Как определить мошеннический сайт

Здравствуйте, уважаемые читатели блога «Мошенникам – нет!», и сегодня – мы расскажем вам о том, как можно проверить, является ли какой-либо подозрительный интернет-ресурс или веб-сайт мошеннически или же он таковым не является.
Автор сообщения на этот раз пожелал остаться неизвестным. С удовольствием публикуем его сообщение.

«О том, как определить достоверность или мошеннический характер сайта, блога или какого-нибудь сервиса.
В Интернете в свободном доступе есть такие сервисы как whois (например его можно найти здесь https://www.nic.ru/whois/) и Архив Интернета (web.archive.org). Допустим, имеем какой-нибудь сайт, вызывающий у нас подозрение.

Прежде всего, пытаемся определить страну сервера или домена. Если на nic.ru такой информации нет (если домены не .com, .org или .net, то может и не оказаться), найдите whois других стран посредством запроса "Whois" в поисковых системах и попытайтесь вбить указанный домен.

Как читать whois

Страна указана в колонке Registrant Country или Admin Country.
Например: Registrant Country:US соответствует США, а Registrant Country:NI стране третьего мира Нигер (не Нигерия, это еще более малоизвестная страна). И если ваш домен оказался в какой-нибудь стране третьего мира, например Турция, Нигер, Нигерия, но сайт на русском языке - не вводите туда номера телефонов, кредитных карт, банковской и финансовой информации - он управляется исключительно мошенниками. Даже не обязательно страна третьего мира, Нидерланды, США, Германия, Уругвай в связке с сайтом, просящей номер кредитной карты уже подозрителен. Легальная компания вряд ли будет открываться на сервере другой страны, а мошенникам самый раз - усложняет возможное следствие мошенничества.

Обращайте внимание на Expiration Date (дата истечения работы домена). Мошенники регистрируют сайты на год, а после появления первых отрицательных отзывов сразу же выставляют домен на продажу. Легальная компания, например интернет-магазин, будет регистрировать домен минимум на несколько лет. Если сайт некоммерческий (например, какой-нибудь блог со смешными картинками) - это еще не обязательно, что чел будет кого-то обманывать. Но если сайт просит финансовую информацию, при этом зарегистрирован на год - это подозрительно.

Обращайте внимание на поля Registrant Email или Admin Email. Легальная компания скорее будет регистрировать домен на корпоративный электронный ящик. Мошенники - на бесплатные сервисы, такие как yandex.ru или mail.ru. Исключение: муниципальные службы, такие как ЖКХ вашего города чаще используют mail.ru и это не всегда говорит о мошенническом статусе домена. Но отличия будут в других пунктах.

Самый частый: PRIVATE PERSON (частная информация недоступна). Во-первых, это тот час же означает, что домен зарегистрирован на физическое лицо (но не юридическое и не муниципальное). Во-вторых: это физическое лицо не хочет сообщать свою информацию в открытый доступ. Автор какого-нибудь смешного блога, разумеется, воспользуется этой услугой, потому что и не собирался ничего продавать. Но если на сайте, предлагающем проверить штраф ГИБДД (или на сайте "типа банка") будет отвечать PRIVATE PERSON при whois-запросе - этот сайт создан мошенниками и вы рискуете вообще остаться без денег на карте, если сообщите что-нибудь на такой сайт.

Пример явно подставного домена: ifolder.in. Сейчас не работает, но может использоваться как клон ifolder.ru для отъема телефонных номеров:

Domain ID:D8057924-AFIN
Domain Name:IFOLDER.IN
Created On:19-Jan-2014 00:06:42 UTC
Last Updated On:05-Apr-2014 11:52:33 UTC
Expiration Date:19-Jan-2015 00:06:42 UTC
Sponsoring Registrar:Business Solutions (R54-AFIN)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:BS_32697675
Registrant Name:K Rajagopalan
Registrant Organization:SSPL
Registrant Street1:AI-93, 9th Main,
Registrant Street2:
Registrant Street3:
Registrant City:Chennai
Registrant State/Province:Other
Registrant Postal Code:600040
Registrant Country:IN
Registrant Phone:+91.9445347860
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:supersoftware@mail.com
Admin ID:BS_32697675
Admin Name:K Rajagopalan
Admin Organization:SSPL
Admin Street1:AI-93, 9th Main,
Admin Street2:
Admin Street3:
Admin City:Chennai
Admin State/Province:Other
Admin Postal Code:600040
Admin Country:IN
Admin Phone:+91.9445347860
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:supersoftware@mail.com
Tech ID:BS_32697675
Tech Name:K Rajagopalan
Tech Organization:SSPL
Tech Street1:AI-93, 9th Main,
Tech Street2:
Tech Street3:
Tech City:Chennai
Tech State/Province:Other
Tech Postal Code:600040
Tech Country:IN
Tech Phone:+91.9445347860
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:supersoftware@mail.com
Name Server:NS1.NAMECHEAPHOSTING.COM
Name Server:NS2.NAMECHEAPHOSTING.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
DNSSEC:Unsigned

Тогда как реальный ifolder.ru зарегистрирован на совершенно другое лицо:

domain: IFOLDER.RU
nserver: ns1.rusfolder.com.
nserver: ns2.rusfolder.com.
state: REGISTERED, DELEGATED, UNVERIFIED
org: Storagelite Investments, Ltd.
registrar: AGAVA-REG-RIPN
admin-contact: clients.agava.ru/whois/admin_contact
created: 2005.08.01
paid-till: 2014.08.01
free-date: 2014.09.01
source: TCI

"АГАВА" - это легальная компания, которой принадлежит одноименный хостинг (один из первых в Рунете, работает с 1996). Несмотря на то, что на момент написания продлен всего на месяц, создан давно. Мошеннические сайты же долго не живут и обычно созданы в этом же году, что и год вашего первого обращения к такому сайту (характерный признак: вы впервые слышите о каком-то сервисе или "заработке" в интернете).

Посмотрите, для сравнения, когда создан и продлен домен "АГАВЫ":

domain: AGAVA.RU
nserver: ns1.agava.net.ru.
nserver: ns1.agava.ru. 80.78.255.2, 2a03:4900:ff01::2
nserver: ns2.agava.net.ru.
nserver: ns2.agava.ru. 80.78.254.2, 2a03:4900:ff02::2
state: REGISTERED, DELEGATED, VERIFIED
org: AGAVA Software Ltd.
registrar: AGAVA-REG-RIPN
admin-contact: clients.agava.ru/whois/admin_contact
created: 1999.02.08
paid-till: 2015.03.01
free-date: 2015.04.01
source: TCI

Бывает, что и легальная компания создает какой-нибудь промосайт или какой-нибудь другой сайт для скалачивания бабла, но ее основной сайт вряд ли будет продлен на месяц, потому что компании выгоднее заплатить за год или на несколько лет, но никак не продлять за месяц, потому что домен - не электричество и его оплата не зависит от активности дата-центра. Промосайты долго не живут, но они не являются мошенническими или вредоносными. Но если это основной сайт "типа компании в интернете, позволяющей заработать" и он создан недавно и продлен всего на месяц или на два (достаточно чтобы получить первых лохов и закрыться) - то это очень подозрительно.
Но даже в этом случае компании не выгодно указывать PRIVATE PERSON -- для легальной компании, это всегда лишняя реклама и потенциальные клиенты, тогда как мошенникам меньше всего надо, чтобы лохи знали их в лицо.
Есть еще другой сервис - Архив Интернета (web.archive.org). Он позволяет просматривать старые сайты и по идее предназначен, чтобы вернуться в прошлое (архив достаточно большой, как-нибудь все равно посмотрите и если помните, и если не помните старый интернет), но его тоже можно использовать для определения вредоносного или мошеннического содержания. Его не следует путать с фишерскими сайтами и фейками банков - там нет никаких форм, везде где нужно было регистрироваться доступны только публичные отделы.

Если Архив Интернета отвечает чем-нибудь вроде (владелец сайта no robots, не совсем помню как по-английски, короче присутствует robots или no robots) - это означает, что владелец сайта по какой-либо причине запретил сайт индексировать в поисковых системах. То есть недоступен не только архиву, но и Яндексу или Гуглу тоже - например, потому что является мошенническим (клон социальной сети, банка, почты, любого подобного сайта для отъема мобильного телефона или кредитной информации). Делается это по простому алгоритму: ссылку вбухаем лоху, а компания, вроде социальной сети не найдет клон в поисковых системах.

В ряде случаев, можно провести простой запрос: /robots.txt. И если вы там видите:

User-agent: *
Disallow: /*

Это значит, что сайт запрещен для поисковых систем. Обратите внимание, что лучше проверять по Архиву Интернета (там будет что-то вроде robots или no robots или no index, полностью по-английски не помню название).
Это потому что подобная информация может содержаться и в html-коде (ПКМ -> просмотреть исходный текст). Но там и тэги другие, и нет никакой гарантии, что грамотный мошенник не зашифрует информацию. Бессмысленный набор знаков - он может содержать все что угодно, в том числе и Disallow. Можно воспользоваться онлайн-сервисами для расшифрования-зашифрования javascript, чтобы удостовериться наверняка. Сюда часто прячут и баннеры.
Еще для любителей просматривать html-текст подозрительного сайта, вы можете наткнуться на относительно новые тэги, какие как или . На эти можете не обращать внимание (они также расшифровываются, но уже другими онлайн-сервисами).
Часто в них прячут только баннеры, чтобы их не смогли убить программы вроде AdBlock фактически делая из баннерорезалки лоха, который все равно будет просматривать виагру и рекламу БАДов. Напоминаю, что сайт уважаемой компании не будет портить себя баннерами, потому что основной бизнес им приносит достаточно денег, чтобы покрывать расходы на сайт. Тогда как мошенники до появления первого лоха живут за счет баннеров и наличие большого количества бейсов на сайте, который просит номер телефона или кредитной карты - весьма сомнительная авантюра, чтобы что-то туда вводить.
Пример:

"javascript" "base64" "base128"
Вместо "" идут знаки '<' '/>'
Тут все обрезано…

Еще часто информацию для запрещения контента в поисковых системах прячут в .htaccess. Это файл без расширения, в начале которого следует точка - создать его можно на Linux-системах, где и работает основное количество сайтов. Этот файл может иметь как такое же имя, так и любое другое, но вы не сможете его вызвать из браузера. В Linux часто установлено право "чтение только владельцем [сайта]". Оно срывает любой вызов этого файла конечным компьютером нашего браузера, что также на руку мошенникам - они могут запретить сайт для поисковых систем, но пользователь ни о чем догадываться не будет. Даже если сайт работает всего 2 месяца, его часто индексирует Архив Интернета, но если тот выдает no robots (надпись будет красной) - очень подозрительно.

Разумеется, в "нормальных", не мошеннических условиях, бывает что владелец сайта прячет определенные разделы (не обязательно мошеннические). В robots.txt, если он открывается и информация размещена там, можно найти уже другие строки:

User-agent: *
Disallow: /имя раздела

Например:

User-agent: *
Disallow: /pda

Запрещает версию для мобильных устройств и устраняет дубли в поисковой системе. Если присутствует звездочка - сайт запрещен для любой поисковой системы с любого раздела. Часто присутствует на мошеннических сайтах, например дубликатах социальных сетей для угона сотовых телефонов (лоху ссылку подкинем, а компания-владелец сайта не найдет дубликат в поисковой системе).
Разумеется, настоящие банки тоже запрещают ряд разделов, например регистрационную форму, форму выдачи кредита, потому что поисковик - бот, кликающий по всем ссылкам подряд их потенциальным кредитором, точно не является. Но эта информация вряд ли будет размещена в robots.txt и доступна всем в том числе хакерам, которые узнают, где находятся наиболее представляющие интерес разделы (скорее в .htaccess, если он вообще имеет такое имя на сервере - сисадмин может установить любое случайное имя файла).

Также читайте отзывы о потенциальных мошенниках:

В арбитаже WebMoney. Все положительные - подозрительно, потому что хотя бы один отрицательный отзыв имеет даже легальная компания, вроде freelancer, эльдорадо и прочие известные сайты, практически всегда кто-нибудь не доволен.
Сертификат WebMoney еще ни о чем не говорит. Например, насколько мне известно, можно создать аккаунт, "забыть" о нем год и если год не будет никаких жалоб - можно претендовать на сертификат и начать обманывать лохов прямо сейчас. Никто, включая админов WebMoney не может гарантировать, что паспортная информация будет соответствовать действительности - нужен запрос на проверку, запросы делаются уже от пострадавших. Мошенникам на руку такие законы, пока докажут что пирамида - есть пирамида, лох уже обманут.
Если отзывы в WebMoney уходят на премодерацию, при этом публично опубликованы только положительные - это также подозрительно.
Наконец, проверьте сам сайт. Если отзыв не может быть добавлен пользователем, например админ якобы опубликовал "счастливые письма людей, которым помог" якобы полученные ранее (якобы - потому что через интернет доказать подлинность чего-либо невозможно), но нет формы для добавления собственных отзывов - это подозрительно (оно и понятно, любой может написать, что сайт создан для окучивания лохов).

Как проверить фотографию на дубликат

Есть такой сервис http://www.tineye.com
Сливаете туда картинку и получаете список сайтов, где уже размещено это фото или картинка. Например, логично, что новоиспеченный богатый админ добавил свои детские фото, но какой резон, если они находятся в социальных сетях и на самом деле принадлежат пользователям с совершенно другой фамилией? Таким же макаром можно проверить псевдопутешествия или подлинность объявления о продаже какой-либо вещи Б/У. Вещь-то одна, но какой резон использовать фото откуда-либо еще, может потому что этой вещи и вовсе нет?»
Может быть такой вещи или услуги вовсе нет и никогда и не существовало? Тоже верно, также напоминаю, что свои комментарии и сообщения вы можете оставить чуть ниже, помогите другим избежать мошенничества!