vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
А теперь представьте, что с вашей карты пытаются списать деньги
, даже если сайт уже не существует…В этой статье хочу рассказать как я оформил “пробный доступ” за 1 ₽ - а спустя время начались попытки списать по 999 ₽. Рассказываю, как это устроено и что показала проверка открытых источников.
Материал подготовлен на основе открытых источников (WHOIS, публичные бизнес-реестры, архивы сайтов, пользовательские отзывы). Все выводы носят предположительный характер. Я не утверждаю о противоправных действиях каких-либо лиц или организаций, а описываю лишь возможные сценарии, выявленные в ходе OSINT-разбора.
На jok‑ai.org я оформил “пробник” за 1 ₽ и забыл. В августе банк показал две попытки списать 999 ₽ - так я и начал выяснять.
Списать им не удалось, так как я не держу деньги на этой карте (она у меня специально для всяких покупок и подписок в интернете, пополняю по мере необходимости, а в основном пустая), так вот, мне стало очень интересно кто это пытается списать у меня 999 ₽, я попытался зайти на сайт и вот
Без VPN так
Сайт не работает, а попытки списания продолжаются и я решил разобраться с этой схемой “1 ₽ за пробный период».
Как работает и почему её не замечают.Схема «1 ₽ за пробный период» — это классическая воронка для подписочных автосписаний.
Выглядит безобидно:
Реклама — вроде «ChatGPT без VPN за 1 ₽». Барьер минимальный (и да, именно на это они и рассчитывают).
Оплата пробника — вводишь карту, шлюз списывает символический рубль и тут же привязывает её токеном. Теперь с карты можно списывать без тебя.
Автопродление — через пару дней (в оферте это спрятано мелким шрифтом) прилетает уже полная сумма. Дальше списания идут по расписанию.
Маскировка — в выписке вместо jok‑ai.org появится что‑то вроде G OMSK RUS или PAYMENT OMSK. Это делается, чтобы вы не вспомнили, где платили (в моем случае было полностью указано, но так не всегда происходит).
Закрытие сайта — когда жалоб слишком много, домен тихо закрывают или меняют, но автосписания продолжаются у платёжного провайдера.
Почему многие не замечают?
- Малые суммы в начале. Они теряются среди повседневных трат.
- Нет уведомлений об автосписании, а push/SMS выглядит как обычная покупка.
- Иллюзия отмены после удаления аккаунта. На самом деле токен карты остаётся активным.
- Психология «потом разберусь» — время играет против жертвы.
- Отписаться сложно — процесс специально усложняют.
- Оферта прикрывает автосписания — формально всё легально, по факту — ловушка.
Что происходит «за кулисами»Первичная оплата → у платёжного провайдера уже оформлена подписка, хотя вы могли думать, что просто пробуете сервис.
Токен карты → теперь списания идут без повторного ввода данных, и это будет продолжаться до тех пор, пока вы явно их не отмените.
Списания по расписанию → деньги регулярно уходят через банк‑эквайрер юрлица, и никакой «неработающий сайт» этому не помеха.
Вот что я нашел из общедоступных источниках про :
1) На сайте пользователи жалуются: «Списывают 999 ₽ каждую неделю! Телефонов нет, на почту писала ‑ не реагируют. В приложении отключить не получается!»
2) На платформе Ответы один из комментаторов прямо пишет: « — это Мошенники!!!!... заплатила рубль за пробный период… спустя 3 дня списали 999 ₽, потом ещё через неделю 999 ₽.... Мошенническая схема … выход один — блокировать карту, перевыпустить её. … можно попытаться через банк оспорить, но гарантий никаких.»
3) На сайте говорится: «Обман, нейросеть не работает, а деньги списывают. Отписаться можно, внизу мелким шрифтом. Но за подписку никто не вернёт.»
4) Другой пользователь отметил: «Пробный период за 1 ₽ 17 мая, а 18 мая списали 998 ₽ — кнопка автоматического продления подписки, я не заметил. Скорее всего придётся перевыпустить карту и делать запрос на возврат средств.»
Вывод: судя по отзывам, многие люди столкнулись с автоматическими списаниями — от 998 до 999 ₽, после «пробного» платежа. Отказаться от такого «сервиса» крайне проблематично, а отключение подписки или возврат денег часто невозможно.
3. OSINT‑разбор
Вот что показал основной базовый OSINT‑цикл по
Расшифровка данных WHOIS по :
Регистратор: NameCheap, Inc. (это сервис, где купили домен; часто там скрывают данные владельца) → значит, домен куплен через популярного зарубежного регистратора, который позволяет скрывать данные владельца (Privacy Protect).
Дата регистрации: 13 мая 2025. Свежий домен: риск выше → часто у мошеннических схем домены «живут» 3–6 месяцев и меняются.
Дата истечения: 13 мая 2026 → Оплачен на 1 год — типичный срок для тестирования схемы.
Серверы имён (NS):
- (IP: 108.162.195.57)
- (IP: 108.162.194.200)
Статус домена:
- clientHold — домен временно приостановлен (не обслуживает трафик)
- clientTransferProhibited — запрет на смену регистратора без разрешения владельца.
IP — адреса | Организация | Впервые Увиденный | Последний Раз видели | Наблюдаемая Продолжительность |
TimeWeb Ltd. | 18.06.2025 (2 месяца) | 12 августа 2025 г. (сегодня) | 2 месяца | |
Cloudflare, Inc. | 14.05.2025 (3 месяца) | 18.06.2025 (2 месяца) | 1 месяц |
- Истинный хостинг: TimeWeb Ltd.
- IP: 80.76.60.27
- MX‑записей нет — значит, на домене не было почтовых сервисов.
- Платформа Cloudflare: 172.67.197.233 и 104.21.34.44 (это защитный слой, реальный сервер за ним не виден).
Результаты поиска по IP-адресам для «jok-ai.org».
IP — адрес | Расположение | Владелец IP‑адреса | Последний Раз Видели На Этом IP‑адресе |
172.67.197.233 | Неизвестный | Cloudflare, Inc | 2025–05–15 |
104.21.34.44 | Неизвестный | Cloudflare, Inc | 2025–05–15 |
Обратный поиск IP-адресов для 80.76.60.27 - на этом сервере размещено 0 доменов.
То, что на IP 80.76.60.27 сейчас 0 доменов, говорит о двух возможных вещах:- Сайт убрали с хостинга TimeWeb
— Домен мог быть на этом IP буквально пару дней, а потом полностью переведен за Cloudflare (или на другой хост).
— TimeWeb мог отрубить его из‑за жалоб или неоплаты. - IP выделенный, но не используется
— Иногда мошенники арендуют VPS с выделенным IP, размещают там сайт на короткое время, а потом его «пересаживают» на другой IP или хост.
Данные из оферты — по документам владелец сайта — ООО «ГАРАНТИЯ» (молодая IT‑компания с минимальной активностью). Банк — АО «ТБанк» (бывш. Тинькофф). Часть реквизитов я скрываю специально.
Wayback Machine — сайт продавал «ChatGPT 4.0 без VPN» и генерацию контента, внизу были ссылки «Отменить подписку» (работали ли они — вопрос).
Shodan — IP 80.76.60.27 сейчас пустой. Сайт снят с хостинга, но автосписания могут идти независимо от этого.
Юрлицо — зарегистрировано 15 марта 2024 года, уставный капитал 10 000 ₽, 1 сотрудник. Судебных дел нет, отчётность минимальная.
Платёжная цепочка — прямой платёжный шлюз сейчас не видно, но дескриптор «G OMSK RUS» и шаблон работы явно указывают на автопродление через агрегатор. Узнать точный эквайрер можно только запросом в банк по ID транзакции.
Если бы я копал глубже (эти шаги я не проводил в рамках этой статьи, но они полезны для будущих кейсов):• Финансовый след — поиск реквизитов в утечках, BIN‑lookup по картам, криптокошельки.
• Цифровые следы владельцев — email в Have I Been Pwned, следы на GitHub, Pastebin.
• Инфраструктура — Reverse WHOIS, SSL‑хэш, Favicon hash.
• Репутация — соцсети, форумы, отзывы.
• Легальная социальная инженерия — задать «наивный» вопрос в поддержку и посмотреть, что ответят.
4. Что делать, если уже попалсяВот советы, которые я нашел
Срочно остановить списания. Перевыпустите карту — это надёжнее всего.
В моём случае банк сразу предложил перевыпуск карты и чарджбэк, но так как списания не прошло, я отказался.Пробуйте чарджбэк. Пишите в банк: причина — «отмена подписки / услуга не оказана» (Visa/Mastercard 13.2/13.3).
Соберите доказательства. Скриншоты оферты, писем, попыток отписаться.
Сообщите агрегатору и в Роскомнадзор. Иногда это помогает быстрее вернуть деньги.
Вот небольшие советы от специалистов, которые я нашел:
- Никогда не вводить данные карты на сайте с: доменом младше 6 месяцев, обязательным Cloudflare‑прокси и без реальных контактов, подозрительно «выгодным» оффером.
- Использовать виртуальные карты для онлайн‑платежей с лимитом в 100–500 ₽.
- Подключить push/SMS‑уведомления на все списания.
5. ВыводЯ понял, что такие схемы живут годами потому, что формально они выглядят законно — в оферте мелким шрифтом всё написано, а списания идут через банк, даже если сайт уже закрылся. Люди часто не проверяют выписки, не читают условия и не пытаются вернуть деньги, поэтому организаторы могут просто менять домены и продолжать работу.
