борьба с воровством Откуда можно качать модули?
Порой пользователи OpenCart (особенно начинающие) сталкиваются со всякими «мутными» ресурсами, где им предлагают скачать различные модули и шаблоны, либо купить их по привлекательной цене. К сожалению, владельцы таких ресурсов все больше наглеют и пытаются зарабатывать на своих посетителях, пользуясь их неосведомленностью. Для этого они делают свои веб-сайты похожими на легальные площадки, поэтому неопытному человеку очень легко запутаться среди всех этих ресурсов.
Предлагаю решить проблему неосведомленности пользователей о том, можно ли доверять какому-то ресурсу, с помощью создания базы опасных ресурсов, распространяющих вредоносное ПО. Родилась идея сделать простой проверочный сервис Warez.RIP.
Данный веб-сайт предназначен для того, чтобы помочь пользователям OpenCart отличать легальные ресурсы, где выкладываются подлинные модули и шаблоны для OpenCart, от варезников, где распространяется взломанное и вредоносное программное обеспечение под видом легального.
Варез (от wares, мн.ч. software – Программное Обеспечение, ПО) – незаконным путем распространяемое программное обеспечение с нарушением авторских прав, взломанным и модифицированным исходным кодом. Обычно код модифицируется, чтобы можно было его использовать бесплатно, но в виде «бонуса» пользователи взломанных модулей и шаблонов получают разного рода вредоносное ПО – трояны, майнеры, скрытую рекламы и т.д. Ведь взломщики стараются не просто так, а чтобы как-то монетизировать свою деятельность.
Как понять, что перед вами – варезный сайт?
Понять, что вы столкнулись с варезником, не так уж сложно, если знать их характерные черты:
- В разделах с дополнениями вы видите слова «nulled», «cracked», «без ioncube», «складчина»
- Наличие «подписки», «vip-аккаунта» и прочих механизмов, открывающих доступ ко всем дополнениям сразу
- От вас требуют совершить какое-то действие, чтобы скачать файл (поставить лайк, подписаться)
- Скачивание дополнений ограничено для тех, кто недавно зарегистрировался, но ограничения можно снять за отдельную плату
- Все дополнения загружены несколькими пользователями, имеют одного автора с логином «admin» или не имеют авторов вообще
- Ссылка на загрузку дополнения лежит под спойлером (хайдом), для раскрытия нужно заплатить администрации
- На дополнения организовываются «складчины», т.е. групповая покупка одного дополнения
- После скачивания файла вы обнаруживаете, что он запаролен, а чтобы узнать пароль, нужно платить администрации
- Отсутствует какая-либо юридическая информация, а из контактов указан только скайп или электронка
- Сайт копирует дизайн или использует отдельные его элементы с официальных сайтов
- Ссылки на загрузку дополнений ведут на бесплатные файлообменники, но не на сервер самого ресурса
- Отсутствует хоть какая-то информация о самом сайте, используются общие фразы типа «Мы команда опытных веб-дизайнеров и веб-разработчиков» без какой-либо конкретики или портфолио
- У дополнений нет демо-сайтов, потому что у мошенников нет ресурсов/квалификации, чтобы делать отдельные демо на каждое выложенное дополнение
Конечно, это не все признаки того, что ресурс однозначно представляет опасность, поэтому если вы не уверены, с каким именно ресурсом имеете дело, воспользуйтесь этим сайтом и просто введите адрес подозрительного ресурса в поле ввода. Если нам что-либо известно об указанном ресурсе, вы сразу получите информацию.
Как взломщики обманывают пользователей?
Рассмотрим на примере работу одной из таких пиратских площадок, которая настолько удачно «прикидывается» легальной, что даже в Яндексе додумались дать на нее ссылку из своего официального руководства по интеграции метрики (со временем после обсуждения на форуме убрали, но пример показателен).
- Берется какой-нибудь популярный модуль с официальной площадки или с нашего OpenCartForum, к примеру – известный модуль упрощенного оформления заказа AJAX Quick Checkout PRO
- Его взламывают (или находят на какой-то соседней варезной помойке старую версию), переименовывают так, чтобы название отражало суть, но не полностью совпадало с оригиналом - например, AJAX Quick Checkout PRO превратился в Custom Quick Checkout для Opencart.
- Делаются скриншоты модуля, но так, чтобы по ним не сразу было понятно, что это за модуль в оригинале (пираты, естетственно, не делают никакого демо-сайта для демонстрации работы модуля), например – сравните старую версию вышеупомянутого AJAX Quick Checkout от разработчиков Dreamvention и скриншот супер-пупер модуля «Custоm Quісk Сhесkоut для Ореnсаrt» от пиратов (найдите 10 отличий – оригинал и пиратская копия).
- В итоге модуль выкладывается пиратами с ценой гораздо скромнее оригинала, чтобы потенциальные любители халявы не сильно пугались – на сейчас оригинал стоит больше 50$, а пиратская подделка с неизвестно каким содержимым – в 7 раз дешевле.
- Разумеется, никакой внятной техподдержки пираты оказывать не могут и не будут, поскольку они не являются авторами выкладываемых дополнений и зачастую вообще в них не разбираются, ведь их бизнес - обычная продажа краденого, а не поддержка или разработка чего-то нового или хотя бы своего.
Благодарности
Хочется выразить огромную благодарность всем, кто в свое время помогал и продолжает помогать с наполнением базы пиратских ресурсов.
Абсолютным лидером в плане активности является @AlexDW, за что ему отдельное спасибо!
Всем, кого смог вспомнить по перепискам и связанным темам, в частности: @ArtemPitov @Bn174uk @costas @Exploits @halfhope @HyperLabTeam @invays @klaos27 @markimax @matroskin92 @mpn2005 @OCdevWizard @Sha @shoputils @SooR @sv2109 @Tom @whiteblue
А также тем, кто пожелал сохранить анонимность - спасибо! Заранее прошу прощения у тех, кого забыл отметить, напишите мне и я исправлюсь.
UPD: На сегодня (8 июня 2022 года) в базу добавлено 125 ресурсов, спасибо всем неравнодушным, кто помогает с наполнением базы!
UPD2: Должно быть очевидно, что доступ к профилю @RGB и к его публикациям есть только у меня, поэтому если кто-то где-то представляется мною и предлагает использовать проверочный сервис с адресом, отличающимся от warez.rip (раньше использовался адрес check.mnmkr.com), то это точно не я и доверять этой информации не стоит.
UPD3: В силу своей многочисленности из списка вредоносных ресурсов были исключены социальные сети, т.к. сообщества в них регулярно появляются, исчезают и меняют свои адреса, поэтому отследить их всех и поддерживать их список в актуальном состоянии не представляется возможным. В подавляющем большинстве случаев сообщества в соцсетях распространяют пиратские дополнения, поэтому к таким ресурсам всегда относитесь с подозрением, если это не официальные сообщества легальных площадок. То же самое касается тематических каналов в мессенджерах, например, групп в Telegram, где «делятся» модулями и шаблонами.
UPD4: Не надо присылать мне свои магазины для проверки легальности установленных там дополнений, я не могу индивидуально проверять каждый отдельный случай. Требуйте у своих исполнителей данные о том, откуда они взяли установленные у вас дополнениия, берите номера заказов и отправляйтесь к авторам дополнений с вопросами о легальности покупок.
-
19
114 комментариев
Рекомендованные комментарии
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас