Социальная инженерия в крипте: топ-5 мошеннических схем
Очередной взлом снова напомнил, что ловушки мошенников, несмотря на свое техническое многообразие, почти всегда имеют похожие принципы. В таких реалиях одним из ключевых навыков криптана становится умение распознавать новые схемы обмана.
Один из разработчиков Polygon, BlackRock и KGeN Аюш Гупта стал жертвой кибермошенников, которые с помощью методов социальной инженерии и вирусного ПО получили доступ к его кошельку. И, разумеется, этим доступом воспользовались.
Итак, с ним связался пользователь LinkedIn, некий Николас Доносо, предложив сотрудничество на фрилансе. Он попросил Аюша запустить файл репозитория на GitHub и поделиться своими мыслями. По словам разработчика, на первый взгляд, проект выглядел хорошо, поэтому он за него взялся.
После того как Аюш запустил файл, в его операционной системе macOS появилось системное уведомление: «Служба безопасности хочет использовать вашу конфиденциальную информацию, хранящуюся в Chrome Safe Storage на вашем Keychain». Это сразу же вызвало у него подозрения, поэтому разработчик удалил файл и перезагрузил систему.
Аюш проверил баланс своего кошелька с помощью Etherscan. Средства были на месте, и разработчик успокоился, подумав, что все обошлось (спойлер — не обошлось).
Человек, стоящий за преступлением, лишь вселил Аюшу уверенность, что с его активами все в порядке, поэтому разработчик не стал переводить криптовалюту из уже скомпрометированного кошелька в безопасное место. Скамер же просто выиграл время: когда Аюш проверял Etherscan, мошенник уже имел доступ к средствам жертвы.
За первые 5 минут «работы» мошенник похитил $14 400 в криптовалюте. Также он сумел продать некоторые NFT, а ряд активов просто конвертировал в ETH.
Несанкционированное одобрение, а также вывод NFT#2222, BADGER и ALI из кошелька жертвы. Источник: nansen.ai
В результате 5-часовой атаки общая сумма ущерба составила $16 970. Аюш потерял весь капитал, находящийся в криптоактивах.
Стоит сказать, что это не единственная схема обмана на LinkedIn. Фейковые рекрутеры также могут отправлять фишинговые ссылки, выманивать у жертвы документы для прохождения KYC на бирже или просить оплату за «доставку» корпоративной техники.
Жертва может получить зараженный вирусом файл и в других обстоятельствах: во время общения на сайте знакомств, в чате криптосообщества или в комментариях под постом Telegram. Контекст определяется схемой обмана, которую использует мошенник.
Проблема социальной инженерии в крипте
История этого разработчика не уникальна. В сравнении с первым полугодием 2023-го за этот же период 2024 года масштабы мошенничества увеличились: ущерб в категории «похищенные средства» составил $1,58 млрд (в прошлом году — $857 млн), а в отдельной категории «вымогательское ПО» — $459,8 млн (почти без изменений по сравнению с прошлым годом, когда было украдено $449,1 млн).
Продвинутые киберпреступники, включая ІТ-специалистов, связанных с Северной Кореей, все чаще используют офчейн-методы, такие как социальная инженерия, для кражи средств путем проникновения в криптовалютные сервисыговорится в отчете Chainalysis.
Роль, которую может играть скамер, ограничивается лишь его фантазией. Он может предстать и рекрутером, и аналитиком криптовалютной биржи, и романтическим партнером — в его коллекции масок обязательно найдется подходящий вариант.
Пользователям же необходимо уметь распознавать подобные схемы, чтобы не стать жертвой мошенничества.
Схема №1: «Мне так плохо, пожалейте меня»
Чтобы расположить к себе человека, достаточно заставить его вас пожалеть. Понравилась девушка / парень — поделитесь с ней / ним своими проблемами, хотите получить повышение на работе — скажите своему боссу, что вам нечем оплатить аренду, хотите привлечь 1 млн подписчиков в X — расскажите о своем банкротстве публично.
Кадр из мультфильма «Кот в сапогах» — образ жалости в поп-культуре. Источник: fandom.com
Публикации, авторы которых стали жертвами финансовых потерь, взломов и мошеннических схем, набирают тысячи просмотров за кратчайшие сроки. Для многих это буст медийной карьеры: например, они фальсифицируют собственное ограбление, чтобы привлечь новую аудиторию. Для остальных — реализация незаконной деятельности.
Такие скамеры поведают выдуманные истории о ликвидации $100 тысяч на торговле мемкоинами, краже всех своих средств в связи с фишинговой атакой, потере активов из-за взлома кроссчейн-моста и т.д. Они сделают все, лишь бы:
- привлечь аудиторию: наиболее безобидная первая цель — ничего не подозревающие пользователи просто подпишутся на «жертву» и время от времени будут видеть ее посты в ленте;
- заработать на пожертвованиях: фейковое попрошайничество вышло на новый уровень: «Принимаем только в крипте»;
- продвинуть фишинговые ссылки и мошеннические проекты: автор подобных постов может рекомендовать прекрасный сервис, который якобы помог ему вернуть средства. В надежде на возврат денег пользователи могут перейти по фишинговой ссылке и, к сожалению, оказаться в еще худшем положении.
Активность таких публикаций часто коррелирует с непредсказуемыми событиями на крипторынке: крах FTX, взлом Atomic Wallet, падение альтмаркета в апреле 2024 года. Такие события касаются большого количества людей, а значит пользователей со схожими историями тоже будет больше.
Схема №2: «Привет, познакомимся?»
Этот метод социальной инженерии часто акцентирован на мужчинах, затрагивая их слабость к легким деньгам и женскому вниманию. Ничего не подозревающая жертва начинает диалог с собеседником на сайте знакомств, вроде Badoo или Tinder, а спустя всего несколько дней / недель общения становится «криптоинвестором».
Мошенник втирается в доверие и в дальнейшем предлагает зарегистрироваться на подконтрольной ему бирже (воровство конфиденциальных данных), инвестировать в скам-токен или сделать пожертвование. Предлогом для таких действий обычно являются обещания личной встречи, фотографии и продолжение общения как такового.
Кстати, недавно ФБР вернуло $5 млн пострадавшим именно от такой схемы.
Схема №3: «Алло, вы что-нибудь слышали о крипте?»
Казалось, что эра телефонных мошенников осталась в далеком прошлом: люди чаще используют сервисы вроде Getcontact, не разглашают три цифры на обратной стороне банковской карты и не передают конфиденциальные данные третьим лицам. Осведомленность населения о подобного рода обманах действительно выросла, однако скамеры придумывают более изощренные схемы.
Например, реклама о легком доходе в крипте предполагает, что жертва оставит свой номер телефона для дальнейшего общения с консультантом. Последний — это, конечно, никакой не консультант, а специально обученный человек, знающий, на что, как и когда надавить. Даже если жертва будет уверена, что ее хотят обмануть, адепт «Волка с Уолл-стрит» убедит ее в обратном.
Стимулом к инвестированию может быть что угодно:
- выход токена на ICO — в 2019–2020 годах мошенники часто выманивали средства под предлогом инвестирования в ICO Telegram Open Network (TON);
- упущенный рост цены криптовалют — даже опытные трейдеры не всегда могут справиться с FOMO (сожалением об утраченной возможности), что уж говорить о людях без опыта;
- возможность стать частью криптовалютной индустрии — для многих криптовалюты все еще остаются загадочными и неприкасаемыми активами. Поэтому мошенники могут внушать своим жертвам уникальную возможность стать частью какого-либо закрытого сообщества.
Когда жертва готова к инвестированию, она проходит KYC (фишинговый, разумеется) и пополняет баланс на подконтрольной мошеннику бирже. Таким образом злоумышленники убивают двух зайцев одновременно: получают и деньги, и конфиденциальные данные пользователя.
В дальнейшем на жертву оказывается сильнейшее психологическое давление. Фейковые аналитики рисуют значительные колебания цен (помним, что торговля осуществляется на подконтрольном ресурсе) и всячески манипулируют инвесторами: используют шантаж (например, отказывают в выводе активов с биржи без дополнительного взноса), играют на эмоциях и внушают дефицит времени (заставляют инвесторов принимать иррациональные и необдуманные решения) и т.д. Все, чтобы выманить у них как можно больше денег.
Схема №4: «Вы получили эйрдроп, забирайте»
Схема построена на продвижении фишинговой ссылки под предлогом получения или проверки права на получение эйрдропа. Мошенники создают фейковые X-аккаунты, маскируя их под профили реальных проектов, а затем публикуют посты, содержащие ссылки на вредоносное ПО или веб-сайт.
Обычно такие публикации скрываются в комментариях под постами реальных проектов. Допустим, условный ZKsync публикует детали токеномики. В свою очередь мошенник отвечает на этот пост, оставляя сообщение типа «Переходите по ссылке, чтобы узнать ваше право на получение будущего эйрдропа $ZK». После перехода на такой ресурс пользователей просят подключить кошелек, предоставить доступ к активам и т.д. Жертвы, совершившие такие действия, передадут злоумышленникам все свои данные как на блюдечке.
Схема №5: «Дайте сотку — получите две»
В период 2022–2023 годов в индустрии набирало популярность новое направление — криптоарбитраж. Это способ увеличения капитала за счет спекуляции одними и теми же активами на нескольких платформах. Арбитражники отслеживают наличие разницы в стоимости различных токенов на централизованных и децентрализованных биржах, OTC-рынках и офлайн-обменниках, затем используют эту разницу для заработка с помощью быстрой купли-продажи.
Путь обмена (например, конвертация ETH в USDT на DEX №1 → перевод USDT на CEX №2 → обналичивание USDT с помощью обменника №3) называется связкой. Она не подразумевает в себе мошенничества, однако скамеры научились выманивать средства пользователей под предлогом ее использования или продажи (раскрытия деталей связки за плату).
Принцип работы арбитражной связки. Источник: capital.com
Для начала мошеннику необходимо найти жертву. Это достигается различными способами: реклама образовательных курсов по арбитражу или вакансия в крупной арбитражной компании. Затем скамер внушает идею о прибыльности его связки, предоставляя фейковые отзывы, красивую картинку в соцсетях и т.д.
Дальнейшие популярные схемы обмана:
- фиктивная продажа связки — мошенник предлагает купить его невероятно секретную связку, а после получения оплаты исчезает;
- взятие средств в управление — жертва предоставляет свои средства в управление скамеру под предлогом секретности его связки (т.е. продать он ее не может, а вот прокрутить депозит пользователя за определенный процент — запросто). После перевода средств мошенник пропадает. Вместе с деньгами, разумеется;
- заработок на комиссии за предоставленные услуги — мошенник предлагает работу по его связке, а взамен просит лишь небольшое вознаграждение (обычно 5–10% от прибыли). Подвох заключается в ресурсах, которые скамер предоставляет жертве для работы. Рассмотрим этот кейс детальнее.
После того как жертва договорилась о сотрудничестве, мошенник делится с ней связкой и предлагает начать с небольшой суммы для создания доверия. Обычная связка выглядит следующим образом: покупка USDT на CEX → обмен USDT на любой токен (в основном стейблкоин) на DEX → возврат средств вместе с прибылью на CEX.
Подвох кроется на этапе с DEX: скамер отправляет жертве муляж — контролируемый им веб-сайт, оформленный в стиле реальной децентрализованной биржи. Вместо обмена жертва просто переводит средства на кошелек мошенника. На этом все может закончиться, однако, как правило, шоу продолжается.
Похитив средства (например, $100 USDT), скамер отправляет их обратно пользователю, добавив свои $5–$10, чтобы создать видимость заработка. Думая, что связка работает, жертва повышает капитал и прогоняет уже не $100, а, допустим, $1000. Однако на этот раз средства навсегда остаются в руках мошенника.
Методы социальной инженерии эволюционируют. А с развитием искусственного интеллекта их распознавание будет еще сложнее: скамеры смогут подменять голос, лицо, собирать о вас информацию и т.д.
Помните, что лучшее лекарство против мошенничества — осознанность. Всех схем не запомнишь, но здравый смысл всегда у вас под рукой.
