Мы никогда не действуем без тщательного расследования и сбора доказательств. Мы считаем, что владельцем забаненного аккаунта и, соответственно, автором этого сообщения является
BuyCoinFast, которого мы забанили вместе с его австралийским торговым альтом
CryptodileDundee, среди прочих альтов, в мае 2021 года, и мы считаем, что можем доказать это вне всяких сомнений.
Исправление некоторых неточностей в ОП: 1. Его альт был забанен с ~20.5 XMR, а не 35 XMR. Эта цифра завышена на ~75%. 20,5 XMR = примерно 5000 долларов США;
2. На скриншоте разговора с нами в Telegram отсутствует сообщение, в котором мы сказали, что все дальнейшие сообщения должны направляться на нашу электронную почту. Мы требуем этого, потому что чаты Telegram не так легко поддаются публичной проверке, как электронные письма, а в случае с
BuyCoinFast всегда есть высокий риск, что он удалит сообщения, как он сделал со всей историей сообщений между собой и нашими сотрудниками.
Мы не получали от него никаких электронных писем. 3. Мы никому не платим за посты. Члены сообщества изучили доказательства и пришли к выводам.
Доказательства (TLDR внизу):1. Оба аккаунта занимались платежами с помощью третьих лиц в одинаково разнообразном географическом распределении.
Торговый стиль
BuyCoinFast постоянно использовал различные способы оплаты и страны. Если вы посмотрите на предложения его и
Audy, то увидите, что они весьма разнообразны, как в плане способа оплаты, так и в плане географии. Это связано с тем, что
BuyCoinFast не принимает и не отправляет платежи сам, он использует третьих лиц и сам выступает в качестве посредника между ними (брокерство). Посмотрите, насколько сходятся паттерны их объявлений:
А вот некоторые доказательства того, что
Audy использует
платежи третьих лиц, поскольку платежные реквизиты, которые он предоставляет, отличаются от сделки к сделке:
В некоторых случаях вы даже сможете уловить прямое совпадение между местом, рекламируемым
BuyCoinFast и
Audy, возьмем, к примеру, эти два предложения:
По сути, это одно и то же предложение в одном и том же месте. Какова вероятность того, что у двух случайных людей, не связанных между собой, будет предложение "наличными в руки" в таком конкретном месте?
Но дело не только в этом:
2. Идентичные тексты между рекламными предложениями, размещенными Audy и BuyCoinFast, несмотря на то, что "Audy" утверждает, что не знает, кто такой BuyCoinFast.Существует множество примеров похожих/одинаковых текстов между предложениями
Audy и
BuyCoinFast. Мы предлагаем читателям самостоятельно сравнить тексты предложений. В качестве примера, давайте посмотрим на
У нас есть текстовые блоки, которые
идентичны. Вы можете объяснить это тем, что
Audy просто скопировал торговые условия из одного из объявлений
BuyCoinFast, но аккаунт
BuyCoinFast был заблокирован с мая 2021 года, что означает, что их объявления не видны в публичных результатах поиска. Единственный способ увидеть текст предложения - это перейти на страницу пользователя
BuyCoinFast и/или найти прямую ссылку на это объявление. Объявление о получении денег по почте, размещенное
Audy, было опубликовано в ноябре, уже после того, как
BuyCoinFast и его старые альты были забанены. Помните, "
Audy" утверждает, что даже не знает, кто такой
BuyCoinFast:
И это при том, что телеграм-аккаунт "
Audy",
https://t.me/SpikeMilligan, является членом
BuyCoinFast-управляемой Telegram-группы
https://t.me/MoneroUK и
даже писал сообщения BuyCoinFast в этой группе (мы считаем его
сокпаппетом):
3. BuyCoinFast говорит по-русски, "Audy", похоже, не понимает русского языка в Telegram, при этом забывает сменить раскладку клавиатуры с русской на английскую в торговом чате одной из своих сделок и говорит на родном русском в других сделках:На самом деле это не ограничивается одной промашкой, есть целые разговоры, в которых он начинает использовать русский язык. Такой русский, который не поддается автопереводу, со сленгом и неправильно написанными бранными словами:
Все это в совокупности уже является достаточным доказательством, но мы можем пойти еще дальше:
4. BuyCoinFast и его альты, включая CryptodileDundee, выводили монеты еще в мае 2021 года на точно такой же адрес, на который Audy выводит деньги в ноябре 2021 года:Вывод монет на один и тот же адрес с разных аккаунтов в совершенно разные даты - тоже уже достаточное доказательство. Но мы можем пойти еще дальше:
5. CryptodileDundee и Audy оба спровоцировали наш firewall, Imperva, на регистрацию событий безопасности, когда они входили в систему, и Imperva логи событий безопасности показывают, что обе учетные записи вошли в систему с одного и того же IP-адреса в пределах одного дня: Для защиты от DDoS и общих нужд WAF (Web Application Firewall) мы используем
Imperva, потому что они лучшие в своем деле.
Imperva не хранит логи доступа обычной активности, но всякий раз, когда их firewall обнаруживает паттерны, которые он считает подозрительными, он думает, что определенный клиент, заходящий на сайт, может быть ботом, и выдает дополнительные тесты. Иногда это тест cookie, иногда тест JS, иногда тест CAPTCHA, иногда они просто блокируют запрос.
По какой-то причине активность
BuyCoinFast была сочтена
Imperva подозрительной (он известен тем, что использует странные комбинации браузеров, VPN, устройств и ОС, потому что он обращался в нашу службу поддержки, чтобы помочь ему с некоторыми ошибками сайта, которые появлялись из-за нестандартных ситуаций, вызванных его странной настройкой). Итак,
Imperva зарегистрировала два события безопасности:
.
Мы смогли связать событие безопасности 5 октября с
BuyCoinFast в первую очередь потому, что на странице входа указан торговый ID спора, который все еще открыт
BuyCoinFast является покупателем (под своим альтом
CryptodileDundee, который отстранен от торговли, а не забанен полностью, потому что нам нужно позволять ему входить в систему, чтобы отвечать в споре, который все еще открыт с ним). Отсюда мы взяли IP, связанный с этим событием безопасности, и поискали другие события безопасности с этим IP. К счастью, мы наткнулись на второй вход в систему 6 октября.
Внизу каждого из этих изображений мы видим данные для POST-запросов, которые использовались для входа в систему. Код ответа был 200 (OK), что означает, что вход в систему был успешным. Эти запросы содержат имя пользователя, пароль и некоторые другие данные, которые мы используем для обработки входа в систему.
Когда
Imperva регистрирует события безопасности с конфиденциальными данными, например, при входе в систему, она использует соленый хэш для маскировки данных. Размаскировать данные невозможно, поскольку хэши генерируются односторонней функцией. Вот почему здесь написано:
username=TSshzN7eYiVe/Cx3lD2RQgIJb6LHhUgoBOO32E54Az0=
Однако если вы заранее знаете, что вам нужно, то вы можете проверить, действительно ли определенное имя пользователя преобразуется в определенный хэш. В данном случае мы точно знаем, что ищем:
CryptodileDundee и
Audy.
Алгоритм хэширования, который использует
Imperva, - SHA256. Соль, используемая в процессе хэширования, - "t6RwOaRilCUlSqZeXxYH1H8_CrCAi6uA", она добавляется после хэшируемого текста. Наконец, 256-битный шестнадцатеричный выход хэш-функции преобразуется в Base64.
Итак, для проверки того, является ли захэшированное имя пользователя в событии безопасности 5 октября на самом деле CryptodileDundee, мы делаем следующее:
1. CryptodileDundee + SALT = CryptodileDundeet6RwOaRilCUlSqZeXxYH1H8_CrCAi6uA
2.
SHA256(CryptodileDundeet6RwOaRilCUlSqZeXxYH1H8_CrCAi6uA) = 4d2b21ccdede62255efc2c77943d914202096fa2c785482804e3b7d84e78033d
3.
Base64(4d2b21ccdede62255efc2c77943d914202096fa2c785482804e3b7d84e78033d) = TSshzN7eYiVe/Cx3lD2RQgIJb6LHhUgoBOO32E54Az0=
4. TSshzN7eYiVe/Cx3lD2RQgIJb6LHhUgoBOO32E54Az0= равно TSshzN7eYiVe/Cx3lD2RQgIJb6LHhUgoBOO32E54Az0=, следовательно
5. имя пользователя=CryptodileDundee
Тот же процесс для проверки audy (он использовал нижний регистр для входа в систему, наш логин не чувствителен к регистру) против захэшированного значения имени пользователя в событии безопасности 6 октября:
1. audy + SALT = audyt6RwOaRilCUlSqZeXxYH1H8_CrCAi6uA
2.
SHA256(audyt6RwOaRilCUlSqZeXxYH1H8_CrCAi6uA) = 2f8a6a315eb831c369bbd57ac4bb1f13df325bc02741730bae9a8624c459f227
3.
Base64(2f8a6a315eb831c369bbd57ac4bb1f13df325bc02741730bae9a8624c459f227) = L4pqMV64McNpu9V6xLsfE98yW8AnQXMLrpqGJMRZ8ic=
4. L4pqMV64McNpu9V6xLsfE98yW8AnQXMLrpqGJMRZ8ic= равно L4pqMV64McNpu9V6xLsfE98yW8AnQXMLrpqGJMRZ8ic=, следовательно
5. имя пользователя=audy
С помощью журналов событий безопасности нашего firewall и математики мы доказали, что CryptodileDundee и audy вошли в систему с одного и того же IP в течение одного дня друг с другом..
Мы остановимся на этом.
...или нет?
БОНУСНЫЕ ДОКАЗАТЕЛЬСТВА: BuyCoinFast инкриминировал сам себя, забыв стереть EXIF-данные из скриншота, который он загрузил в оригинальном сообщении первой "скам" темы, которой он открыл. Устройство, которым был сделан скриншот совпадает с устройством которым он логинился на площадку как CryptodileDundee 5 октября. При том что устройство относительно редкое: Huawei VOG-L09. А теперь он перезалил этот же самый скриншот, удалив метаданные.
Обратите внимание, что мы выделили User-agent в журнале безопасности
Imperva 5 октября:
User Agent :Mozilla/5.0 (Linux; Android 10; VOG-L09 Build/HUAWEIVOG-L09) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/83.0.4103.106 Mobile Safari/537.36
.
Сравните это с данными EXIF, которые видны в нижней части страницы
загруженного им скриншота:
Точное совпадение. Скриншот, загруженный оригинальным постером в той теме, был сделан с того же устройства, которое BuyCoinFast использовал для входа на свой альт CryptodileDundee на нашей платформе 5 октября. При том что устройство относительно редкое: Huawei VOG-L09.Обратите внимание, что уже в исходном посту этой темы, BuyCoinFast перезалил скриншот уже вырезав эти метаданные. Хорошо, что мы заархивировали его оригинальный скришот в той теме.
TLDR:1. Оба аккаунта занимались платежами с помощью третьих лиц в одинаково разнообразном географическом распределении;
2. Идентичные тексты между рекламными предложениями, размещенными
Audy и
BuyCoinFast, несмотря на то, что "
Audy" утверждает, что не знает, кто такой
BuyCoinFast;
3.
BuyCoinFast говорит по-русски, "
Audy", похоже, не понимает русского языка в Telegram, в то же время забывая сменить раскладку клавиатуры с русской на английскую в торговом чате одной из своих сделок и говоря на родном русском в других сделках;
4.
BuyCoinFast и его альты, включая
CryptodileDundee, выводили монеты еще в мае 2021 года на тот же адрес, на который
Audy выводит в ноябре 2021 года;
5.
CryptodileDundee и
Audy оба спровоцировали наш firewall,
Imperva, на регистрацию событий безопасности, когда они входили в систему, и
Imperva журналы событий безопасности показывают, что оба аккаунта вошли в систему с одного и того же IP-адреса в течение одного дня;
6. БОНУСНЫЕ ДОКАЗАТЕЛЬСТВА:
BuyCoinFast сам себя уличил, забыв стереть EXIF-данные из
скриншота, который он загрузил в
оригинальном сообщении первой "скам" темы, которой он открыл. Устройство, которым был сделан скриншот совпадает с устройством которым он логинился на площадку как CryptodileDundee 5 октября. При том что устройство относительно редкое: Huawei VOG-L09. А теперь он
перезалил этот же самый скриншот, удалив метаданные.