Melacak โMessrs Gatesโ dan Jaringannya
Apa sih Messrs Gates? Messrs Gates adalah sebuah web/portal yang beralamat messrsgates.com. Web tersebut menawarkan Phishing-as-a-Service (PaaS) atau menjual scampage.
Lalu apa itu scampage? Yang dimaksud dengan scampage disini adalah sejumlah script yang fungsinya untuk menipu/memancing korban agar menyerahkan informasi pribadi seperti username, password dll.
Scampage akan dibuat semirip mungkin dengan web aslinya. Misal targetnya adalah apple.com maka scampage tersebut akan dibuat semirip mungkin dengan web apple.com untuk mengelabui korban.
Disclaimer: Semua data-data yang ada dalam tulisan ini dapat diakses oleh publik. Tidak ada data yang diperoleh secara ilegal.
Awalnya karena melihat tweet dari @MaelSecurity, saya notice screenshot dari file readme.txt dalam scampage itu berbahasa Indonesia. Apakah author scampagenya orang Indonesia? Apakah yang jualan Phishing-as-a-Service ini orang Indonesia? Mari kita cari tahu.
Karena disini saya hanya mempunyai domain messrsgates.com sebagai informasi awal, maka mari mulai dari situ. Lakukan WHOIS pada domain tersebut.
Informasi registrasi domain messrsgates.com sudah diedit menjadi privasi jadi saya tidak bisa melihat siapa yang mendaftarkan domain tersebut. Web tersebut juga diatur dibelakang Cloudflare.
Karena dari informasi WHOIS domain tidak ditemukan apa-apa, saya mencoba fokus ke nama messrsgates. Kenapa? Karena unik. Menurut saya jarang orang menggunakan nama itu. Dan benar saja, saya menemukan beberapa profil dari nama tersebut.
Ini beberapa profil yang ditemukan dengan nama messrsgates.
https://t.me/messrsgates (kontak admin messrsgates.com)
https://www.reddit.com/user/messrsgates/
https://blog.naver.com/messrsgates
https://github.com/messrsgates
https://en.gravatar.com/profiles/messrsgates
Satu profil yang menarik buat saya adalah profil Gravatar. Pada profil Gravatar itu terdapat foto dan link ke website lain. Perhatikan baik-baik foto profil dan website yang ada dalam profil tersebut.
Pada profil Gravatar tersebut ada dua website yaitu aigonesia.id dan aigofeed.com. Saya buka kedua web tersebut dan mencari informasi apa saja yang bisa diperoleh dari situ.
Pada bagian โSiapa Kami?โ dari aigofeed.com saya menemukan satu email yaitu mgxxxy@gmail.com.
Dari email tersebut saya menemukan satu nama yaitu Muhammad Gholy.
Lalu saya googling dengan kata kunci โMuhammad Gholyโ dan menemukan sosial media Instagram dan Twitter dengan nama yang sama.
Pada profil Instagram dengan username muhammadg3100, saya menemukan foto yang sama persis dengan foto profil Gravatar diatas tadi.
Web aigofeed.com menggunakan WordPress jadi saya bisa meng-enumerate semua user lewat /wp-json/wp/v2/users. Saya menemukan user dengan nama messrsgates.
Versi jelasnya bisa dilihat disini https://pastebin.com/1epiy4Mm. Gambar dibawah ini adalah user messrsgates pada web aigofeed.com. Perhatikan foto profilnya. :)
Dari hasil pencarian, saya juga menemukan halaman Github yang mengaitkan Muhammad Gholy dengan messrsgates.com. Sebelum menjual scampage sepertinya messrsgates.com ini membuat tools untuk cracking, bruteforce & carding.
Pada gambar diatas ada nama Mohammad Gholy, email muhammadg3100@gmail.com juga domain messrsgates.com. Perhatikan nama email tersebut sama dengan username Instagram diatas yaitu muhammadg3100.
Lalu saya mencari informasi lagi dari email muhammadg3100@gmail.com dan ini yang saya temukan.
Lagi-lagi menemukan nama Muhammad Gholy dan foto email dengan jaket yang sama dengan profil-profil diatas. Dipostingan Instagram ini https://www.instagram.com/p/BiQtonuni1_/ ada dua foto menggunakan jaket yang sama.
Informasi Google Maps dari email muhammadg3100@gmail.com, saya menemukan area check-in terbanyak di daerah Tangerang Banten. Bisa jadi lokasi fisik Muhammad Gholy adalah daerah Tangerang.
Lokasi diatas diperkuat dengan beberapa profil milik Muhammad Gholy lainnya yang juga memiliki lokasi di Tangerang Banten.
Untuk profil Kaskus diatas pernah dilaporkan melakukan scam dengan nomor telepon, email dan nomor rekening atas nama Muhammad Gholy. Buktinya bisa dilihat pada link dibawah ini.
Monitoring alamat Bitcoin yang terdaftar pada web messrsgates.com.
Sebenarnya sampai disini sudah mau saya posting tulisan blog ini tapi karena penasaran, saya login ke web messrsgates.com dan mencari clue apalagi yang bisa ditemukan. Lalu pada bagian pembayaran, saya coba memilih pembayaran menggunakan Perfect Money.
Setelah sampai ke halaman web Perfect Money kemudian saya batalkan pembayaran. Ternyata redirect kembali bukan ke messrsgates.com tapi ke osaze.club. Disini ada koneksi antara messrsgates.com dengan web Email Boomber Service osaze.club. Jika diperhatikan, Payment id Perfect Money juga atas nama Osaze.
Saya kembali googling dengan kaca kunci โmessrsgatesโ dan menemukan beberapa profil forum. Salah satu profil yang menarik adalah pada web Cracking Pro.
Pada salah satu postingan dari profil tersebut ada web Osirish Network osirish.club dan kontak yang mengarah ke Telegram messrsgates.
Sepertinya osirish.club ini adalah pusat jaringannya. Terdapat link ke messrsgates.com, osaze.club dan juga hexablaze.club yang isinya jualan kartu kredit hasil scam.
Telegram channel Osirish Network juga terlihat mempromosikan messrsgates.com sebagai penjual scampage pada pinned messagenya.
Saya juga menemukan tool python bernama osirish dengan tagline โUnderground internet tool, useful for hacker. Making your work easier and fasterโ. Perhatikan deskripsi tool menyebutkan osirish.club dan foto profil Mainteners menggunakan logo aigofeed.
Profil LinkedIn Muhammad Gholy juga menyebutkan dia adalah CEO dari Aigonesia.
Halaman Facebook Muhammad Gholy juga ada jejak digital Osirish Network dan Aigonesia.
Jadi Phising-as-a-Service (PaaS) messrsgates.com, Email Boomber Service osaze.club, Marketplace hexablaze.club dan Osiris Network osirish.club secara langsung atau tidak terkait dengan juga Aigonesia, AigoFeed dan Muhammad Gholy.
Berikut ini adalah beberapa link pendukung yang saya temukan.
https://www.osirish.club/ - https://t.me/osirishclub
https://www.hexablaze.club/ - https://t.me/hexablaze
https://www.messrsgates.com/ - https://t.me/messrsgates
https://www.osaze.club/
https://www.aigonesia.id/
https://www.facebook.com/AigonesiaID
https://www.instagram.com/aigonesiaid/
https://www.aigofeed.com/
https://www.facebook.com/aigofeed/
https://www.instagram.com/aigofeed/
https://en.gravatar.com/aigonesia
https://en.gravatar.com/profiles/messrsgates
https://github.com/messrsgates
https://gist.github.com/messrsgates
https://www.reddit.com/user/messrsgates
https://www.fiverr.com/messrsgates
https://themeforest.net/user/messrsgates
https://audiojungle.net/user/messrsgates
https://codecanyon.net/user/messrsgates
https://www.chess.com/member/messrsgates
https://www.roblox.com/user.aspx?username=messrsgates
https://blog.naver.com/messrsgates
https://www.xboxgamertag.com/search/messrsgates
https://steamcommunity.com/id/messrsgates
http://www.tf2items.com/id/messrsgates/
https://www.instagram.com/messrsgates/
https://icq.im/messrsgates
https://www.cnpython.com/pypi/messrsgates
http://bit.ly/messrsgates
https://blackspigot.com/members/messrsgates.341280/
https://darknetweb.ru/trader/history?user_id=3110
https://crdcrew.cc/members/messrsgates.849/
https://prtship.pro/members/messrsgates.10093/#about
https://legitcarders.ws/members/messrsgates.187/
https://twitter.com/muhammad_gholy
https://www.instagram.com/muhammadg3100/
https://id.pinterest.com/justgolix/_saved/
https://id.pinterest.com/mgholy/_saved/
https://www.coursehero.com/subjects/muhammad-gholy/
https://www.kaskus.co.id/@golixvegends/
https://github.com/muhammadg3100
https://www.fiverr.com/muhammadg3100
https://en.gravatar.com/muhammadg3100gmailcom
Semoga web-web ilegal tersebut bisa segera ditindak oleh pihak yang berwajib. Terima kasih sudah membaca.
Jaga kesehatan! ๐ท๐ท๐ท
[OSINTUITION]
