Вступление
В начале нынешнего месяца на страницах форумов Twoplustwo появился тред под названием «Предположительный дисконнект-мошенник». Его автор поделился печальным опытом игры против человека под ником «LivLiv1». Дело было в Revolution Gaming:
«За последние пять дней у меня случилось три дисконнекта. Каждый из них произошел в тот момент, когда скриннейм «LivLiv1» подсаживался за мои HU SNG столы. После дисконнекта я не мог переподключиться даже при помощи моего вспомогательного интернет соединения. Вернуться за столы удавалось лишь минут через 5, но поскольку я играю гипер-турбо HUSNG, то этого времени было достаточно, чтобы оппонент забирал весь мой стек с помощью одних только блайндов, и выигрывал турнир. Как-то раз я видел, что другой игрок, «MrGoomba», тоже отключился при игре против «LivLiv1», и отдался на блайндах точно также, как я – не успев вернуться за столы.
Когда я сталкивался с проблемой потери соединения два первых раза, то пересаживался в менее дорогие турниры, или просто переключался между разными лобби, чтобы удостовериться, что с интернетом всё стало нормально. Но как только я возвращался на свои ставки и вновь садился против «LivLiv1», дисконнект случался в очередной раз и меня снова опускали на весь стек без моего участия.
Я не верю в то, что этот игрок каким-то образом предугадывает дисконнекты. Но в то же время я не могу понять – как такое можно провернуть?».
В соответствии со статистикой на сайте Sharkscope, «LivLiv1» разорвал HUSNG с бай-инами в диапазоне от $45 до $1k, выиграв более $10,000 всего за 118 турниров. При этом, во всех турбированных событиях он побеждал в 95% случаев.
Саморасследование
Практически сразу после начала поисков первопричины сверх-способностей «LivLiv1» было установлено, что если мошенник действительно может отключать интернет соединение своему оппоненту прямо во время игры против него. Это возможно благодаря небезызвестных DDoS атак. Но чтобы строить перегрузку конкретного IP адреса, мошенник должен знать этот самый IP адрес. Другими словами: «LivLiv1» должен был найти такого игрока, который бы играл именно SNG и делал это именно в Revolution Gaming, а затем – каким-то образом должен был выяснить его IP, и надеяться, что он статический. На первый взгляд задача далеко не простая… но это только на первый взгляд.
Незадолго после старта темы про дисконнекты, её автор сообщил:
«Я немного уплотнился в исследование этой темы, и мне удалось выяснить, что IP адреса можно запросто извлекать с помощью добавления в Skype. А учитывая тот факт, что я тренирую группу начинающих игроков – в последнее время я добавлял довольно много неизвестных мне людей в свой список контактов. Неудивительно, что после этого мой аккаунт на Lock Poker взломали; похоже, мои данные всё-таки были извлечены «благодаря» Скайпу. Теперь, когда я узнал о таких возможностях, я ограничил список контактов только доверенными лицами и использую свой Skype только на ноутбуке».
С этого момента за дело взялись модераторы Twoplustwo. Их поддержка, вероятно, оказалась бы менее эффективной, если бы «LivLiv1» сам не обнаружил себя, абсолютно случайно, за несколько дней до создания рассматриваемой форумной темы.
31 января 2013 года, в рамках топика «Дуракций глюк заставил сбросить KK», пользователь с ником «0PXRUNNIN» рассказал историю о неудачном эпизоде своего участия в МТТ за $60 в Lock Poker:
«Я был близок к бабблу финального стола в $5k GTD турнире. В турнире оставалось всего 2 стола, так я держал открытыми оба из них, чтобы наблюдать – кто вылетит быстрее. И вот он глюк: если вы держите открытым стол, который должен закрыться автоматически, то вместо появления одного, финального стола, вы получаете два застывших, несуществующих. Поправить это можно только закрыв активные столы и присоединившись к турниру заново, через лобби. И вот, пока я заново открывал свой стол, первой рукой за финальным столом мне сдали KK, которые ушли в пас автоматически. Круто, да?».
В подтверждение своих слов герой оставил ссылку на скриншот истории рук из стандартного проигрывателя , где был отчётливо виден его никнейм — «LivLiv1».
Учитывая эту информацию, модераторы 2+2 сравнили IP адреса посетителей форума и обнаружили, что «LivLiv1» является владельцем весьма существенного количества клонов.
Основные клоны
Задолго до начала разбирательства, форумчанин 2+2 под ником «w1ck3d0n3» разместил объявление, в рамках которого предлагал участникам рума Lock Poker [сеть Revolution Gaming] обменивать деньги рума на другие электронные валюты. Как известно, Revolution Gaming принимает депозиты от американских игроков, но выводы из румов сети зачастую идут долго, поэтому многие с радостью восприняли возможность мгновенно поменять свои интернет деньги на банковский перевод. Разумеется, для уточнения всех необходимых деталей клон «LivLiv1» просил добавляться к нему в Skype. Именно таким образом злоумышленник извлекал все нужные ему данные об игроках нужной ему сети, впоследствии – воруя их деньги.
Похоже, создателя темы «Предположительный дисконнект-мошенник» обворовали точно также. По его словам, $70,000, которые были украдены с его счёта в Lock Poker, оказались в руках игрока под ником «Herocallme22». Он, в свою очередь, проиграл всю сумму за HU столами PLO H/L $10/$20. Автор провёл анализ с помощью сайта PTR, и установил, что практически вся активность «LivLiv1» сконцентрирована на NLHE играх, и лишь крошечная, но очень прибыльная их часть – на случайных HU сессиях за $10/$20 PLO H/L столами.
«Я не уверен, насколько популярен этот вид HU, но всё это очень странно. Странно, что хакер, который обворовал меня на $70k, любит HU PLO H/L так же, как и «LivLiv1», воровавший мои SNG бай-ины».
Несколько углубившись в поиски «LivLiv1», вдруг вспомнился пост одного из постеров треда «Обменный пункт»:
«Человек под ником «Herocallme22» мошенник!», – пишет пострадавший постер. «Недавно он добавил меня в скайп, где мы договорились обменяться – Lock деньги за перевод по Western Union. Перед обменом он прислал мне PNG файл – скриншот его баланса в руме (там было $150k), в качестве подтверждения того, что у него есть деньги. Кажется, этот файл был заражен. К счастью, я успел сменить все пароли и у меня ничего не украли».
Мозаика собралась воедино, когда администраторы Lock Poker забанили «Herocallme22». Ведь практически сразу после этого на Twoplustwo появился тред «Lock заморозили мои $5k и были очень грубы», за авторством неизвестного новичка под ником «fish grinder». Элементарная проверка IP адреса выявила соответствие никнейма «fish grinder» с «0PXRUNNIN», и, следовательно:
fish grinder = 0PXRUNNIN = W1ck3d0n3 = herocallme22 = LivLiv1
Другие клоны
И всё это далеко не первый гастроль «LivLiv1». На сегодняшний день предполагается, что его реальное имя – Джастин Аркулета.
• В апреле 2012 года один из старожилов Twoplustwo сообщил о мошенничестве со стороны форумчанина «WhatYouWant», реальное имя которого, в соответствии с банковскими реквизитами, Джастин Аркулета. Он предложил заявленному старожилу «стандартный» обмен – деньги из рума Black Chip Poker на его банковский перевод. Старожил перевел $1,000, но банковского перевода так и не получил: злоумышленник просто отменил его, хотя в банке говорили, что деньги можно забрать и с переводом всё в порядке. Связавшись с одним из своих знакомых на форуме, который тоже обменивался деньгами с «WhatYouWant», старожил узнал, что знакомого взломали и украли некую сумму денег прямо со счета в руме;
• Позже – по имени, на которое был открыт банковский счет – было обнаружено, что Джастин Аркулета продолжает обмениваться деньгами с форумчанами, но уже под ником «NLHitmanU». В ноябре 2012 года один из старожилов Twoplustwo был заблокирован в PokerStars, после того, как получил внутренний перевод от «NLHitmanU» [взамен отослав $2k банковским переводом];
• В период с конца 2012-го по январь текущего года Джастин Аркулета воровал деньги со счетов форумчан Twoplustwo, подбирая пароли к их учетным записям в различных румах. Сумма украденных денег превысила $12,000. В соответствии со всей имеющейся информацией, на Джастина Аркулета было собрано, в определенной степени, впечатляющее досье.
[Промежуточный] Итог
Кто знает, возможно, если бы рассматриваемый хакер не создавал легкомысленные треды с пустяковыми жалобами на 2+2, то он бы оказался абсолютно неуловим. Впрочем, похоже потеря возможности собрать вэлью с карманными королями за финальным столом турнира – не оставляет равнодушным даже маститых взломщиков.
Администрация Lock Poker установила прямую связь между некоторыми клонами «LivLiv1», поэтому последний указанный быстро оказался в цепочке немедленно блокируемых мошеннических учетных записей. Несмотря, однако, на это, мы верим, что Джастин Аркулета [или как бы его не звали в действительности] не прекратит являть собой как скрытую угрозу, так и вдохновителем своих потенциальных последователей. И это плохая новость.
Хорошая же новость в том, что пока международное сообщество игроков способно вскрыть заговор подобных масштабов – светлая сторона силы останется непобедимой… по крайней мере на дистанции.
Источник: http://www.pokeroff.ru
Комментарии