🔍
📌 Шпаргалка #29

HYIP — анатомия финансовой пирамиды

✍️ pentestudy 📅 27.03.2026

📌 Что это / Зачем это нужно

HYIP (High Yield Investment Program) — «высокодоходная инвестиционная программа». На деле — интернет-пирамида. Сайт обещает нереальную доходность («вложи $100 — получи $150 через неделю»), выплачивает первым вкладчикам из денег новых, а когда приток иссякает — админ исчезает с кассой.

Зачем пентестеру/OSINT-специалисту это знать: HYIP-проекты — частая цель расследований (fraud investigation), баг-баунти (у них дырявая безопасность), и интересный кейс для OSINT (деанон админов). Понимание архитектуры HYIP помогает распознавать мошенничество и проводить расследования.

⚡ Как работает HYIP (механика пирамиды)

Базовая схема

  1. Админ покупает HYIP-скрипт ($150-300) — готовый движок сайта
  2. Ставит на хостинг, подключает платёжные системы, рисует красивый дизайн
  3. Запускает рекламу: «инвестируй и получай 3% в день»
  4. Первые вкладчики вносят деньги
  5. Админ выплачивает им «прибыль» из денег новых вкладчиков
  6. Сарафанное радио: «мне реально заплатили!» → приток растёт
  7. В какой-то момент выплаты превышают поступления → скам (exit scam)
  8. Сайт закрывается, админ исчезает с деньгами

Жизненный цикл

Аналогия: HYIP — это костёр. Пока подкидываешь дрова (новых вкладчиков) — горит. Как только дрова кончились — потух. Вопрос не «потухнет ли», а «когда».

Типичные сроки жизни:

  • Фасты (fast scam) — 1-7 дней, обещают 50-100% в день
  • Среднесрочные — 1-6 месяцев, обещают 1-5% в день
  • Долгосрочные (партизаны) — 6-24 месяца, обещают 0.5-1% в день, маскируются под легальный бизнес

🔧 Техническая начинка HYIP

HYIP-скрипты (движки)

Готовое ПО, которое превращает обычный сайт в «инвестиционную платформу». Покупаешь лицензию — получаешь сайт с личным кабинетом, тарифами, реферальной программой и подключением к платёжкам.

Популярные скрипты:

  • GoldCoders (~$166) — самый популярный у иностранных админов. Код закрыт, нельзя модифицировать. Используется с 2004 года
  • H-Script (закрылся) — был лидером в русскоязычном сегменте. ~$150, русскоязычная поддержка
  • AdminStation (~$199) — HYIP-модуль на базе CMS. Гибкий, но менее распространён
  • Shadow Script — дорогой, нестандартный. Наличие этого скрипта говорит что админ вложился серьёзно
  • Blitz-Market — бюджетный, часто используется скамерами-новичками
  • Самопис — уникальный скрипт, написанный под заказ. Самый дорогой вариант, сложнее всего идентифицировать

Что даёт скрипт из коробки

  • Личный кабинет инвестора (баланс, депозиты, выводы, реферальная ссылка)
  • Админ-панель (управление выплатами, статистика, управление пользователями)
  • Инвестиционные планы с настройкой процентов и сроков
  • Реферальная программа (многоуровневая)
  • Подключение платёжных систем
  • Мультиязычность
  • Шаблоны email-рассылок

Платёжные системы

Нормальные платёжки (Visa, PayPal, Stripe) HYIP не подключают — банковский комплаенс зарубит мгновенно. Используются:

Криптовалюта — основной канал. Bitcoin, USDT, Ethereum. Не требует верификации для приёма платежей. Сгенерировал кошелёк — принимаешь деньги. Никакой проверки что у тебя за сайт.

Серые процессинги — Perfect Money, Payeer, AdvCash. Позиционируют себя как «электронные кошельки», по факту закрывают глаза на HYIP. Минимальная верификация бизнес-аккаунта.

Ручной приём — «отправь на этот кошелёк и пришли скриншот». Самый примитивный вариант, используется в фастах.

Подставные мерчанты — регистрация аккаунта в легальной платёжке якобы для интернет-магазина, а по факту прогон HYIP-денег. Работает пока не обнаружат.

🔍 OSINT: как расследовать HYIP

Что искать

Домен:

  • WHOIS — когда зарегистрирован, на кого (часто прячут за privacy protection)
  • История домена через Wayback Machine
  • Возраст домена — если 2 дня назад зарегистрирован и уже «5 лет на рынке» — скам

Скрипт:

  • Определить движок по внешнему виду личного кабинета (опытный глаз видит GoldCoders или H-Script сразу)
  • Проверить лицензию на сайте разработчика скрипта
  • Общие шаблоны: одинаковая структура URL, характерные элементы интерфейса

SSL-сертификат:

  • Бесплатный Let's Encrypt — не показатель скама, но платный сертификат на компанию — хотя бы какая-то верификация
  • Через crt.sh можно найти другие домены на том же сертификате

Хостинг:

  • IP-адрес → ASN → хостинг-провайдер
  • Часто используют дешёвые VPS или bulletproof хостинг
  • Один IP может хостить несколько HYIP — значит один админ

Платёжные кошельки:

  • Крипто-адреса можно отследить через blockchain explorer
  • Один и тот же кошелёк на нескольких HYIP — связь между проектами
  • Объём транзакций показывает масштаб пирамиды

Контент:

  • Фото «команды» — обратный поиск по картинкам (часто стоковые фото или украденные)
  • Юридический адрес — проверить через Google Maps и реестры компаний
  • Тексты — скопированы с других HYIP? Проверить через поисковик

Инструменты

# WHOIS
whois example-hyip.com
 
# DNS-записи
dig example-hyip.com ANY
 
# Поиск поддоменов
subfinder -d example-hyip.com
 
# IP и ASN
curl ipinfo.io/IP_АДРЕС
 
# Поиск других сайтов на том же IP
# Используй Shodan, Censys или VirusTotal
 
# SSL-сертификаты — другие домены владельца
# https://crt.sh/?q=example-hyip.com
 
# Проверка крипто-кошельков
# https://www.blockchain.com/explorer (BTC)
# https://etherscan.io (ETH)
# https://tronscan.org (USDT TRC-20)

OSINT-инструменты для деанона

# Поиск по никнейму админа
sherlock username
maigret username
 
# Email — утечки и связанные аккаунты
# https://haveibeenpwned.com
# holehe — проверка регистрации email на сервисах
 
# Телефон (если засветился)
# GetContact, Truecaller

🛡 Признаки HYIP (как распознать)

Гарантированная высокая доходность

«1-5% в день» или «30% в месяц гарантированно». В реальном инвестировании гарантий не бывает. Даже хедж-фонды не обещают таких цифр.

Давление на срочность

«Акция до конца дня!», «Осталось 10 мест!», «Бонус +50% только сейчас!». Классическое давление — чтобы не успел подумать.

Непрозрачный бизнес

«Мы торгуем на Forex / майним крипту / инвестируем в AI». Никаких доказательств, лицензий, отчётов. Если спросишь детали — расплывчатые ответы.

Реферальная программа

Многоуровневая (3-5 уровней). Основной двигатель притока денег — не «инвестиции», а рекрутинг новых вкладчиков.

Анонимность

Фейковые фото команды, адрес в Лондоне/Дубае (проверяешь — пустой офис или коворкинг), домен зарегистрирован неделю назад.

Дешёвый скрипт

Стандартный вид GoldCoders или H-Script. Личный кабинет выглядит как у сотни других HYIP. Если видел один — узнаешь все.

🧠 Практические примеры

Быстрая проверка HYIP за 5 минут

  1. Проверь домен: whois домен → зарегистрирован 3 дня назад? Скам.
  2. Обратный поиск по фото «директора» через Google Images / TinEye → стоковое фото? Скам.
  3. Юрлицо через Companies House (UK), OpenCorporates → не существует? Скам.
  4. Крипто-кошелёк через blockchain explorer → транзакции только последнюю неделю? Скам.
  5. Скрипт — стандартный GoldCoders с шаблонным дизайном? Админ не вложился, фаст-скам.

Связывание нескольких HYIP одного админа

# 1. Найди IP всех подозрительных сайтов
dig +short hyip1.com
dig +short hyip2.com
# Один IP? Один сервер — вероятно один админ
 
# 2. Проверь SSL через crt.sh
# Один email при выпуске сертификатов?
 
# 3. Крипто-кошельки
# Одинаковые адреса для приёма платежей?
 
# 4. Google Analytics / Яндекс.Метрика ID
# Посмотри в исходном коде страницы — один и тот же UA-XXXXX?
 
# 5. Общие email в контактах, Telegram-каналы
# Sherlock/Maigret по никнейму

⚠️ Важные моменты

  • HYIP — это мошенничество. В большинстве стран незаконно (в РФ — ст. 159 УК, в Аргентине — estafa). Создание и продвижение HYIP — уголовное преступление
  • «Заработать на HYIP» = сыграть в рулетку. Кто-то выигрывает (первые вкладчики), но математически большинство теряет. Это не инвестиции — это азартная игра с отрицательным матожиданием
  • HYIP-скрипты с закрытым кодом — сами могут быть скамом. Разработчик мог встроить бэкдор для вывода денег из кассы админа. Скамят скамеров
  • Для пентестера HYIP — лёгкая цель. Админы экономят на безопасности, используют дешёвый хостинг, не обновляют скрипты. SQL-инъекции, XSS, слабые пароли — стандартный набор. Но ломать их нелегально так же, как и ломать любой другой сайт
  • OSINT-расследование HYIP — легальная и полезная практика. Деанон мошенников, помощь пострадавшим, публикация результатов — всё это в рамках закона и этики
  • Не путай HYIP с легальными инвестиционными платформами. У легальных есть лицензия регулятора (SEC, FCA, CySEC), публичная отчётность, реальный юридический адрес. У HYIP — ничего из этого
  • Серые платёжные системы (Payeer, Perfect Money) сами по себе не нелегальны. Но их использование в HYIP — индикатор. Нормальный бизнес не принимает оплату через Payeer
Содержание
📌 Что это / Зачем это нужно ⚡ Как работает HYIP (механика пирамиды) Базовая схема Жизненный цикл 🔧 Техническая начинка HYIP HYIP-скрипты (движки) Что даёт скрипт из коробки Платёжные системы 🔍 OSINT: как расследовать HYIP Что искать Инструменты OSINT-инструменты для деанона 🛡 Признаки HYIP (как распознать) Гарантированная высокая доходность Давление на срочность Непрозрачный бизнес Реферальная программа Анонимность Дешёвый скрипт 🧠 Практические примеры Быстрая проверка HYIP за 5 минут Связывание нескольких HYIP одного админа ⚠️ Важные моменты