Hacker News Digest

41-летний украинец Юрий Игоревич Рыбцов, известный под ником MrICQ, разработчик вредоносного ПО Jabber Zeus, арестован в Италии и экстрадирован в США. По данным следствия, его группа крала десятки миллионов долларов у американских компаний, используя модифицированный банковский троян ZeuS, который отправлял уведомления через Jabber при вводе одноразовых кодов. Рыбцов, упомянутый в обвинительном акте 2012 года как "Джон Доу №3", отвечал за уведомления о новых жертвах и отмывание денег через электронные валютные обмены.

Группа Jabber Zeus специализировалась на атаках "человек в браузере", модифицируя платежные ведомости компаний и добавляя "денежных мулов", recruited через схемы удаленной работы. В апреле 2025 года Рыбцов проиграл апелляцию против экстрадиции, а 9 октября прибыл в Небраску под стражей ФБР. Интересно, что Рыбцов и лидер группы Вячеслав "Танк" Пенчуков (приговоренный в прошлом году к 18 годам тюрьмы и штрафу $73 млн) жили в одном донецком здании.

• В обсуждении поднимается вопрос, почему киберпреступники, несмотря на международные ордера на арест, продолжают путешествовать и попадаются в итальянских и греческих аэропортах.
• Участники обсуждают, что влияние фотографий на восприятие: сначала вызывает сочувствие к «бедняжке», но стоит увидеть фото в пижаме и с трофейной женой, как мнение меняется на 180°.
• Обсуждается, что, поскольку подозреваемые в преступлении не могут знать о наличии ордера в другой стране, они продолжают путешествовать, пока их не арестуют.
• Также поднимается вопрос, как вообще можно было бы узнать о наличии ордера в другой стране, если бы не арест в аэропорту.

Более 70 стран подписали историческую конвенцию ООН по киберпреступности в Ханое, создав первый глобальный механизм противодействия цифровой преступности. Среди подписантов оказались Великобритания, ЕС, Китай, Россия, Бразилия и Нигерия, однако США, чьи представители присутствовали на церемонии, отказались подписать договор. Генсек ООН Антониу Гутеррес охарактеризовал киберпространство как "плодородную почву для преступников", отмечая, что киберпреступность ежегодно наносит мировой экономике ущерб в $10,5 трлн.

Конвенция устанавливает новые механизмы для координации правительств, отслеживания преступников и помощи странам Глобального Юга в борьбе с киберпреступностью. Это первый международный договор, криминализирующий интернет-зависимые преступления и признающий распространение интимных изображений без согласия преступлением. Однако документ подвергается критике со стороны технологических компаний и правозащитных организаций, опасающихся, что он может быть использован авторитарными режимами для подавления инакомыслия и создания тотальной системы слежки.

• США отказались от участия в конвенции, подписанной Россией, Китаем, КНДР и ещё 70 странами, что вызвало широкое обсуждение.
• Критика конвенции включает опасения, что она может быть использована для оправдания массового надзора и нарушения прав человека.
• Обсуждение также затронуло вопрос, что такие страны, как Россия, Китай и Северная Корея, подписавшие конвенцию, сами являются источником и/или бенефициаром киберпреступности.
• Участники обсуждения также отметили, что конвенция может быть использована для оправдания транснационального обмена данными и создания глобальной системы слежки.
• Некоторые комментаторы также выразили обеспокоенность тем, что конвенция может быть использована для преследования исследователей в области безопасности и журналистов, а также для преследования политических активистов.
• Некоторые участники обсуждения также отметили, что конвенция может быть использована для оправдания нарушения приватности и слежки за гражданами.

Европейская полиция успешно завершила операцию по ликвидации крупной киберпреступной сети. Спецоперация была направлена на борьбу с организованной преступностью в интернете, которая использовала поддельные учетные записи для своих незаконных действий.

В ходе расследования было обнаружено и закрыто 49 миллионов фальшивых аккаунтов, которые использовались для мошенничества, распространения вредоносного ПО и других киберпреступлений. Эта операция стала значительным успехом в борьбе с киберпреступностью в Европе.

• Совместная операция Europol и Shadowserver Foundation привела к крупнейшему в истории закрытию сети из 49 млн фальшивых аккаунтов, что стало самым крупным в истории.
• В ходе операции были конфискованы 1200 SIM-боксов с 40 000 активными SIM-картами, что вызвало дискуссию о том, как операторы могут отличить обычных пользователей от ферм, если вообще могут.
• Обсуждение вызвало вопросы о том, какие именно преступления были совершены, и какова роль операторов в этом, а также о том, что считается преступлением в контексте использования фальшивых аккаунтов и какова роль операторов в этом.
• Участники обсуждали, что такое "фальшивые аккаунты" и какова роль операторов в этом, а также о том, что считается преступлением в контексте использования фальшивых аккаунтов.
• В конце концов, обсуждение пришло к выводу, что важно различать фальшивые аккаунты и что операторы должны играть свою роль в предотвращении злоупотреблений.

Dreamwidth Studios использует CAPTCHA для проверки пользователей, чтобы предотвратить автоматизированные запросы и защитить платформу от спама и злоупотреблений. Пользователям предлагается пройти проверку перед выполнением действий, таких как вход в систему или публикация контента. Это стандартная мера безопасности, распространённая на многих веб-сайтах для обеспечения честного использования ресурсов.

Помимо CAPTCHA, сайт предоставляет дополнительные опции: восстановление пароля, вход через OpenID и настройки учётной записи. Также доступны разделы для создания аккаунта, исследования контента и покупки услуг, что делает платформу удобной и многофункциональной для пользователей.

• Рекомендации по обращению в правоохранительные и государственные программы по борьбе с киберпреступлениями (Калифорния, ФБР) и к юридическому совету компании-владельца сервиса подписания.
• Обсуждение уязвимостей и недостатков цифрового подписания PDF-документов, включая возможность подделки метаданных и необходимость встроенной криптографической проверки.
• Предложения по юридическим действиям: от требования возврата депозита до подачи гражданского иска или уголовного дела за подлог документов.
• Важность наличия нескольких заверенных копий документа (в т.ч. цифровых) на случай спора, по аналогии с традиционной практикой у нотариусов.
• Отсутствие финального разрешения ситуации с агенством на момент обсуждения; автор составляет жалобу в государственный департамент.

Как работает «свинобойка»

1. Крючок – случайное СМС/мессенджер: «Привет, Анна?» → жертва отвечает.
2. Сборка личности – 5-7 дней лёгкого флирта/дружбы; выясняют доход, семью, кредитку.
3. Платформа-ловушка – переводят в WhatsApp/Signal, сбрасывают ссылку на «криптобиржу» (поддельная).
4. Первый кэш-аут – просят внести $100-500, показывают +20 % прибыли за 2 дня.
5. Откармливание – «эксклюзивный пул», «контракт с ограниченным входом»; жертва несёт кредитки, займы, продаёт авто.
6. Нож – когда вклад >$50 k, счёт «замораживают» под предлогом налога/маржи; требуют ещё.
7. Исчезновение – чат удаляют, сайт закрывают, номер выбрасывают. Средний цикл: 40-60 дней.

Цифры

• 75 % пострадавших – мужчины 30-55 лет.
• Средний убыток: $180 тыс. (макс. в кейсе – $2,3 млн).
• 60 % денег выводится через Tether на биржи без KYC за 12 минут.
• 1 оператор ведет 8-12 «свиней» одновременно.

Схема техов

• SIM-банки + Google Voice для спуфинга.
• Фейковые биржи клонируют MetaTrader; баланс правят в Postgres.
• Обнал через DeFi-миксеры (Tornado, Railgun) → китайские овер-де-Каунтеры → юань наличными.

Признаки

• Незнакомец пишет первым, фото украдено у модели.
• Речь о «внутреннем сигнале» или «арбитраже USDT».
• Сайт младше 3 месяцев, SSL от Cloudflare, домен .vip/.top.
• Прибыль ровно 18-22 % в неделю.

Что делать

• Проверьте номер/фото через Yandex/Google Images.
• Любая «инвестиция» в Telegram = красный флаг.
• Сообщите банку о мошенничестве в течение 24 ч – 30 % шанс вернуть часть.

• Пользователи обсуждают "scam с разделкой свиней" — многоэтапные мошеннические схемы, где жертв ("свиней") сначала "откармливают", выстраивая доверительные отношения в течение нескольких месяцев, а затем "забивают", выманивая крупные суммы, часто через фейковые криптоинвестиции.

• Мошенники демонстрируют невероятное терпение и используют сложную инфраструктуру: CRM-системы, сети фейковых аккаунтов и даже привлекают людей для видео-звонков, чтобы казаться реальнее. Многие операторы таких центров сами являются жертвами трафика и работают под принуждением.

• Жертвами становятся не только пожилые или уязвимые люди, но и молодые, образованные individuals, включая инженеров. Ключевой фактор — не интеллект, а эмоциональная уязвимость или одиночество в данный момент жизни.

• Масштабы проблемы колоссальны: с 2020 года похищено около $75 миллиардов, а индустрия кибермошенничества по доходам сравнялась с незаконной торговлей наркотиками.

• Обсуждение также затрагивает необходимость обучения в школах распознаванию мошенничества, сложность борьбы с этими схемами из-за их跨境ного характера и этические аспекты самого термина, который может усиливать чувство вины у жертв.

• Stark Industries Solutions — «неубиваемый» хостер, появившийся за 2 недели до вторжения РФ в Украину, стал площадкой для DDoS, прокси, VPN, вредоноса и фейков.
• В мае 2025 ЕС ввёл санкции против владельцев компании — братьев Некулити и молдавского PQ Hosting.
• За 12 дней до публикации списка братья переименовали Stark в the[.]hosting, перевели IP-адреса на новую молдавскую фирму PQ Hosting Plus S.R.L. (тот же телефон) и оформили активы на голландскую WorkTitans BV.
• Второй ключевой канал — нидерландский MIRhosting Андрея Нестеренко (причастен к хостингу StopGeorgia.ru в 2008) — не попал под ограничения; сейчас его сотрудники управляют и WorkTitans, и the[.]hosting.
• Санкции не остановили сервис: инфраструктура та же, владельцы те же, просто сменились вывески.

• Участники обсуждают «пуленепробиваемый» хостинг Stark Industries Solutions, который игнорирует жалобы на злоупотребления и обслуживает киберпреступников.
• Название «Stark» воспринимается как ирония или сарказм, хотя в Скандинавии это обычная фамилия.
• Термин «bulletproof host» оказался незнакомым части инженеров, но в ИБ-среде используется давно.
• Провайдер обвиняется в DDoS, прокси/VPN для русскоязычных групп, ботнетах и фейках; трафик идёт даже из ЕС.
• Участники считают, что санкции и черные списки не работают: «запретный» rack стоит рядом с европейским дата-центром.
• Спорят о цензуре российской пропаганды: одни называют это гибридной войной, другие — защитой от влияния.

США стали крупнейшим инвестором в коммерческий шпионский софт.
В 2024 году число американских инвесторов в этой сфере выросло до 31 — больше, чем в Израиле, Италии или Великобритании. Среди них — крупные фонды и финансовые компании, вкладывающиеся в Cognyte и Paragon Solutions, разработчиков шпионского ПО, связанного с нарушениями прав человека. Paragon недавно возобновил контракт с ICE, вызвав критику со стороны правозащитников.

• Критика статьи: подсчёт «инвестиций» по числу юрлиц, а не долларов, и пропуск известных CNE-вендоров ставит под сомнение выводы.
• Участники напоминают: США — крупнейший инвестор в tech, поэтому лидерство в финансировании шпионских фирм логично.
• Заголовок «США — главный инвестор» отражает количество инвесторов, а не вложенные деньги; решения не принимаются государством как единым актёром.
• Некоторые считают коммерческий шпионский софт стратегическим активом киберобороны, другие — источником дистопии и киберпреступности.
• Упоминается, что покупка таких решений часто служит обходу юридического контроля над NSA/CIA/FBI.

Кратко:
22 июля 2025 г. Европол сообщил о задержании в Киеве 38-летнего администратора русскоязычного киберфорума XSS (≈50 000 участников). Форум считается «площадкой» для Revil, LockBit, Conti и др. Под арестом, по общему мнению, скрывается ник «Toha» — ключевая фигура русскоязычной киберпреступной сцены.

Кто такой Toha

• С 2005 г. основатель Hack-All, затем Exploit.in (продан в 2018 г.).
• В 2018 г. запустил xss.is на базе архива DaMaGeLaB.
• Доменные записи 2004-2010 гг. связывают его e-mail toschka2003@yandex.ru с именем Anton Medvedovskiy (Киев) и, частично, Yuriy Avdeev (Москва).
• После рейда аккаунты Toha во всех форумах замолчали; XSS снова онлайн, но в Tor.

Итог
Арестованный — вероятно, Medvedovskiy/Toha, арбитр сделок и гарант XSS почти 20 лет.

• Участники подозревают, что упоминание покупателя «Honeypo» в цепочке идентификации — ловушка.
• Обсуждают, почему киберпреступники живут в Европе, хотя есть более безопасные страны.
• Арест 38-летнего «русского» лидера банды в Киеве вызвал «хаос» на форумах — возможно, сбои в выплатах.
• Спор о терминологии: «deep web» или «dark web»; уточняют, что «darknet» и «deep web» — разные вещи.
• Предполагают, что BMW-объявление с данными Toha было ложным следом для сбивки следствия.