Введение: Наткнулся на Reddit на крик о помощи: пользователь описывал странную схему «обучения трейдингу»,
где его просили делать мелкие свапы, а потом пытались увести баланс. Как Junior Security Researcher, я не смог пройти мимо и решил провести полноценный аудит этой конторы а именно begini.ltd (их сайт) .
Цель: Собрать доказательную базу, вскрыть инфраструктуру и добиться блокировки.
Инструментарий: Kali Linux (Nmap, FFUF), OSINT, Revoke.cash.
Этап 1. Логика развода
Схема классическая — Pig Butchering (забой свиней).
Приманка: Фейковые вакансии или «обучение».
Прогрев: Жертве переводят небольшие суммы, имитируя прибыль.
Технический капкан: В процессе «обучения» через демонстрацию экрана жертву заставляют подписать транзакцию Infinite Approval (ERC-20 Approve). Это дает мошенникам право выкачать все токены с кошелька в любой момент.
Этап 2. Рекогносцировка и Анализ Frontend
Первым делом идем в исходный код.
<form class="register-form" action="send.php" method="POST">
Видим форму регистрации, которая стучится в send.php методом POST. Сбор данных идет по полной: ФИО, телефон, Telegram.
Вывод: Это классический фишинг-сборщик (Data Harvester).
Этап 2. Вскрываем логику бэкенда через Network Tab (F12)
Имитируем регистрацию и смотрим в Network. Видим отправку данных в открытом виде. Обращаем внимание на ответ сервера: Status 302 и мгновенный редирект. Мошенники не хотят, чтобы жертва задерживалась на этапе обработки данных».
Так же, на третьем скриншоте мы видим такие данные как: cf-cache-status и cf-ray, которые тоже очень важны для дальнейшей работы
Этап 3. Активная разведка: Инструментарий Kali Linux (Nmap и FFUF)
Когда поверхностный осмотр через браузер был завершен, пришло время запустить «тяжелую артиллерию» из арсенала Kali Linux. Моей целью было просканировать порты сервера и найти скрытые директории, которые мошенники могли попытаться спрятать от обычных пользователей.
1. Сканирование портов через Nmap
Первым делом я запустил nmap с флагами для определения сервисов и проверки скриптами по умолчанию.
Результаты сканирования:
Порты 80 (HTTP) и 443 (HTTPS): Ожидаемо открыты. Сертификат выдан Cloudflare Inc ECC CA-3 совсем недавно (февраль 2026). Это подтверждает, что кампания свежая и запущена «под ключ» специально под текущую волну скама.
Аномалии (8080, 8443): Nmap зафиксировал активность на альтернативных портах. Часто в подобных фишинг-китах на этих портах висят панели управления (админки) или прокси-серверы для пересылки украденных данных.
Banner Grabbing: В заголовках страниц промелькнуло Crypto Trading Academy 2025. Забавно, что мошенники даже не потрудились обновить год в шаблоне своего сайта, работая уже в марте 2026-го.
2. Фаззинг директорий через FFUF (Fuzz Faster U Fool)
Чтобы понять структуру бэкенда, я использовал фаззер ffuf. Нужно было найти те самые скрипты, которые обрабатывают данные после «регистрации».
Что удалось обнаружить:
success.php (Status: 200, Size: ~5KB): Тот самый «терминал», на который редиректит жертву. Вес файла в 5 КБ намекает на наличие объемных JS-скриптов внутри.
php эндпоинты: Подтверждено использование PHP на бэкенде
Фильтрация: Большинство системных директорий (/admin/, /config/) были закрыты или отфильтрованы файрволом Cloudflare (Status: 403), но для формирования Abuse-репорта мне уже было достаточно зафиксированных путей.
Вывод этапа: Инфраструктура скама построена на типовом PHP-шаблоне, спрятанном за Cloudflare. Однако наличие открытых нестандартных портов и отсутствие базовой гигиены в заголовках (2025 в 2026 году) выдает спешку и потоковый характер создания таких «академий».
Этап 4. Фиксация результата: Abuse Report
Итог работы — сформированное досье. Cloudflare подтвердил инцидент (Report ID: 6d27e144bc7f8061). Инфраструктура врага начала сыпаться.
Всем спасибо за внимание, рад что обратили его на эту статейку заранее!!!
