Фишинговая «платежная система» или нет? Как узнать, проверить?

Question

[Ярослав]

Через рекламу на русскоязычном ресурсе про "VPN на год за 1 рубль" попал на сайт vpneuro (точка net). Так как подозреваю (может и зря), что это может быть мошеннический сайт, то не даю прямую ссылку, чтоб не пиарить. По бонус-коду (он там в коде странички даже есть) годовая подписка стоит всего 1 рубль. Заманчиво....

С одной стороны - shut up and take my money! Ну очень сладкое предложение. Даже если и плохой VPN - рубль не жалко. С другой - очень странно... Если можно за рубль купить на год - кто же будет покупать другие тарифы? Они год планируют раскручиваться почти бесплатным VPN, без доходов? Сомнительная стратегия...

При попытке оплаты перекидывает на secure.cardspayhub (точка com). А если набрать cardspayhub (ком, но без secure) попадаем на enot (точка io).

Естественно, идея вводить номер своей карты на непонятном сайте меня немного смутила. (какая разница, рубль или не рубль - зачем мне дарить им номер карты?)

Что я проверил-увидел:
vpneuro зареган в октябре 2022....
cardspayhub зареган в марте 2022. Причем через freenom.com, который бесплатные .tk дает, и который намеренно максимально неудобный, мне кажется, им пользуются только от безысходности. (а он чем-то лучше для регистрации мошеннических .com?)
enot зареган с 2019 (уже хоть как-то) и на namecheap.

У vpneuro - сертификат от LetsEncrypt, у cardspayhub и enot - от CloudFlare. То есть, везде бесплатные, автоматические. Хостятся все на CloudFlare (или через них проксируются).

С одной стороны... в целом техническая сторона их проектов такая же, как и у моих хобби-проектов. Само по себе не криминально.... Но я на своих хобби-проектах не предлагаю вводить номера кредиток, у меня не платежная система (которую, полагаю, делать долго, дорого, и там уж можно и заплатить за сертификат)

В плюс то, что у енота есть два 8-800 номера у cardspayhub - один, это хоть какая-то солидность. На сайте cardspayhub есть оферта от лица ООО «Платежные системы» (от 2020 года, за 2 года до регистрации cardspayhub). Просто кроме этих 8-800 и доменов, я вообще не вижу, чтобы эти "серьезные платежные компании" тратили на что-то деньги (и оставляли финансовый след).

Еще интересный момент, на cardspayhub внизу несколько красивых логотипчиков, в том числе PCI DSS. Это бирюльки для красоты, как награды у казака? Или где-то можно посмотреть-проверить, проходила ли на самом деле компания PCI DSS сертификацию? Насколько я знаю, это достаточно дорогая-сложная процедура (что немного контрастирует с бесплатными сертификатами...) - и по времени - могли ли они ее успеть пройти, если совсем недавно открылись?

Помогите разобраться? Просто если уж я, более-менее компетентный в безопасности в сомнениях - то как мне свысока смотреть на пенсионерок, которых в сети облапошили? Получается, я и сам не могу отличить "разводку для лохов" от маркетингового предложения... (и если на "рубль в год" я насторожился, но на "двести рублей в год" - больше бы доверился).

update: Через их telegram бота взял VPN на 2 часа. Работает (из Литвы). То есть, какой-то VPN функционал за всем этим точно есть.

update 2: Таки решился (вот что с вроде бы умными людьми жажда халявы делает!). Сделал на тинькоффе виртуальную карту с лимитом в 20р, оплатил рубль с нее - платеж не прошел. (хотя 3DS оповещение пришло про запрос перевода на Теле2 - странно). Но так как "не прошел", ВПНа не дали, никакого праздника. Карту тут же заблокировал.

Comments

[rPman]

Вопрос кстати не простой
Под уму сертификат можно было бы проверить, была ссылка для этого, вот по это статья, но теперь она ведёт на 404 страницу, я не смогу найти на сайте ничего похожего

[rPman]

полазил по сайту этого vpn не нашел там тарифа за 1 рубль, тарифы там 8.6тр. в год

есть 1 рубль снятие при подключении карты (чтобы они могли без подтверждения брать оплату автоматически)

[Ярослав]

rPman, введите промокод YEAR22 (он в рекламе был, ну и на страничке в сорцах его найти можно). Там годовой тариф, самый дорогой, до 1 рубля упадет в цене.

Не знаю, зачем мне нужен еще один VPN, и так есть, но из интереса уже хочется завести вирт. карту, оплатить с нее рубль, и посмотреть, что будет. (если и обманут, то каким образом). Но и не хочется... :-)

Answer 1

[Дмитрий Яковенко]

Так как я оказался более смелым, то оформил эту подписку на vpneuro на год за 1 руб с карты где денег не держу. Через 2 дня рубль вернулся. И ровно через месяц на карте три попытки списания 1999, 1490, 990 рублей. VPN работать перестал. Так как на карте денег не было, то получилось что пользовался месяц бесплатно. А так да - сайт мошенников

Comments

[sasmoney]

Почему мошенников? Если это рекуррентный платеж

[Дмитрий Яковенко]

sasmoney, мне было обещано 1 год за 1 рубль. В итоге оформили подписку да еще и скрытно и пытались списать 2000 рублей(фиг его как часто хотели это делать). Причем у меня нет никакого личного кабинета, где я могу посмотреть подписку и изменить ее. На обращения в поддержку они не отвечают. Если знакомство начинается с обмана, ничего хорошего с этого не выйдет

Answer 2

[Василий Банников]

Да, фишинг.
cardspayhub - это мошеннический сайт, который только выдаёт себя за енота, но не является им

На сайте cardspayhub есть оферта от лица ООО «Платежные системы» (от 2020 года, за 2 года до регистрации cardspayhub)

Нужно ещё проверять, что конкретно эти "платёжные системы" существуют, и что у них действительно есть хотябы зарегистрированный товарный знак в лице этого cardspayhub.

PS: Ну и ответ от енота

Comments

[Ярослав]

Но вполне ведь может быть отдельный бренд, проект, того же енота. А сам енот, кстати, не мошеннический? Почему такое убеждение?
Мне, кстати, именно по их "дешевизне" они (cardspayhub и enot) кажутся "братьями". Будто одна IT команда делала, с теми же технологиями и предпочтениями.

[Василий Банников]

Ярослав,

А сам енот, кстати, не мошеннический?

Ну я много раз через него оплачивал. На том же plati ru он используется к примеру.

Но вполне ведь может быть отдельный бренд, проект, того же енота.

Тогда бы енот не стал заявлять о том, что он мошеннический :)

[Ярослав]

Хм... тоже странно.
Может они по какой-то причине не признают его (но он "свой")? (вдруг это "товарищ майор" спрашивает). Я знаю, что некоторые зарубежные платежные системы вышли из России но тщательно не афишируют свое происхождение.

Странно, зачем cardspayhub'у примазываться к почти нонейм еноту, а не, скажем, к сберу, газпромбанку, тинькову или другим более надежным брендам? (sberpayhub .com свободен).

Ну и получается, надежность enot'а тоже основана просто на личном опыте (доверился, не обманули). Не на какой-то предварительной проверке.

Мы тут на хабре, выходит, тоже не можем сами понять, где реальная платежная система, а где нет....

[Василий Банников]

Ярослав,

примазываться к почти нонейм еноту, а не, скажем, к сберу, газпромбанку, тинькову или другим более надежным брендам

Потомучто более крупный бренд быстро абузу кинет и тебе в лучшем случае разрегистрируют домен и отключат сервера.

[Василий Банников]

gd1xza, енот поверх webmoney работает, если я правильно понял. Вот и получается, что за фактическую обработку платежей отвечает webmoney.

Answer 3

[Drno]

Ты из-за такого думаешь еще?))

Единственный 100% адекватный впн - это свой личный. Цена вопроса - 200р / мес на впс

Comments

[Ярослав]

Не, это тоже очень плохой вариант.
1. Зная IP вашего VPN очень легко отследить, кто к нему коннектится из РФ (сюрприз, это только вы, и может еще пара ваших друзей). Мы же исходим из того, что защищаемся то "майора", который контролирует трафик провайдеров.
2. Зная IP вашего VPN можно "пробить" его на разных подконтрольных сайтах. Госуслуги, озон, вайлдберрис, яндекс-доставка, такси, хабр и сопоставить с вашей личностью.

Общий VPN хорошо миксит тысячу юзеров на один IP, а собственный на VPSке - нет.

[rPman]

так "хороший" это от задачи зависит
кто же знал что тебе анонимизация нужна

[Drno]

Ярослав, да как хотите. Sstp фактически не палится