¿Quién está detrás de la estafa de correo de "Listados web"? – Krebs sobre seguridad


En diciembre de 2018, KrebsOnSecurity analizó cómo docenas de campañas políticas, ciudades y pueblos de EE. UU. Habían pagado a una empresa sospechosa llamada Web Listings Inc. después de recibir lo que parecía una factura por servicios de optimización de motores de búsqueda (SEO) prestados en nombre de sus nombres de dominio. La historia concluyó que este dudoso servicio había estado engañando a personas y empresas durante más de una década, y prometió una Parte II para explorar quién estaba detrás de los listados web. Lo que sigue son algunas pistas que apuntan a una respuesta muy convincente a esa pregunta.

Desde al menos 2007, Web Listings Inc. ha estado enviando cartas por correo a los registrantes de dominios de todo el mundo. Las misivas parecen ser una factura de $ 85 por un servicio de "listado anual de motores de búsqueda". El aviso revela que en realidad es una solicitud y no una factura, pero la redacción del aviso afirma que el destinatario ya ha recibido los servicios en cuestión.

Imagen: Better Business Bureau.

El remitente hace referencia al nombre de dominio web-listings.net, uno de varios dominios con nombres similares registrados en algún momento en 2007 o más tarde en un "James Madison", Quien enumera su dirección de manera diversa como una universidad en Nueva Bretaña, Connecticut o un buzón de UPS Store en Niagara Falls, Nueva York.

Algunos otros incluyen: weblistingservices.com, webservicescorp.net, websiteservicescorp.com, web-listingsinc.com, weblistingsinc.nety weblistingsreports.net. En algún momento, cada uno de estos dominios cambia el nombre del propietario de James Madison a "Mark Carter. " Como veremos, Mark es un nombre que aparece bastante en esta investigación.

Imagen: Better Business Bureau.

UN Cuenta de Twitter para Web Listings Inc. tiene publicaciones que datan de 2010, y apunta a aún más dominios de Listados web, incluidos weblistingsinc.org. Versiones en caché de weblistingsinc.org en archive.org muestra logotipos similares a los que se muestran en el anuncio de Web Listings, y las primeras versiones del sitio hacen referencia a una serie de "socios comerciales" en la India que también realizan servicios de SEO.

Al buscar en Internet algunos de estos dominios de listado web mencionados en la cuenta de Twitter de la empresa, aparece una serie de comunicados de prensa una vez emitidos en nombre de la empresa. Uno de mayo de 2011 en onlineprnews.com canta las alabanzas de Weblistingsinc.info, weblistingsinc.org y web-listings.net en la misma versión, y enumera el punto de contacto simplemente como "Mark".

Registros históricos de registro de WHOIS de Herramientas de dominio (un anunciante en este blog) dice que Weblistingsinc.org se registró en noviembre de 2010 a un Mark Scott en Blairgowrie, Escocia, utilizando la dirección de correo electrónico clientnews@reputationmanagementfor.com.

Reputationmanagementfor.com se anuncia a sí mismo como un servicio en línea para "combatir el contenido negativo e incorrecto en Internet", lo cual es especialmente interesante por razones que deberían aclararse en unos pocos párrafos. El sitio dice que Mark Scott, de 46 años, es empleado de Reputationmanagementfor.com y que también está involucrado con otras dos compañías:

-Vamos, Bananas, un negocio que organiza salidas grupales, con un enfoque en despedidas de soltero y soltera;

-HelpMeGo.to, Una entidad en Escocia que realizó marketing en línea y turismo de viajes tanto en Escocia (a través de sitios como Scotland.org.uk y marketinghotelsonline.co.uk) y en El estado costero de Kerala de la India donde HelpMeGo.to empleó a varias personas involucradas en el negocio de SEO. Helpmego.to ahora simplemente redirige a GoBananas.

De acuerdo a Seguridad lejana, una empresa que mantiene registros históricos de qué sitios web se alojaron en qué direcciones de Internet, Weblistingsinc.org estuvo alojado durante un tiempo en la dirección IP 68.169.45.65 con solo otros seis dominios, incluidos travelingalberta.com, que era un blog sobre viajar y vivir en Alberta, Canadá, registrado en Mark Scott y la dirección de correo electrónico management@helpmego.to. Versiones en caché de este sitio desde 2011 muéstrelo nombrando a Web Listings Inc. como socio comercial.

Esa misma dirección de correo electrónico management@helpmego.to está vinculada a los registros de WHOIS para markscottblog.com, gobananas.co.uk, gobananas.com. Copias en caché de markscottblog.com de 2010 en Archive.org muestra su página de perfil en los enlaces de blogger.com a otro blog con el mismo contenido, imágenes y enlaces llamados internetmadness.blogspot.com.

Entre las entradas de 2011 del blog de Internetmadness es una publicación que promueve las maravillas de los beneficios de Web Listings Inc.

Una copia en caché del blog de Mark Scott, Internet Madness de 2011, promueve Web Listings Inc.

EL GRUPO COBRA / APPCO

¡Ajá! Pero espera hay mas. Verá, durante años Weblistingsinc.org estuvo alojado en los mismos servidores junto con un puñado de otros dominios que cambiaron las direcciones de Internet al mismo tiempo, incluidos gobananas.com, gobananasworld.com y las direcciones IP 107.20.142.166 (17 anfitriones), 54.85.65.241 (6 anfitriones).

La mayoría de los otros dominios en estas IP históricamente han estado vinculados a otros dominios conectados a Mark Scott y sus diversas compañías y socios comerciales, incluidos chrisniarchos.net, redwoodsadvance.net, gdsinternationalus.com, staghensscotlands.com, cobra-group.blogspot.com, the-cobra-group.com, appcogroup.co.uky reputaciónmanagementfor.com.

Encontré un patrón similar con dominios derivados de un Perfil de la empresa Crunchbase en Web Listings Inc., que dice que la firma tiene su sede en Toronto, Canadá, con el sitio web webtechnologiesinc.nety dirección de correo electrónico webtechnologiesletter@gmail.com. Los datos históricos de WHOIS de Domaintools.com dicen que Webtechnologiesinc.net se registró en 2013 a Marcus Ruskov en Toronto.

La información sobre quién registró Webtechnologiesletter.com está completamente oculta detrás de los servicios de protección de privacidad. Pero Farsight dice que el dominio se alojó en 2015 en la dirección de Internet 54.77.128.87, junto con solo otros 70 dominios, incluida la misma lista de dominios mencionados anteriormente, chrisniarchos.net, redwoodsadvance.net, gdsinternationalus.com, etc.

¿Qué tienen en común todos estos dominios? Están vinculados a empresas para las que Mark Scott figuraba como contacto clave. Por ejemplo, este comunicado de prensa de 2o11 dice que Mark Scott es la persona de contacto de una compañía llamada Appco Group UK que se anuncia como un líder del mercado en marketing y ventas cara a cara.

"En todo el mundo, Appco Group ha recaudado cientos de millones de libras para algunas de las organizaciones benéficas más grandes del mundo, prestó servicios de televisión de pago y banda ancha, servicios financieros, seguridad y muchas otras soluciones de marketing exitosas en una amplia gama de productos", se entusiasma el comunicado de prensa. .

Appco Group es el nombre de la nueva marca de una familia de compañías de marketing y ventas creadas originalmente con el nombre El grupo cobra, cuya página de Wikipedia afirma que es una empresa de venta y comercialización puerta a puerta con sede en Hong Kong. Dice que las investigaciones de los medios han encontrado que la compañía promete tasas de compensación mucho más altas que los empleados realmente reciben.

"También es criticado por ser un culto, una estafa y un esquema piramidal", se lee en la entrada.

El Grupo Cobra y sus compañías de marketing y ventas directas con múltiples nombres probablemente se describan mejor como esquemas de "marketing multinivel"; es decir, las entidades que a menudo venden productos y / o servicios de dudosa calidad, usan tácticas de venta de alta presión y prácticas publicitarias engañosas, si no engañosas, y ofrecen poco o ningún pago a los empleados por nada más que ventas directas.

Incluso la cantidad de tiempo más rápida que se busca en Internet para obtener información sobre algunas de las empresas mencionadas anteriormente (Grupo Appco, Grupo Cobra, Avance de las secoyas, GDS International) revela una montaña de mala prensa e historias horribles de ex empleados.

Por ejemplo, los vendedores de Appco se hicieron conocidos como "asaltantes de caridad"Porque fueron entrenados para solicitar donaciones en nombre de organizaciones benéficas de personas aleatorias en la calle, y porque los medios de comunicación más tarde descubrieron que las personas que ejecutan Appco mantuvo la mayoría de los millones de dólares que recaudaron para las organizaciones benéficas.

Este desglose exhaustivo en la industria de ventas puerta a puerta rastrea a Cobra y Appco Group hasta una larga línea de compañías que simplemente cambiaron de nombre y cambiaron de nombre cada vez que un escándalo inevitablemente les sucedió.

Ahora tiene sentido por qué Web Listings Inc. tenía tantos nombres de dominio con nombres confusos. Y esto también podría explicar el papel principal del negocio del Sr. Scott, la empresa de administración de reputación en línea reputaciónmanagementfor.com, en relación con los esfuerzos del Grupo Cobra / Appco para pulir su reputación en línea.

Una captura de pantalla parcial de un mapa mental que utilicé para realizar un seguimiento de las innumerables conexiones entre varios dominios de Listados web y sus propietarios. Este mapa fue creado con MindNode Pro para Mac.

Mark Scott no respondió a múltiples solicitudes de comentarios enviados a varias direcciones de correo electrónico y números de teléfono vinculados a su nombre. Sin embargo, KrebsOnSecurity recibió una respuesta de Fundador del Grupo Cobra Chris Niarchos, un nativo de Toronto que dijo que era la primera vez que oía hablar de la estafa de los listados web.

"Mark solía proporcionarnos algunos servicios, pero entendí que eso se detuvo hace mucho tiempo", dijo Niarchos. “Solía ​​ser dueño de una empresa de marketing que suministramos, pero ese contrato terminó hace unos 12 años. Así nos conocimos. Después de eso, comenzó algunos negocios basados ​​en Internet donde nos vendió servicios como cliente a distancia. Eso también se detuvo hace muchos años nuevamente, ya que lo hicimos todo en casa. Hasta donde yo sé, hizo esto para muchas compañías y nosotros simplemente éramos un cliente suyo. En mis tratos con él obtuvimos lo que pagamos, pero nunca tuvimos una relación más estrecha que esa ”.

CONEXIONES USA

Dos cosas más pequeñas, posiblemente insignificantes, pero interesantes. Primero, si volvemos y miramos las publicaciones archivadas de markscottblog.com en 2010, podemos ver una serie de entradas en las que defiende el honor de Cobra Group, Appco y otros programas de marketing multinivel que apoya, diciendo que son No estafas. Si volvemos a 2008 y miramos Perfil de Mark Scott en Blogger.com, podemos ver en la parte inferior de la página un enlace llamado "Consultas y correos electrónicos. "

Al visitar ese enlace, aparece lo que parece una página pública de correos electrónicos aparentemente vergonzosos enviados al Sr. Scott por estafadores que intentan configurarlo para algún tipo de esquema de verificación falsa en relación con el alquiler de una de las propiedades del Reino Unido que figuran en sus diversos alojamientos web. sitios. Haga clic en el Pestaña "Contacto" en la parte superior derecha de esa página y verá que Travel Scotland tiene un número de teléfono de EE. UU. que los clientes potenciales aquí en los estados pueden usar para hacer reservas sin cargo.

Ese número está en Connecticut. Recuerde que la dirección que figura en los registros de propiedad de muchos de los dominios de Listados web vinculados a las identidades de "James Madison / Mark Carter" era para una dirección en Connecticut.

Finalmente, quería mencionar algo que me ha dejado perplejo (hasta hace muy poco) desde que comencé esta investigación hace un par de años. Se devuelven dos dominios inesperados cuando uno realiza una búsqueda inversa en un par de puntos de datos persistentes diferentes en los registros de registro de WHOIS para los dominios de Listados web. Vea si puede detectar el pato extraño en esta lista producida ejecutando una búsqueda inversa en Domaintools en info@web-listings.net (la dirección de correo electrónico de contacto que se muestra en la carta enviada anteriormente):

Nombre de dominio Fecha de Creación Registrador
finzthegoose.com 03/08/2010 enom, inc.
web-listings.net 2007-04-24 ENOM, INC., ENOM, LLC
web-listingsinc.com 2015-11-06 ENOM, INC., ENOM, LLC
weblistingservices.com 23-04-2007 ENOM, INC., ENOM, LLC
weblistingsinc.com 21/06/2014 GODADDY.COM, LLC
weblistingsinc.net 09/02/2016 ENOM, INC., ENOM, LLC
weblistingsreports.net 2015-11-06 ENOM, INC., ENOM, LLC
webservicescorp.net 2007-06-03 ENOM, INC., ENOM, LLC
websiteservicescorp.com 2007-06-03 –

Diez puntos si dijiste "finzthegoose.com". Ahora realicemos una búsqueda en el número de teléfono de Mark Carter, la persona falsa detrás de todos los dominios de Listados web registrados en la dirección de las Cataratas del Niágara, + 1.716-285-3575. ¿Qué destaca de esta lista?

Nombre de dominio Fecha de creación Registrador
aquariumofniagara.org 2001-01-11 GODADDY.COM, LLC
web-listings.net 2007-04-24 ENOM, INC., ENOM, LLC
web-listingsinc.com 2015-11-06 ENOM, INC., ENOM, LLC
weblistingservices.com 23-04-2007 ENOM, INC., ENOM, LLC
weblistingsinc.com 21/06/2014 GODADDY.COM, LLC
weblistingsinc.net 09/02/2016 ENOM, INC., ENOM, LLC
weblistingsreports.net 2015-11-06 ENOM, INC., ENOM, LLC
webservicescorp.net 2007-06-03 ENOM, INC., ENOM, LLC
websiteservicescorp.com 2007-06-03 –

Si estás eligiendo un tema de vida acuática y marina aquí, eres dos por dos. Ese es en realidad el número de teléfono real del Acuario de Niágara; la gente de Listados en la Web, por alguna razón, decidió incluirlo en sus registros de WHOIS como suyo.

Parece que un escocés llamado Robert Paul Graham Scott – tal vez el hermano mayor de Mark – estaba en la misma línea de trabajo (SEO y publicidad) y proxenetas exactamente las mismas compañías que Mark. De acuerdo a un listado en Companies House, el libro de contabilidad oficial de las corporaciones en el Reino Unido, Paul Scott fue durante cuatro años hasta septiembre de 2019 un director en HMGT Services Ltd. (HMGT significa el mencionado HelpMeGo.To business).

La propia presencia de Paul Scott en Internet dice que vive en Perth, a poca distancia de la ciudad natal de Mark en Blairgowrie, Escocia. Al igual que Mark, Paul Scott no respondió a las solicitudes de comentarios. Pero el perfil de Twitter de Paul Scott: @scubadog_uk – lo muestra twitteando mensajes que respaldan muchas de las mismas compañías y causas que Mark durante la última década.

Más concretamente, el sitio web de Paul: scubadog.co.uk – dice que tiene un interés permanente en la fotografía submarina, el buceo y todo lo relacionado con el mar.


Etiquetas: Appco Group, asaltadores de caridad, Chris Niarchos, Cobra Group, DomainTools.com, Farsight Security, GDS International, gdsinternationalus.com, gobananas.com, helpmego.to, HMGT Services Ltd., Mark A. Scott, Redwoods Advance, reputaciónmanagementforfor .com, Robert Paul Graham Scott, scubadog_uk, web-listings.net, web-listingsinc.com, weblistingservices.com, weblistingsinc.net, weblistingsinc.org, weblistingsreports.net, webservicescorp.net, websiteservicescorp.com, webtechnologiesletter.com

Esta entrada fue publicada el lunes 23 de marzo de 2020 a las 4:17 pm y está archivada en Breadcrumbs, Web Fraud 2.0.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2.0.

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia original