступы и забудет про Вас? Наивность. Надо было сразу подавать заявление в правоохранительные органы и писать обращения регистратору доменных имен, а не ждать, когда после внесения денег Вам все вернут.

Ответить
Развернуть ветку
Павел Гросс-Днепров
Автор

Не я платил и я еще не был вовлечён в эту историю) 

Ответить
Развернуть ветку
Рустам

А, понятно. Но все равно странно слышать, что мошенники так обманывают не только старушек.

Ответить
Развернуть ветку
43 комментария
Раскрывать всегда