Автор KrebsOnSecurity свыше года наблюдал за сайтом Privnotes.com, почти полной копией сервиса Privnote.com по функционалу, внешнему виду и имени домена. Причем регистрировали доменные имена явно разные организации. В результате наблюдений стало понятно, что сайт используют для мошенничества.
Сообщения, проходящие через мошенническую копию, которая, кстати, выдается поисковыми сервисами на второй позиции в результатах по запросу «Privnote», автоматически анализируются на наличие адресов кошельков криптовалюты Bitcoin. В случае, если сообщение пересылается не самому себе, а другому человеку, то кошелек автоматически подменяется на другой (принадлежащий мошенникам). Если в сообщении указано несколько кошельков, то подменяется только первый из них.
Пересылает ли человек сообщение сам себе определяется, основываясь на IP-адресах отправителя и получателя. Владельцы легального сервиса Privnote.com также подтвердили возможность подмены текста в сообщениях мошеннической версии.
Таким образом, мошенники не только пытаются своровать чужие переводы криптовалюты, но и неплохо маскируются от попыток вывести их на чистую воду.