Opet "Gazprom" finansijska prevara, pojavljuje se i Novak Đoković - Printable Version

Bezbedan Balkan

Opet "Gazprom" finansijska prevara, pojavljuje se i Novak Đoković - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost privatnih resursa (https://bezbedanbalkan.net/forum-12.html)
+--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-16.html)
+--- Thread: Opet "Gazprom" finansijska prevara, pojavljuje se i Novak Đoković (/thread-1455.html)

Opet "Gazprom" finansijska prevara, pojavljuje se i Novak Đoković - milos_rs - 05-09-2024

Verovatno ista dugogodišnja ekipa od prethodno dokumentovanih "gazprom" kampanja:

Novak Đoković iskorišćen za novu finansijsku prevaru

fake Gazprom investiciona platforma

Internacionalna finansijska prevara (phishing)

Kampanja koja je ovde prikazana se vodi preko fejsbuk reklama, predstavljajući se kao "MP Republike Srbije" tj. Ministarstvo Privrede:

Filename: fb1.jpg Size: 107.26 KB 05-09-2024, 09:06 PM

profil sa kojeg su oglasi je facebook .com/profile.php?id=61559162648637

airosohoa .com domen:

Code:
Creation Date: 2024-05-01T14:02:06

Registrar Registration Expiration Date: 2025-05-01T14:02:06

Registrar: TUCOWS, INC.

Link sa oglasa vodi na airosohoa .com/?utm_creative=%7B%7Bgm14%7D%7D&utm_campaign=%7B%7B512031886817959%7D%7D&utm_source=%7B%7Bfb%7D%7D&utm_placement=Facebook_Desktop_Feed&adset_name=%7B%7Bgm14%7D%7D&fb=314859478183155

izgleda ovako kada se otvori:

Filename: fullpage2.png Size: 1.96 MB 05-09-2024, 09:09 PM

zanimljivo je i da učitava nešto sa legitimnog sajta Ministarstva Privrede: privreda.gov .rs/apple-touch-icon.png što znači da bi administratori sajta mogli u logovima videti sve IP adrese koje su se povezivale na prevaranski sajt, tako što će pretražiti u logovima učitavanje ovog fajla sa referrerom prevarantskog sajta.

kliktanje na bilo koji dostupan link na gornjoj stranici dalje vodi na airosohoa .com/?_lp=1&_token=uuid_3blvnvlcsor_3blvnvlcsor663d2de9351648.23861568 ali ovaj link je promenljiv nije uvek isti ali uvek otvara istu stranicu:

Filename: gaz1.png Size: 584.06 KB 05-09-2024, 09:10 PM

Filename: gaz2.png Size: 1,002.83 KB 05-09-2024, 09:10 PM

Filename: gaz3.png Size: 183.76 KB 05-09-2024, 09:10 PM

Filename: gaz4.png Size: 429.34 KB 05-09-2024, 09:10 PM

Filename: gaz5.png Size: 256.51 KB 05-09-2024, 09:10 PM

Ova stranica se u stvari nalazi na airosohoa .com/lander/sr-gazprom-2/

Pokušao sam se registrovati, registracone podatke šalju na airosohoa .com/lander/sr-gazprom-2/api.php

Nekad se na ovakvim prevarama dobijao direktno pristup platformi za "trejding", ali sada izgleda vrše neke verifikacije ili kontaktiraju preko vibera/WA/itd:

Filename: regi.png Size: 39.65 KB 05-09-2024, 09:11 PM

Svi sajtovi se kriju iza Cloudflare-a

Stranica iz fb kampanje je sakrivena i samo specifičan link je otvara i to verovatno samo iz Srbije.

Glavna stranica ovog domena je lažna stranica neke lažne organizacije "GlobalArtChronicles" i izgleda ovako:

Filename: airosohoa.png Size: 1.22 MB 05-09-2024, 09:12 PM

putanje na sajtu izgledaju ovako: airosohoa .com/lander/---------white-1/index.html

kontakt na tom sajtu [email protected] - domen ne postoji

drugi kontakt na tom sajtu [email protected] - domen ne postoji

Ali guglajući stvari sa sajta sam našao neke povezane domene...

izgleda da je ovde nekad bio isti ovaj sajt , sada domen ne radi:

sambosola.com

Code:
Creation Date: 2024-01-17T13:40:15.00Z

Registrar Registration Expiration Date: 2025-01-17T13:40:15.00Z

Registrar: NAMECHEAP INC

povezani domen sa potpuno istim sajtom trenutno aktivan:

annenuno.com

Code:
Creation Date: 2024-04-14T20:20:30

Registrar Registration Expiration Date: 2025-04-14T20:20:30

Registrar: TUCOWS, INC.

našao sam da stranica sa prvog sajta otvara sliku sa ovog sajta koji je sumnjivo sličan ali na italijanskom i sa drugim kontakt podacima (naravno lažnim):

rnafor.com

Code:
Creation Date: 2024-04-03T19:33:58

Registrar Registration Expiration Date: 2025-04-03T19:33:58

Registrar: TUCOWS, INC.

putanje sajta su slične prvom pronađenom sajtu: rnafor .com/lander/---------it-1---white/index.html

sajt izgleda ovako:

Filename: italo2.png Size: 1.78 MB 05-09-2024, 09:13 PM

RE: Opet "Gazprom" finansijska prevara, pojavljuje se i Novak Đoković - milos_rs - 05-19-2025

gazprom prevara još uvek u opticaju preko facebook oglasa...

Filename: gp1.jpeg Size: 611.55 KB 05-19-2025, 07:09 PM

Link trenutno ne otvara prevaru nego mamac koji izgleda kao običan sajt ali očigledno je mašinski osmišljen i preved na srpski jer nema mnogo smisla.

Code:
https://sigurnagrejanje.com/?utm_content=RS_gazprom_img_income_3&utm_medium=Facebook_Mobile_Reels&utm_campaign=Gazprom-RS-LP4-2764-NoLN-FBinst_1805&utm_source=a10_246650508289625_RS_gazprom_img_income_3+-+Copy&fb=1372991623848679&fbclid=IwZXh0bgNhZW0BMABhZGlkAasiWDdCBtQBHk8tVVr3Wm6eKQg2z3rAlN1hIR4kIJl9jS0BMWSoQJ4m2aqLHs3Y6ZXoqXLT_aem_fthUOe3Gsf5tgX6CI_q11g&utm_id=120227577313920548&utm_term=120227577323410548

Sajt je klasično na Cloudflare-u ali zanimljivo je da nije upaljena zaštita whois podataka na registraciji domena :

Code:

Domain name: sigurnagrejanje.com

Registry Domain ID: 2984453720_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.namecheap.com

Registrar URL: http://www.namecheap.com

Updated Date: 0001-01-01T00:00:00.00Z

Creation Date: 2025-05-18T18:09:11.00Z

Registrar Registration Expiration Date: 2026-05-18T18:09:11.00Z

Registrar: NAMECHEAP INC

Registrar IANA ID: 1068

Registrar Abuse Contact Email: [email protected]

Registrar Abuse Contact Phone: +1.9854014545

Reseller: NAMECHEAP INC

Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited

Domain Status: addPeriod https://icann.org/epp#addPeriod

Registry Registrant ID: 

Registrant Name: Amanda Watson

Registrant Organization: Podoroznyk

Registrant Street: CentraRajons 

Registrant City: CentraRajons

Registrant State/Province: Riga

Registrant Postal Code: LV-1001

Registrant Country: LV

Registrant Phone: +371.24667391

Registrant Phone Ext: 

Registrant Fax: 

Registrant Fax Ext: 

Registrant Email: [email protected]

Registry Admin ID: 

Admin Name: Amanda Watson

Admin Organization: Podoroznyk

Admin Street: CentraRajons 

Admin City: Riga

Admin State/Province: Riga

Admin Postal Code: LV-1001

Admin Country: LV

Admin Phone: +371.24667391

Admin Phone Ext: 

Admin Fax: 

Admin Fax Ext: 

Admin Email: [email protected]

Registry Tech ID: 

Tech Name: Amanda Watson

Tech Organization: Podoroznyk

Tech Street: CentraRajons 

Tech City: CentraRajons

Tech State/Province: Riga

Tech Postal Code: LV-1001

Tech Country: LV

Tech Phone: +371.24667391

Tech Phone Ext: 

Tech Fax: 

Tech Fax Ext: 

Tech Email: [email protected]

Name Server: algin.ns.cloudflare.com

Name Server: aspen.ns.cloudflare.com

DNSSEC: unsigned

Ako pretražimo ovu mejl adresu, nađemo još domena koji su registrovani sa istim podacima :

solvehelmet.online
awfulwhat.online
noticias-elpais.online
inesem-digital.com
horizoniquehunt.com
pulsevintage.online
whipshy.online

sajtovi očigledno namenjeni sličnim finansijskim prevarama drugde na svetu, neki su i aktivni, neki takođe imaju mamac sajtove koji su veoma slični ovom za gazprom prevaru.

RE: Opet "Gazprom" finansijska prevara, pojavljuje se i Novak Đoković - milos_rs - 06-16-2025

Na instagramu se pojavljuju oglasi za klasičnu finansijsku prevaru:

Filename: snapshot1.jpg Size: 150.89 KB 06-16-2025, 09:31 AM

Sajt je tipičan, lažni hvalospevi zarada, uz AI generisane slike:

Filename: snapshot2.jpg Size: 195 KB 06-16-2025, 09:31 AM

Filename: snapshot4.jpg Size: 220.68 KB 06-16-2025, 09:31 AM

Filename: snapshot5.jpg Size: 183.24 KB 06-16-2025, 09:31 AM

Filename: snapshot6.jpg Size: 185.94 KB 06-16-2025, 09:31 AM

Filename: snapshot3.jpg Size: 132.68 KB 06-16-2025, 09:31 AM