Як фейкова «е-Квитанція» на 35 тисяч вивела на мережу CPA-сайтів, Asterisk-PBX і справу Офісу Генпрокурора

Анонімне OSINT-розслідування. Без VPN, без активних атак, без єдиного NDA – лише публічні дані, RIPE, crt.sh, Wayback, ЄДРПОУ, реєстри судових рішень і трохи здорового цинізму.

Для тих, хто читає лише перший абзац

Якщо тобі прийшла SMS від «eKredit.ua» з «е-Квитанцією №К-937» на 35 032 грн і посиланням на ekredit.org/k-e-start – вітаємо, ти у базі клієнтів Moneyveo, яку CPA-мережа LetMeAds легально зібрала ще у 2017-2019, коли Moneyveo була її топ-партнером із ставкою 270 грн за лід (привіт з Wayback Machine, archive снапшот letmeads.com/2018-02-03).

Через 6 років після того, як Moneyveo пішла від них – база залишилась. CPA-договори, як ви здогадались, не передбачали її знищення. А оскільки в оператора в Конотопі стоїть власна Asterisk PBX + SMS-шлюз + 128-SIM GOIP-32 ферма (Freelancehunt-проєкт травень 2025, технічне завдання саме на «обхід антифроду Vodafone↔Vodafone»), вечір 20 травня 2026-го було чим зайняти.

А найкраще – оператор уже 3 роки фігурує у кримінальному провадженні Офісу Генпрокурора проти CreditPlus/Aventus як #10 у списку 52 суб’єктів. Просто ніхто з нас цього досі не пов’язував з фішингом, бо мафіозне ім’я у бази даних реєстру звучить як «ТОВ ПАРТНЕРСЬКІ ПРОГРАМИ».

1. Артефакт

[Alpha Sender: eKredit.ua]

🧾 е-Квитанція №К-937

Операція: переказ
Сума: 35 032 грн
Метод: автоматичний
Дзвінки: 0

Підтвердити:
https://ekredit.org/k-e-start

11:35 ранку, iOS. Жертва – недавній клієнт Moneyveo. Спочатку схоже на ще один шаблонний скам «терміново підтвердьте». Але далі починаються цікаві речі.

2. Перша дивна деталь: домен старший за пів інтернету

ekredit.org. WHOIS-history через WhoisXMLAPI – 39 записів за 14 років:

Тобто домен жив 14 років, обріс репутацією в антифрод-фільтрах, його дропнули, а нові «власники» підняли його через 4 дні перед стартом SMS-кампанії. Це не випадковість, це aged-domain abuse – класична техніка, бо свіжо-зареєстрований .org ловиться Google Safe Browsing за добу, а 14-річний – пропускає.

Реєстратор – Hosting Ukraine LLC. NS – inhostedns.{com,net,org}. Сертифікат – Let’s Encrypt E8, видано 2026-04-12 (щомісячна ротація). Все за підручником.

3. Сервер, який видав сам себе

ekredit.org живе на IP 85.223.215.163. Стандартна перевірка через reverse-IP і urlscan повертає список того, що ще крутиться на тому ж nginx:

• bablos.com.ua – лідген МФО Miloan (футер прямо вказує: 04107, Київ, Багговутівська, 17-21, ТОВ «МІЛОАН» ЄДРПОУ 40484607)

• bigcredit.com.ua, creditpuls.com.ua, minicredit.in.ua, creditking.com.ua, moneybox.in.ua – кластер CPA-приманок «кредит 0,01%»

• info.ekredit.org – субдомен, який віддає og:url=https://bablos.com.ua/ (тобто це той самий лідген, тільки під брендом фішинг-домену)

Подивимось на сусідні IP в /29:

Ефективно: 5 активних серверів у /24, всі – LetMeAds. ASN корекція – це не «GTUA shared», як спочатку показував whois-shell, а AS15895 KSNET Datagroup, Бровари, dedicated hosting, орендований під operational tier. Це їхній dedicated прод.

4. Що саме можна знайти у crt.sh, якщо не лінуватися

Підписуємо Certificate Transparency на letmeads.com і отримуємо 33 субдомени, 512 сертифікатів. Виокремлюємо найсмачніше:

vf-sms.letmeads.com
ast.letmeads.com
ast-cc.letmeads.com
ast-pg.letmeads.com
numbers.letmeads.com
vi-bots1-4.letmeads.com
tg-parsee.letmeads.com
call.letmeads.com
pdl.letmeads.com
ad.letmeads.com

Тобто оператор володієповним SMS-spoofing-стеком: Asterisk + SMS-gateway + база номерів + Telegram-парсер для збагачення таргетингу. Це саме той вектор, яким приходить «е-Квитанція №К-937» з підміненим Alpha Sender. Технічна спроможність здійснити атаку – доведена через публічні CT-логи до того, як ми взагалі заглянемо у логи самих жертв.

Підтвердження прийшло за два тижні з Freelancehunt: проєкт травня 2025 від користувача Letmeads2, технічне завдання – «налаштування GOIP-32 (4 шт., 128 SIM) під Asterisk, обхід антифроду Vodafone-Vodafone, інтеграція з SMS API». +30 днів до запуску ekredit.org. Coincidence? I don’t think so.

5. PDL-backend, який забули закрити

Йдемо в Censys, шукаємо за SSH host-key fingerprint самих їхніх серверів. На IP 185.124.8.185 (www.pdl.letmeads.com, Hosting Ukraine) знаходимо:

• FTP 21 ✓

• SSH 22 ✓

• HTTP 80 ✓

• MySQL 3306

• HTTPS 443 ✓

Той самий SSH-fingerprint + той самий ProxySQL cert → знаходимо sibling 185.104.44.166 (business-59.default-host.net). Replica з ідентичним golden image. Розкривати вміст MySQL ми, звісно, не будемо – це вже стаття 361 КК для нас, а не для них. Але факт експозиції на 100% задокументований публічними сканами Censys.

6. Постбек, якого не мало бути на GitHub

Через GitHub Code Search знаходимо репозиторій wearesho-team/bobra-cpa (харківська dev-студія, що пише код для МФО). Файл src/Letmeads/SendService.php містить буквальну імплементацію постбеку до LetMeAds:

GET https://ad.letmeads.com/api/v1.1/{client_secret}/get/postback.json
    ?code=Y
    &ref_id={mfo_id}
    &click_id={letmeads_ref}

Бонусом у сусідньому репозиторії artjoker/cpa лежить приклад client_secret у вигляді y7r/dcfgs1tg:awvv47ghn1jv1f$am.

Production secret у публічному репозиторії, шість років. Це не баг – це жанр.

З тих самих репо випадають імена МФО-клієнтів LetMeAds, мапа CPA-mesh з 17 мереж, і повне розуміння того, як саме лід проходить між гравцями індустрії. Якщо коротко: кожен лід продається паралельно у 3-5 МФО, які потім ділять його через postback-війну «хто перший видав».

7. Wayback Machine – машина часу, що руйнує алібі

Заходимо на web.archive.org/web/2018-02-03/letmeads.com/. Що бачимо? Каталог партнерів. Хто топ-1 з ставкою 270 грн за лід? Moneyveo.

[2018-02-03]
letmeads.com → топ-партнер: MoneyVeo
ставка: 270 UAH / lead

[2019-07-XX]
Moneyveo зникає з каталогу

[2025-06-02]
ekredit.org реєструється через Hosting Ukraine

[2026-05-20]
SMS з «е-Квитанцією» починають отримувати
колишні клієнти Moneyveo

Це не «можливо, був партнером», не «імовірно». Це публічний архівний снапшот, де Moneyveo прямим текстом висить на головній. Тобто LetMeAds легально отримував phone+ПІБ+ІПН клієнтів Moneyveo через стандартний CPA-канал щонайменше півтора-два роки, поки партнерство не розірвалось.

Що відбувається з базою після виходу партнера у CPA-моделі? Нічого. Жоден стандартний CPA-договір в Україні не вимагає її знищення. База залишається в БД оператора назавжди. У нашому випадку – 6 років. Потім її дістали з полиці.

8. Хто такий «оператор» з паспортними даними

Тут починається ОSINT-частина для дорослих.

LinkedIn-профіль vladimir-samoilov-b99085162 декларує себе CEO LetMeAds. Email на сторінці actualtraffic.ru – [email protected]. Three breach-matches цього email (1win.ru RU casino, cit0day.in, text.ru з Citadel-модуля). Це фаза 5 – атрибуція 95%.

Фаза 7 додає смаку. Через TelegramDB-витік (phone-OSINT – стандартна, хоч і морально гнила технологія) для номера +380963000045 (юр.phone ТОВ «ІНФОРМАЦІЙНИЙ РЕСУРС» 43042782) повертається:

ПІБ:
Самойлов Володимир Володимирович

DOB:
10.02.1988

Регіон:
Київ
(вул. Володимира Світлицького 24А,
корп. 22, кв. 5)

Уродженець:
м. Конотоп
(Сумська область)

Emails:
5 адрес, включно з
[email protected]

Telegram:
3 хендли, включно з
@v_samojlov

Через ЄДРПОУ тягнемо корпоративну структуру. І знаходимо те, що ставить вишеньку на цей торт.

9. «ЛЕТМІЕДС» офіційно існує. Просто ніхто не дивився

Phase 4 v3.0 нашого ж розслідування писала: «юр-особа в ЄДРПОУ відсутня, ймовірно ФОП або офшор». Phase 6 цей висновок reverse-нула.

ТОВ «МЕРЕЖА ПАРТНЕРСЬКИХ ПРОГРАМ ЛЕТМІЕДС», ЄДРПОУ 41389384, з 09.06.2017.

Юр.адреса – 41615, м. Конотоп, вул. Успенсько-Троїцька, 37А. За тією ж адресою – ще 6 ТОВ Самойлова. У Києві – 8-й вузол ТОВ «ФІНТЕК ПАРТНЕРС» (ЄДРПОУ 45735130), зареєстрований 23.05.2025 – за 10 днів до підняття ekredit.org. Capital 250 000 UAH, KVED 62.01 + реклама. Це post-scandal pivot vehicle: коли стара ТОВ ЛЕТМІЕДС вже почала збирати податкові борги, оператор просто відкрив нову.

UBO 100% на всіх – Самойлов В.В. Альона – дружина, nominee director, 0% equity. На одній з ТОВ (ЛЕТМІЕДС) директором з 2022 стоїть Острівський Євгеній Васильович – і це не випадкова свіжа особа з фрилансу.

10. Острівський, або «nominee, який ним не є»

Стандартна гіпотеза, коли бачиш заміну реального бенефіціара на «директора» – це nominee, підставна особа, можливо взагалі ID-theft. Перевіряємо.

• Sarancha Clan, digital-агенція, Київ Попудренка 1а, services «Affiliate Marketing» – співзасновник Острівський, травень 2017 (за 1 місяць до інкорпорації ЛЕТМІЕДС, 09.06.2017).

• LinkedIn linkedin.com/company/affdogs – робить 301-редирект на linkedin.com/company/letmeads. AFFDOGS і LetMeAds – одна і та сама сторінка з різними vanity-URL.

• KNU Software Engineering 2015-2019 + Agrostudio sys-admin 2015-2018 – реальна освіта і кар’єра, не ID-theft.

• ФОП у Конотопі – той самий регіон, що і Самойлов.

• А головне – в letmeads-for-partners.pdf, який лежить публічно на їхньому сайті, на рядку контактів стоїть тріада:

@v_samojlov @YevheniOs @surrealistic

• @YevheniOs = Yevheni Os(trovskyy). Це не support-контакт у футері. Це team-of-three core management, виставлений рівноправно з CEO. Острівський – співучасник зі свідомою позицією, 80-85%, а не unknowing nominee. Зараз живе в Marblehead, Massachusetts (через LinkedIn). Привіт з Hague Convention.

• @surrealistic – кандидат Artem Kurinnyi, AI Creative Specialist, по LinkedIn справно крутить рекламу для Gamzix / Bodroclub / Creogang. 70% confidence, але триада виглядає стабільною.

11. І найкраще: усе це вже у справі №757/31702/22-к

Заходимо в Єдиний державний реєстр судових рішень і шукаємо 44144007 (ТОВ ПАРТНЕРСЬКІ ПРОГРАМИ – операційне юр-обличчя холдингу з капіталом 3 млн UAH).

Знаходимо кримінальне провадження №757/31702/22-к:

• Веде: Офіс Генерального прокурора України – Департамент нагляду за організованою та транснаціональною злочинністю

• Головна мішень: ТОВ «АВЕНТУС УКРАЇНА» ЄДРПОУ 41078230, бренд CreditPlus, #1 МФО ринку 11%, UBO Andreus Trofimov (Vilnius)

• Стаття: «проти власності» (Розділ VI ККУ), найімовірніше ст. 190 КК + ст. 28 КК (ОЗГ)

• 11.11.2022 Печерський райсуд видав ухвалу про тимчасовий доступ до документів 52 суб’єктів за період з 01.01.2020

• 20.02.2024 Київський апеляційний суд (ухвала 117187985) відмовив Aventus у відкритті апеляційного провадження

• Стадія: досудове розслідування, продовжується станом на травень 2026

У списку 52 суб’єктів (з них 13 ТОВ):

Тобто Самойлов уже з листопада 2022 на радарі Офісу Генпрокурора як один з 13 корпоративних суб’єктів у CPA-екосистемі CreditPlus. Поряд з Admitad, який в принципі – найбільша CPA-мережа всього пострадянського простору.

Іронія: коли у грудні 2024-го Сумський окружний адмінсуд штрафував ТОВ ЛЕТМІЕДС на 9 525 UAH за податковий борг (справа 480/9685/24) – це були копійки на тлі того, що ОГП щодо тієї ж особи вже три роки веде справу про ОЗГ. У нашій країні два провадження проти однієї структури можуть йти паралельно, не знаючи одне про одне.

12. Що з цим робити

Якщо ти потерпілий:

1. Не клікай на лінк. SMS – у блок.

2. Заява в Кіберполіцію – стандартно через cyberpolice.gov.ua.

3. PRIMARY TRACK: заява в Офіс Генерального прокурора, Департамент організованої злочинності, з посиланням на провадження 757/31702/22-к і проханням приєднати твій випадок як additional episode. Це не якийсь окремий новий злочин – це продовження вже відкритого.

4. Заява в Уповноваженого ВРУ про витік ПД через CPA-канал.

5. Перевірка кредитної історії в УБКІ – чи не «висять» на тобі ще якісь кредити.

Якщо ти журналіст або депутат – у цій історії є рівно одне питання, на яке нікому не хочеться відповідати:

Чому CPA-договір в Україні досі не зобов’язує оператора знищувати лід-базу після виходу партнера? Це не «бажано» і не «варто було б». Саме ця прогалина в регулюванні дозволяє подібним схемам існувати роками. Якби база Moneyveo була стерта у 2019, в 2026 не було б 35 032 фейкових гривень.

Якщо ти Hosting Ukraine LLC – у вас на двох публічних IP стоїть відкритий MySQL з prod-даними. Це не наша проблема – це ваша. Але через 30 хвилин після того, як CERT-UA отримає цей текст, це стане проблемою НБУ.

Якщо ти Moneyveo – підняти CPA-логи 2017-2019 і порахувати, скільки саме phone+ПІБ+ІПН ви передали в LetMeAds. Цифра вам не сподобається.

13. Замість фінального абзацу

Це розслідування зайняло один людино-місяць. Без жодного активного скану target-сайтів, без VPN, без єдиного запиту до Anthropic egress (бо більшість UA-сервісів його блокують), без скрапінгу реєстрів. Лише:

• crt.sh для CT-логів

• web.archive.org для тимчасової машини

• whoisxmlapi для WHOIS-history (39 records, $0 на trial)

• censys.io Free Plan для banner-pivot

• rdap.org для throwaway-доменів

• ЄДРПОУ + Реєстр судових рішень – публічні

• GitHub Code Search – публічний

• Telegram, LinkedIn, Freelancehunt – публічні

• Трохи терпіння і знання, де натиснути

Тобто все, що зробили ми, може зробити будь-який слідчий Кіберполіції за тиждень, маючи лише доступ до браузера. І той факт, що цей фішинг ще працює станом на день публікації, – це не про складність розслідування. Це про щось інше.

Stay safe. Не клікай на SMS. І, будь ласка, перестань брати мікрокредити – не тому що це соромно, а тому що твій номер потім п’ять років продаватимуть один одному 17 CPA-мереж, а на шостий рік пришлють тобі е-Квитанцію №К-937.

Дослідження повністю спирається на публічні джерела. Усі юридичні висновки – попередні, потребують верифікації офіційними процесуальними каналами. Жодних персональних даних потерпілого не розкрито. Усі IOC, доменні підписи, ЄДРПОУ-номери та посилання на судові рішення доступні через відкриті реєстри. Якщо ви – Самойлов Володимир Володимирович, і вважаєте цю публікацію наклепом, ви знаєте, де знаходиться суд. Тільки спочатку запитайте у вашого адвоката про справу №757/31702/22-к.

– анонімний колектив, травень 2026