| сохранено

H Мошенническое расширение в Google Chrome. Расследование Из песочницы

Эта статья обошлась мне в 3343 рубля, именно столько Я потерял при переводе Litecoin на Qiwi RUB и хочу описать мою историю подробно, чтобы Вы дорогие Хабровчане не наступили на те же грабли что и Я.

Мне нужно было вывести средства с биржи Poloniex в фиат. Для этого Я воспользовался популярным сервисом bestchange, на котором нашел сервис 4exchange.cash, он предложил мне перевести средства по указанному адресу

image

Как ни в чем не бывало Я скопировал жирненький адрес и перевел на него 0.25 LTC

image

Но после всех подтверждений в блокчейне Litecoin, средства на QIWI кошелек так и не пришли.
Я начал писать в тех.поддержку прямо в том же окне браузера, что деньги так и не поступили, на что мне дали ответ никаких транзакций по адресу live.blockcypher.com/ltc/address/LXsw2rNJtwX3J7eimmqEoZh6Cg4n5U6EEM/ не поступало.

Я удивился, что адрес кошелька другой, отличается от того, что был на скриншоте. Последовала долгая переписка с тех поддержкой, где каждая сторона отстаивала свою точку зрения.

Но самое интересное было записано на видео с помощью Camatasia Studio. Там мне удалось снять, как адрес о котором мне постоянно упоминала тех.поддержка менялся автоматически на странице при обновлении, практически мгновенно на другой адрес, на который Я совершил перевод.

Адрес официальный — LXsw2rNJtwX3J7eimmqEoZh6Cg4n5U6EEM
Адрес мошенника — LKyKqLVy6KgyCYekftCHFTBLYiZyUvxtsG

Упёртость тех.поддержки 4exchange.cash и не желание разобраться в моем вопросе наталкивала на мысли о том, что сам сервис является мошенником.

Но потом Я вспомнил, что со мной уже происходил подобный случай около полугода назад. Я менял биткоины на эфириум и мне тоже ничего не выплатили сославшись на то, что Я не совершал перевод. Мне показалось странным что на bestchange уже 2 подобных сервиса занимаются мошенничеством.

Тогда Я предположил, а что если какое-то расширение специально подменило адрес Litecoin кошелька в моем браузере?

Я попробовал совершить перевод на совершенно другом сервисе и оказалось мошеннический адрес вылез и там. Затем Я стал удалять расширения из Google Chrome и обновлять страницу с переводом. Когда Я удалил расширение UBLOCK ADBLOCK PLUS то адрес при обновлении страницы поменялся на другой и тем самым Я сделал вывод, что именно расширение UBLOCK ADBLOCK PLUS подсунуло свой адрес в страницу сервиса 4exchange.cash

Таким образом мои бабосики улетели разработчику этого «замечательного» расширения. Что примечательно при повторной установке, подобных проблем не выявилось. Видимо скрытая «фича» активируется спустя какое-то время, когда бдительность юзера засыпает, он привыкает к этому расширению, не замечает за ним каких-то косяков, а потом бац и включается жесткая монетизация в черной форме.

В связи с выше изложенным прошу компетентных читателей проверить мою теорию, и в случае подтверждения как-то связаться с Google и предупредить их о том, что в их магазине расширений завелась крыса, которая портит карму компании.

Еще поразил тот факт что сервис 4exchange.cash не шел на контакт и с каждым ответом обвинял меня в том, что это Я всё смонтировал и пытаюсь их обмануть. При этом они полные нули в обеспечении безопасности:

  1. Они не проинформировали пользователя о возможной подмене адреса и даже полностью отрицали (переписка) возможность таких событий.
  2. Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F

Мне кажется это просто неприемлемо для сервиса с подобной услугой.
Вывод: будьте внимательны и осторожны при обмене криптовалюты, не используйте браузеры с расширениями!

Спасибо за внимание.
–21
~38700

комментарии (55)

+1
ru_vlad ,  
Вывод: будьте внимательны и осторожны при обмене криптовалюты, не используйте браузеры с расширениями!

Самый правильный вывод! Да и вообще все эти расширения "троянский конь".

+22
nerudo ,  
Если расширение уже по названию пытается маскироваться под два популярных, то есть повод что-то заподозрить…
+14
crea7or ,  
Где расследование?
+7
Xally ,  

Также не совсем понятно, для чего автор этого 'расследования' в местоимении 'я' во всём тексте использует именно прописную букву, а не строчную.

+1
ReakTiVe-007 ,  
«Ведь именно под Моим чутким руководством был создан этот коллектив» Товарищ Бывалов. Фильм Волга-Волга.
0
JackHuman ,  

Такое у него чувство собственного самоуважения. Англоговорящие люди так делают постоянно и даже мы в основном, когда учимся этому языку.

+7
kisskin ,  
за информацию спасибо, а за обвинения сервисов — нет («При этом они полные нули в обеспечении безопасности» — как я вижу, это были не они))))
Да, схема еще новая и в будущем, похоже, станет очень массовой…
0
+1 –1
saege5b ,  
Сбербанк уже на этом нагорел, когда массово через мобильный банк у любителей качать пиратку (андроид) с разных мусорных сайтов, сливали деньги со счетов.
И виноватым сделали именно сбер.
В общем, лохи не мамонты — не исчезнут.
0
kalininmr ,  
а там же недает пользоватся если чтото кривое наблюдается.
даже если рут включен
0
+1 –1
sumanai ,  
Вывод: будьте внимательны и осторожны при обмене криптовалюты, не используйте браузеры с расширениями!

Я бы расширил на все финансовые операции вообще, так как адрес перевода можно поменять и в интерфейсе онлайн банка.
+4
+5 –1
FlashManiac ,  
Ну вы сами виноваты, как бы это грубо не звучит. При установке некоторых расширений у них есть требования доступ к контенту веб страницы. И вы сами даете доступ. С точки зрения обменника они могли бы шифровать а так же сами контролировать поле где указан адрес и подменять его либо информировать юзера о том, что его взломали. Ну и последнее — не используйте малоизвестные расширения и те которые требуют доступ к контенту веб страницы. Вы можете лишиться вообще всех денег )
+1
saege5b ,  
Я всем знакомыым внушаю, что браузеры для просто пошариться в инете и для фин. действий — обязательно разные!
+9
TimsTims ,  
При этом они полные нули в обеспечении безопасности:
А что можно было бы сделать в такой ситуации? Это же аналогичная ситуация, как сайты ноют, что не могут тягаться с Adblock, потому-что он настолько хорошо режет рекламу, что ни один скрипт её не обходит. И тут то же самое — если автор расширения хорош, то он любую «псевдо-защиту» обойдет. Да он вообще может даже тех.поддержкой притворяться если надо.

Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F
Ок, выдавать тогда адрес кошелька картинкой? Но как тогда копировать?
Шифровать скриптом? Но любой скрипт и буквы можно подменить, если у тебя супер-расширение. Более того, при CTRL+C можно изменять буфер обмена так, как хочется: копируешь одно, вставляешь другое…
Я уже молчу о том, что такое расширение вообще может заменить в POST-запросе ваш QIWI-кошелёк НА СВОЙ, а вам везде показывать тот, который вы ввели.
Не стоит винить сайты в том, что у вас на компе водятся вирусы.
+11
+12 –1
old_bear ,  
Если не секрет, зачем личное местоимение 1-го лица везде прописной буквой стоит?
+11
mwizard ,  

Ну как же вы не понимаете, это же Он.

0
sha4 ,  

Да еще почти в каждом предложении..)

0
VANSCoder ,  
Это как в дипломной работе практически каждое предложение начинается с «я сделал то-то то-то» что бы акцентировать внимание на том, что это моя работа и я решил проблему человечества.
+1
JIghtuse ,  

Где такие работы принимают? В России же принято от третьего лица дипломные писать: "автор показал", "проведена работа", вот это всё.

+7
dmitry_dvm ,  
Автор поставил явный скам и жалуется, что скам оказался скамом. Но да, гугловские сторы это та еще помойка.
+1
Marwin ,  

безусловно, спасибо за новость об очередном способе "обмана", но в остальном… простите, но купиться на расширение, явно не являющееся представителем общепринятых "официалов" рынка — это надо быть весьма рисковым человеком. Не спорю, верить нельзя никому, но есть же базовые принципы поведения в инете ради сохранности собственной пятой точки в случае, если вы не компьютерный гуру в третьем поколении.

0
Sergey_datex ,  
Когда устанавливаете приложения, обращайте внимание на полное название и производителя.
Уже пора научиться… Ваше расширение явно вирусное, сайт производителя — пустышка (www.mediadblock.com).
Оригинальное расширение называется AbBlock Plus.
Социальный инжиниринг в действии…
+5
romashko_o ,  
ublock тоже существует, но сайту него — ublock.org, а не указанный автором. Ну и я ожидал как минимум ковыряния кода расширения, а не просто «Наверное, это оно делает плохо».
+3
zapimir ,  
Ну видимо автор решил, что если в названии и ublock и Adblock одновременно то это намного лучше рекламу вычищает.
0
sumanai ,  
А плюс блокирует даже джинсу.
0
jryj ,  
Это сайт старой версии. Последнее обновление от 2015г.

Там уже другой разработчик продолжил дело: github.com/gorhill/uBlock
+1
JIghtuse ,  

gorhill — изначальный разработчик uBlock, сейчас пилит uBlock Origin. Тут можно почитать о драме с форком.

0
gorbln ,  
Adblock
+14
sha4 ,  
прошу компетентных читателей проверить мою теорию, и в случае подтверждения как-то связаться с Google

Ок, спасибо, написали в чатике Брину, отписался что разберется.

0
VANSCoder ,  
Всё новое — это хорошо забытое старое, лет 10 назад любили подменять WM кошельки до того момента, пока не начали блокировать за такое.
+4
hdfan2 ,  
UBLOCK ADBLOCK PLUS

Помнится, в 90-х на базарах тоже продавали магнитофоны Akaiwa и Panasony. Ничего не изменилось.
+6
lostpassword ,  

Автор, радуйтесь, потому что 3343 рубля — это очень скромная сумма за обучение)

0
+1 –1
Canapsis ,  
Это точно)
0
FlamyXD ,  
Здравствуйте. Исправьте, пожалуйста, адрес ссылки на видео. Оно не открывается.
https://www.youtube.com/edit?o=U&video_id=fZ74dUJnvQA
На ссылку ниже:
https://www.youtube.com/watch?v=fZ74dUJnvQA
0
Canapsis ,  
Исправил
0
riv1329 ,  
Интересно, а как пожаловаться на расширение? Неужели нельзя? Получается, там должно буквально все быть завалено вирусами, скамом и шпионящими расширениями.
0
ziginsider ,   * (был изменён)
Пожаловаться всегда можно. На страничке установки расширения есть ссылка «Сообщить о нарушении»:
скриншот
image

Но жаловаться лучше обосновано.
+4
salisbury-espinosa ,  
При этом они полные нули в обеспечении безопасности:
Они не шифровали трансляцию адреса на странице, которая показывается пользователю, т.е. адрес был не зашифрован скриптом, а просто вписан в html код, его можно было найти в коде с помощью ctrl+F


в конечном итоге после выполнения скрипта для пользователя текст всегда будет в браузере в виде html и расширениие, имея доступ к dom модели всегда его сможет получить.
даже если не текстом, а картинкой показывать этот самый адрес, то все равно расширение его сможет подменить на свою картинку и вообще любой объект, который видит пользователь можно извлечь/подменить, просто потому что есть права у расширения для работы с dom…

Вы уж тут сами себе злобный буратино раз ставите левый софт, нет смысла гнать на сервис.
0
Vsemmira ,  
Все требует проверки. Автор изначально не провел расследование, а обманулся сам.
0
fevral13 ,  
У меня расширение в браузере, которое все местоимения «я» в статье КАПСОМ написало ))
+1
Stalker_RED ,  
Это вторая стадия. На первой все «вы» с большой буквы, на второй «я», на третьей — «они».
+7
nox1725 ,  
Не удивлен, что статья и сам Автор улетели в минус, потому что информации в статье практически ноль. Как сам автор рассказал в «претензии» к сервису обмена — таких расширений может быть очень много, так что вся ценность статьи в обнаружении конкретно этого расширения, которое здравомыслящий человек вообще ставить не будет (а параноик те, кто заботится о безопасности транзакций, так вообще будут запускать браузер в виртуалке на чистой системе, без единого расширения).

Но больше всего поразила юношеская истерика автора в общении со службой поддержки. У них, конечно, дефолтный ответ и всё такое, но поведение автора тоже далеко от нормального делового стиля, так что могу предположить, что у поддержки на такой случай есть специальный скрипт ответов. Искренне сочувствую тем, кому пришлось отвечать на претензию автора

Скриншот номер раз:
image

Ну и «вишенка на торте»
image
+1
KoMePcAHT ,  
скачал плагин, ничего подозрительного не нашел, воспроизвести изложенное автором не получилось
+2
Hissing_Bridge ,  

Кроме как стыд, по другому охарактеризовать статью нельзя. Совершенно не разобравшись в чем дело, полез с предъявами и оскорблениями к техподам сервиса. А оказалось что не сервис мошеннический, а автор не кто иной как человечек на букву д из скринов переписки.

+1
Acuna ,   * (был изменён)
Ну так-то обвинять 4exchange, еще и ругаться — как минимум дно. Это как обвинять Сбер в том, что юзер, пользуясь бабушкиным браузером с понаставленными на него тоннами скама неизвестно откуда, удивляется, откуда у него деваются деньги из кошелька. Никакие сторонние сервисы не обязаны давать инструкции по защите от того, что юзер ставит к себе на комп, и/или оправдываться в том, что они знают/не знают. Это не Касперский.

Есть такой тест: детям и взрослым показывают фото, на котором человек бежит, и на котором он спотыкается о скамейку и падает. Спрашивают кто виноват. Дети лет до 7-10 в один голос отвечают, что виновата скамейка. Дети взрослее и взрослые уже ясно понимают, что виноват человек, ибо под ноги смотреть надо. Собссно, картина маслом. Впервые на Хабре сталкиваюсь с тем, что человека начали сливать уже сразу после получения приглашения, но тут я солидарен с обществом.
0
JmAbuDabi ,  
Когда я пополняю счет то несколько раз убеждаюсь, тот ли счет пополняю, во всех окошках и т.д., где это можно проверить. А вдруг не туда полетит(транзакцию-то не отменишь).

Теперь этот сервис называет данное проишествие «Уникальным случаем»))

При подтверждении заявки появляется текст:
Внимание! Техническая поддержка обменного сервиса работает с 10:00 до 20:00 (МСК). Заявки, оплаченные по истечению установленного срока, оплаченные не в полном объеме, заявки с ошибками, заявки с другими «уникальными» случаями, — обрабатываются в порядке очереди только в указанное время работы технической поддержки!
–5
Canapsis ,  
Дофига умные тут сидят.
Надо было то, надо было сё.
Это жизнь, никогда не знаешь что тебя ждёт завтра.
Хотя нет, пользователи хабрахабра знают за всё про всё наперёд.
Умники
+1
nox1725 ,  
Вот этим вот Вы еще раз показали, что минусы Вам дали не зря. Учитесь принимать критику адекватно, да и вообще — учитесь общаться с людьми — в жизни пригодится.

Да и, кстати, 3к рублей — не такая уж большая плата за получение опыта. Многим он обходится намного дороже

p.s. Пользователи Хабра такие же люди, как и я, и Вы. Подумайте о своей реакции, если бы Вы читали подобную статью со стороны. Конечно, объективно оценить ситуацию сложно, у Вас эмоции и т.д., но попробуйте и увидите, почему Вы не правы

Удачи!
0
NBAH79 ,  
Заведите себе для таких вещей отдельный небольшой комп-планшет и не ставьте туда ничего кроме предустановленного Виндовса. Чтонить типа Intel Atom z3735 можно взять очень недорого.
0
luntik2012 ,   (был удалён)
Интересно сочетание склочного характера и неприязни к умным пользователям хабра с желанием писать для этих пользователей статьи. А, глядя на филосовские высказывания, можно подумать, что вы пьяны.
0
xilix ,  
Автор с самого начала задал тон беседы с техподдержкой, шантажируя их тем, что заблокирует их сайт на территории РФ. Хорошо хоть не оскорбился с чувствами верующих и не обвинил в терроризме.

Я не сторонник зековских понятий, но тут явно пахнет словами «западло» и «стукач». Как бы человек не оправдывался, а свою истинную натуру он показал. Еще и оказался в итоге не прав. Лучше б молчал.
+2
Asen ,  

Всегда было банально интересно, каким местом думают люди вроде ТС, ставящие такого рода расширения и занимающиеся обналичиванием криптовалюты в одном браузере и под одним пользователем :)

0
Atos4444 ,  
Заголовок спойлера

–1
+1 –2
Canapsis ,   * (был изменён)
Короче тут мне написал создаетель этого расширения мол, то что я ошибся с расширением и это не его расширение обманывает пользователей а предыдущее с таким же названием.
image

Вообщем он дал ссылку на то приложение которое гугля уже заблокировал а я по ошибке указал его так у него такое же название было.
Мне уже пофиг если честно, но для полной картины он дал ссылку на то приложение:
The extension that was banned by google for doing inappropriate things:
chrome.google.com/webstore/detail/ublock-adblock-plus/fdecnmmdccnkogcidionikojplkjfgie
name: «UBLOCK ADBLOCK PLUS» --> this is the one you had installed

Суть остается сутью — К ЧЕРТУ ЭТИ РАСШИРЕНИЯ
0
VANSCoder ,  
Если один человек сделал вам плохо — это не значит что все остальные люди такие же.
0
va21dim ,  
А если через браузер в режиме инкогнито?