Проверьте своих близких. Как WB оформляет «кредиты Шрёдингера» (есть в чеке, нет в БКИ) под 85% годовых

Не успел я отдохнуть после статьи о Femida Search , так напоролся на новое приключение.

Саммари:

Если вы поставили пожилым родственникам полный самозапрет на кредиты через Госуслуги (ФЗ-31), это не гарантирует защиту от рассрочек на маркетплейсах. @WILDBERRIES через прокладку «ООО Престо» выдает деньги, игнорируя записи в БКИ.

Поэтому я сейчас готовлю расследование с разбором чеков, оферт и, надеюсь, ответов ЦБ и ФНС, но ситуация требует предупредить сообщество прямо сейчас.

Дано:

1. Мама-пенсионер (70 лет).

2. Активный полный самозапрет на кредитование в БКИ, установленный ещё в марте 2025 через Госуслуги.

3. Покупка товаров на Wildberries в январе 2026.

Что произошло:
При заказе был «случайно» (темные паттерны UI) активирован способ оплаты «Оплата частями». В итоге:

• Товар подменили (вместо Селена прислали Хром, который опасен при применении с препаратами для понижения сахара в крови при диабете). Ну эт ладно, не главное.

• На сумму 4 600 руб. накрутили «комиссию» 1 175 руб. (эффективная ставка ~85% годовых!!).

Я был уверен, что полный самозапрет в БКИ отсечет любые попытки выдать кредит. Но схема WB и их партнера ООО «Престо» работает вот так:

1. В оферте это называется «Договор поручения» (агентская схема, BNPL), якобы чтобы не попадать под регулирование ЦБ.

2. Но в кассовом чеке (ФНС) в теге 1214 («Признак способа расчета») прямым текстом стоит: «ПЕРЕДАЧА В КРЕДИТ» и «ОПЛАТА КРЕДИТА».

3. Самое забавное: В кредитной истории (БКИ) этот долг не отображается.

Они выдали «теневой кредит». Если бы они сделали запрос в БКИ (как обязаны по закону и как обещают в своем же договоре), они получили бы отказ из-за самозапрета. Поэтому они просто не делают запрос, но в чеке пишут «Кредит», чтобы легализовать деньги перед налоговой.

Что делать прямо сейчас: Зайдите в приложения Wildberries своих родителей/родственников:

1. Проверьте раздел «Покупки» -> «Чеки». Ищите чеки от ООО «Престо».

2. Если видите там слова «Комиссия сервиса» и «В КРЕДИТ» — знайте, это не просто рассрочка, это кредитный продукт, который может висеть «мимо» БКИ. Сохраните все чеки себе на комп, чтобы их не подменили задним числом!

3. Проверьте, не подключена ли у них «Оплата частями» без их ведома.

P.S. Я уже направил досудебные претензии и жалобу в ЦБ РФ с требованием проверить лицензию данного финтеха. И я заархивировал все доказательства. Полный технический и юридический разбор этой схемы («Кредит Шрёдингера») с комментариями юристов опубликую на Хабре через несколько дней, как только получу (или не получу) официальные ответы.

Берегите родителей, ребята!

Upd (2026-02-09). Текст моей статьи готов, сейчас его проверяют юристы. Полную версию я опубликую на своём сайте (66 минут чтения), а на Хабре более ужатую, чтобы люди хоть могли прочитать.

Upd (2026-02-17) Полная версия статьи готова. Её младшая версия тоже.

URLCheck: Полезная утилита для инспекции URL на Android

Хочу поделиться находкой, которая многим здесь придется по душе. Каждый из нас хоть раз с недоверием кликал по сокращенной или странной ссылке, присланной в мессенджере или почте. Сколько раз мы неосознанно переходили по ссылкам с кучей UTM-меток и прочего трекающего мусора?

Недавно я наткнулся на утилиту для Android, которая решает эту проблему - URLCheck.

Это не браузер, а приложение-посредник. Вы назначаете его для открытия ссылок по умолчанию, и когда вы кликаете на любую ссылку, вместо того чтобы сразу открыть его в браузере, URLCheck перехватывает его и показывает вам вот такое окно:

Вот несколько любопытных ключевых фич:

• Очистка от трекеров: Автоматически вырезает из линка весь мусор вроде UTM-меток и параметров отслеживания, используя правила проекта ClearURLs.

• Сканер VirusTotal: Позволяет в один клик отправить ссылку на проверку в VirusTotal и посмотреть отчет. (Нужен свой бесплатный API-ключ).

• Раскрытие коротких ссылок: Показывает, куда на самом деле ведет укороченный линк типа bit.ly - зачастую фишинговые ссылки скрываются за укороченными линками, чтобы усложнить блокировки.

• Проверка по хост-листам: Интегрируется со списками StevenBlack (adware, malware, fakenews и т.д.) и предупреждает, если домен находится в одном из них.

• Pattern-checker: Для продвинутых - можно настроить свои правила на основе регулярных выражений. Например, автоматически заменять http на https или twitter.com на nitter.net.

• Полный контроль над линком: Вы можете вручную отредактировать URL, посмотреть историю изменений или просто скопировать/поделиться ей.

И самое главное — приложение с открытым исходным кодом! Настоящий швейцарский нож для тех, кто заботится о своей безопасности и приватности в сети.

Где скачать:

• F-Droid

• Google Play

• GitHub (репка)

В общем, рекомендую попробовать. Для меня это стало одним из приложений категории "must-have".

Уязвимость в протоколе REALITY XTLS/Xray-core: быстрый фикс уязвимости Aparecium

На прошлой неделе была обнаружена уязвимость в известном ПО для создания прокси соединений XTLS/Xray-core, а именно в протоколе REALITY, позволяющая выявлять работу этого протокола.

Для тех, кто не в курсе: REALITY — это уникальный протокол прокси, который позволяет маскировать прокси-трафик под легитимное посещение реальных сайтов (например, google.com или любого другого), при этом не требуя покупки домена и настройки TLS-сертификата на своем сервере.

Обнаружение уязвимости

В начале июня 2025 года исследователь под ником ban6cat6 опубликовал утилиту под названием Aparecium. Ее цель — находить серверы, использующие протоколы вроде REALITY.

В чем была суть уязвимости?
Утилита обнаружила, что серверы на базе OpenSSL после завершения основного TLS-рукопожатия (handshake) обычно отправляют клиенту один или два служебных сообщения NewSessionTicket. Это стандартное поведение, позволяющее возобновлять сессии. Протокол REALITY в своей реализации это поведение не имитировал.

Это тонкое различие позволяло Aparecium с высокой точностью отличать настоящий веб-сервер от сервера с REALITY, просто проанализировав последовательность TLS-сообщений.

Быстрый фикс

Информация об уязвимости была опубликована в виде issue #4778 в репозитории Xray-core. Разработчики, в частности RPRX, отреагировали практически молниеносно.

Вместо того чтобы добавить отправку фейковых NewSessionTicket, они пошли по более правильному пути. Уже через несколько дней в версии Xray-core v25.6.8 появилось «предварительное» решение:

Теперь при первом запуске сервер REALITY, используя отпечаток клиента Chrome, сам подключается к целевому сайту (dest), «подсматривает», какие именно post-handshake сообщения и какой длины тот отправляет, кэширует эту информацию и в дальнейшем идеально имитирует именно это поведение.

На это «зондирование» уходит около 30 секунд при первом старте сервера, но оно по большей части решает основную проблему. Вместе с этим был исправлен и неприятный баг с производительностью из-за неработающего аппаратного ускорения AES-NI.

Глубокий анализ

Казалось бы, проблема решена, однако разработчики начали копать глубже, и вот что выяснилось:

1. Загадка «лишнего пакета» от bilibili.com
   Один из разработчиков заметил, что при подключении к некоторым сайтам (например, bilibili.com) с отпечатком Chrome, сервер возвращает не только NewSessionTicket, но и еще один небольшой пакет. После анализа выяснилось, что это не TLS-сообщение, а кадр настроек HTTP/2 (settings frame). Это значит, что для идеальной маскировки нужно имитировать не только TLS-уровень, но и поведение прикладного протокола (HTTP/2), который был согласован в ходе рукопожатия.

2. Проблема разных отпечатков (fingerprints)
   Выяснилось, что один и тот же сайт может по-разному отвечать на ClientHello от разных клиентов. Например, на запрос с отпечатком Chrome он может отправить два NewSessionTicket и settings фрейм, а на запрос от Go-клиента — только один NewSessionTicket. Похоже, что статического зондирования недостаточно.

3. Идея «живого обучения»
   В ходе мозгового штурма родилась идея для долгосрочного решения, которое было оформлено в issue #4788. Суть в том, чтобы сервер REALITY, получив ClientHello от нового клиента, не просто использовал стандартный отпечаток для зондирования, а копировал отпечаток реального клиента и именно с ним обращался к целевому сайту. Это позволит динамически адаптироваться под любого клиента и достичь практически идеальной мимикрии.

Разработчики рекомендуют всем обновить сервера и клиенты, использующие Xray-core, до версии 25.6.8.