domingo, octubre 05, 2014

Fulfix Complex: Investigando la estafa del crecepelo

Este viernes por la noche salió en televisión un programa de Equipo de Investigación en que se intenta localizar a quién está detrás de una estafa de crecepelos. Me pidieron ayuda para intentar sacar algo de información directamente desde la página web del producto, llamado Fullfix Complex, así que le eché un ojito con cuidado a ver qué salía. En el programa no queda claro qué es lo que hice, pero como me guardé todas las capturas de todos los pasos, os lo explico por aquí.

Figura 1: El dominio de la estafa Fulfix Complex

Paso 1: Investigar el dominino Fulfixcomplex.com

La web de la estafa era Fulfixcomplex.com, una página web que podéis ver en el programa y en donde se anuncia el producto con un montón de bonitas fotografías y falsos estudios clínicos. Para ver quién está detrás de ese dominio basta con hacer una búsqueda del Whois Histórico para toparse con una empresa en Panamá.

Figura 2: Registro Whois de Fulfixcomplex.com

Lógicamente eso es vía muerta, pero ni mucho menos es el final de la investigación, ya que como veréis al final hay más hilo del que tirar para ver quién está detrás. 

Paso 2: Investigar la dirección IP del servidor

La página web del servidor estaba en un servidor web con la siguiente dirección IP que puede verse en la resolución de la consulta DNS.

Figura 3: Dirección IP del servidor web de www.fulfixcomplex.com

Con una sencilla búsqueda con el comando IP: de Bing se puede descubrir que en esa misma dirección solo hay dos servidores web. Uno de ellos Fullfixcomplex.com y un segundo llamado trynidora.com, que incita a "Try Nidora", un sorprendente sistema para perder peso.

Figura 4: Fulfixcomplex.com y Trynidora.com en el mismo servidor

Como podéis ver en la web, tiene exactamente la misma estética y los mismos estudios clínicos contrastados por ellos en los que se basan para decir que con este sistema es posible perder peso de forma rápida.

Figura 5: La web de Trynidora.com

Parece que estos tipos estaban diversificando el negocio con nuevas estafas. No solo con crecepelos, sino también con productos milagrosos para perder peso.

Paso 3: Investigar el dominio Trynidora.com

Con un nuevo dominio, hay que repetir la investigación. Inicialmente te topas con registros que apuntan a Panama, y a otros lugares, pero tirando del Whois Histórico se llega a una entrada en la que se apunta a una dirección concreta de una oficina concreta de Los Ángeles, California.

Figura 6: Un registro de 2012 de trynidora.com apunta a una oficina en Los Ángeles

En concreto la Oficina 200 del 11400 West del Olympic Boulevard de Los Ángeles que puede verse en Google Street View. Es un centro de negocios, con distintas empresas por cada oficina, pero en la Oficina 200 está el dueño.

Figura 7: Edificio de negocios en 11400 W. Olympic Boulevard, Los Angeles.

Paso 4: Investigar la dirección de la oficina

Al buscar esa dirección de oficina, para saber qué empresa está allí, aparece un despacho de un abogado, A. Liberatore P.C., que tiene justo en esa oficina su centro de operaciones.

Figura 8: Despacho en la misma oficina que el dominio de la estafa

Tirando de los registros históricos de ese dominio salen empresas que tienen que ver también con la informática e internet y una serie de direcciones de correo que permiten llegar a este tipo, que parece que o bien es el dueño, o tenga algo que ver con el registrador, o sea el responsable de tapar legalmente a quién está detrás, al estilo de "Better Call Saul". Un rol fundamental en todos los negocios de fraude online que se creen en países que legislen contra estas estafas, aunque sin más información de campo en Estados Unidos queda sin poder resolverse.

Figura 9: Saul Goodman, el abogado de Mr. Heisenberg que puede hacerlo legal.

En el corte final del programa se saltaron partes de esto, supongo que porque mucha gente no sabrá que es un registro Whois o para que sirve el comando IP de Bing, pero para los que hayáis visto el corte quizá pasar de una entrada en Panamá a una dirección en Los Ángeles es difícil de entender sin un poco más de información, y quería dejaros por aquí los datos que le dimos al periodista.

Saludos Malignos!

12 comentarios:

  1. Chema, podrías decirme diferencia entre Whois y whois histórico

    ResponderEliminar
  2. Anda Chema! Supercuriosísimo. La oficina de los estafadores....ESTA EN LA MISMA OFICINA QUE NAMECHEAP.COM!!!!!!

    whois namecheap.com

    Tech Name: NAMECHEAP.COM NAMECHEAP.COM
    Tech Organization: NAMECHEAP, INC
    Tech Street: 11400 W. OLYMPIC BLVD. SUITE 200
    Tech City: LOS ANGELES
    Tech State/Province: CA
    Tech Postal Code: 90064

    Increible, no? Tendrán algo que ver con la estafa!!!!!

    ResponderEliminar
  3. @Pablo, el Whois historico guarda todos los cambios desde su creación.

    @Paco, como pone al final, en los registros históricos se ve cómo esta persona tiene otras empresas de tecnología también, todas con el mismo correo electrónico. Al final como le dijimos al periodista, esto acababa en esa dirección, donde estaba ese despacho de abogados. Por eso deja claro el artículo que podría ser un abogado que lleve la parte legal de todas ellas.

    Saludos!

    ResponderEliminar
  4. La dirección que aparece en WhoisGuard es la dirección de NAMECHEAP no una dirección asociada a los productos esos que mencionas.

    Volviendo a leer tu post y leyendo el comantario de Paco, veo que es posible que te hayas equivocado y tomado la dirección que aparece en los registros whois, que es de NAMECHEAP, por la dirección de esos productos que mencionas.

    Saludos

    ResponderEliminar
  5. @Anónimo, esa dirección, además de Namecheap es al de este abogado, tal y como se ve en la captura de su web.

    Al final, todos los dominios acababan allí, donde estaba namecheap, este despacho de abogados y una serie de correos electrónicos del abogado con más empresas de tecnología.

    Es por eso que al periodista le dijimos que en esa dirección acababa todo, que no sabíamos si el abogado era el mismo que tenía también namecheap o qué, pero que todo acababa en aquella dirección.

    En el programa de televisión no queda claro eso, y por este motivo lo he explicado aquí.

    Saludos!

    ResponderEliminar
  6. Hola Chema!
    No soy informático ni se prácticamente nada del tema, pero cuando voy a comprar algo por internet si la web me da mala espina utilizo la siguiente dirección de análisis web

    http://www.scamadviser.com/

    Gracias a la cual se pueden descubrir cosas parecidas a las que comentas. Personalmente evite ser estafado en una web de una outlet gafas de sol que resulto estar en china.

    Que opinión te merece estas webs de análisis?

    ResponderEliminar
  7. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  8. Yo lo único que veo aquí es que en algún momento hizo una transferencia de NameCheap a eNom, y en ambos casos usó el servicio de whois oculto. Habrá cientos o miles de dominios ocultados por ese despacho.

    gothydroface.com y topfulfix.com están en la misma IP. Que es holandesa, pero pertenece a una compañía de IBM. Así que tienen un alojamiento al menos semi-dedicado ahí. O se han molestado en comprar una IP para esos dominios y que no se vea nada más.

    En todos ellos tienen el correo en gmail.

    Pero nada de eso es muy interesante. Me parece más interesante el pixel de 1x1 que se inserta desde track306.info en el paso 2 de la compra, el cual si tiene un whois visible y, mira por donde, está alojado en la misma empresa. Tirando de ahí se sacan cosas más interesantes sobre el funcionamiento del negocio.

    Saludos de un ex-alumno del máster.



    ResponderEliminar
  9. El de la última foto se parece al actor Bob Odenkirk...

    ResponderEliminar
  10. Y una pregunta tonta... ¿no se podrían haber utilizado las cabeceras del mail de respuesta que les enviaron a los reporteros, para obtener la IP de envío?

    Saludos

    ResponderEliminar
  11. Buenas Chema,

    Como usuario de namecheap que soy tengo el whoisguard activado y en mis dominios el whois histórico apunta a Panamá. Te preguntarás por qué y para qué, por privacidad (y aprovechando que permite un pago extremadamente sencillo por bitcoins) y para que no se me indexe en propiedades con las que especulo.

    PD: El webserver es compartido y si tiras del hilo verás muchas más webs todas ellas alojadas en namecheap (servicio cuanto menos curioso a la par que anónimo) rozando el limite de la legalidad.

    ResponderEliminar