Сам влетал на этот фишинг...В итоге минус 250к, и отключение магазина примерно на 4 дня.
Ситуация была очень интересная - Заходил на blacksprut.com, ддос-капча (в адресной строке было всё верно, при вводе логина пароля что самое интересное было тоже всё верно. )А вот когда открывалось окно с PGP ключем, то уже была ошибка в домене. Ввёл pgp- выкинуло на капчу. Удивился, смотрю в адресную строку, а там так же всё верно. Ну и второй раз логин пароль pgp, опыть выкинуло. Подумал я лагает сайт) Но нет же, при третьей попытки ввода логина и пароля, я получил уже не окошко ввода pgp, а окошко ввода 2fa от Гугл аутентификации))
Прокладочку фишеры сделали профи, прям аплодирую.
Когда я вводил pgp, получается я уего уже вводил не себе, а фишерам, и они вошли. При второй попытке ввода pgp (Это получился запрос на отклчение pgp у фишеров) ну а далее установка 2fa от гугла и всё..)
До этого думал что махинации с pgp нереальны.
Почему происходил этот редирект? Большинство скажет что это зараженный комп\андройд\малвари трояны черви. Закриптованые билды ну и так далее.
Скажу сразу в моём случае это исключено.
У меня предположение на тот момент было такое - Редирект происходил когда я заходил на клир ссылку, но при поднятом TOR. Так вот мосты тор были не проверенные. И мне кажется дело было в них.
Так же была информация что у Админов Гидры были личные ноды мосты в "луковице" для быстрого доступа к сайту, и быстрой загрузке страниц. Так вот после падения гидры, мосты остались действующие. И через них возможно сделать редирект..Но это как предположение
