Соціальна інженерія в крипті: п'ять поширених шахрайських схем
Черговий злам знову нагадав, що пастки шахраїв, попри своє технічне різноманіття, майже завжди мають схожі принципи. У таких реаліях однією з ключових навичок криптана стає вміння розпізнавати нові схеми обману.
Один із розробників Polygon, BlackRock і KGeN Аюш Гупта став жертвою кібершахраїв, які за допомогою методів соціальної інженерії та вірусного ПЗ отримали доступ до його гаманця. І, зрозуміло, цим доступом скористалися.
Отже, з ним зв'язався користувач LinkedIn на ім'я Ніколас Доносо, пропонуючи співпрацю на фрилансі. Він попросив Аюша запустити файл репозиторію на GitHub і поділитися своїми думками. За словами розробника, на перший погляд, проєкт видався гарним, тому він за нього взявся.
Після того як Аюш запустив файл, у його операційній системі macOS з'явилося системне сповіщення: «Служба безпеки хоче використовувати вашу конфіденційну інформацію, що зберігається в Chrome Safe Storage на вашому Keychain». Розробник одразу щось запідозрив, тому видалив файл і перезавантажив систему.
Аюш перевірив баланс свого гаманця за допомогою Etherscan. Кошти були на місці, і розробник заспокоївся, подумавши, що все обійшлося (спойлер — не обійшлося).
Злочинець лише переконав Аюша в тому, що з його активами все гаразд, тому розробник не став переказувати криптовалюту з уже скомпрометованого гаманця в безпечне місце. Скамер же просто виграв час: коли Аюш перевіряв Etherscan, шахрай уже мав доступ до коштів жертви.
За перші 5 хвилин «роботи» шахрай викрав $14 400 у криптовалюті. Також йому вдалося продати деякі NFT, а низку активів він просто конвертував в ETH.
Несанкціоноване схвалення та виведення NFT#2222, BADGER і ALI з гаманця жертви. Джерело: nansen.ai
Унаслідок 5-годинної атаки загальна сума збитків сягнула $16 970. Аюш втратив весь капітал, що був у криптоактивах.
Варто зазначити, що це не єдина схема обману на LinkedIn. Фейкові рекрутери також можуть надсилати фішингові посилання, виманювати у жертви документи для проходження KYC на біржі або просити оплату за «доставлення» корпоративної техніки.
Жертва може отримати заражений вірусом файл і за інших обставин: під час спілкування на сайті знайомств, у чаті криптоспільноти або в коментарях під постом Telegram. Контекст визначає схема обману, яку використовує шахрай.
Проблема соціальної інженерії в крипті
Історія цього розробника не унікальна. Порівняно з першим півріччям 2023-го за цей самий період 2024 року масштаби шахрайства збільшилися: збитки в категорії «викрадені кошти» становили $1,58 млрд (торік — $857 млн), а в окремій категорії «здирницьке ПЗ» — $459,8 млн (майже без змін порівняно з минулим роком, коли було вкрадено $449,1 млн).
Просунуті кіберзлочинці, включно з ІТ-фахівцями, пов'язаними з Північною Кореєю, дедалі частіше використовують офчейн-методи, як-от соціальна інженерія, для крадіжки коштів через проникнення в криптовалютні сервісийдеться у звіті Chainalysis.
Роль, яку може грати скамер, обмежується лише його фантазією. Він може постати і як рекрутер, і як аналітик криптовалютної біржі, і як романтичний партнер — у його колекції масок обов'язково знайдеться відповідний варіант. Користувачам же необхідно вміти розпізнавати такі схеми, щоб не стати жертвою шахрайства.
Схема №1: «Мені так погано, пожалійте мене»
Щоб заручитися прихильністю людини, потрібно лише змусити її вас пожаліти. Сподобалася дівчина / хлопець — поділіться з нею / ним своїми проблемами, хочете отримати підвищення на роботі — скажіть своєму босові, що вам нічим сплатити оренду, хочете залучити 1 млн фоловерів в X — розкажіть про своє банкрутство публічно.
Кадр із мультфільму «Кіт у чоботях» — образ жалості в попкультурі. Джерело: fandom.com
Публікації, автори яких стали жертвами фінансових втрат, зломів і шахрайських схем, набирають тисячі переглядів у найкоротші строки. Для багатьох це буст медійної кар'єри: наприклад, вони фальсифікують власне пограбування, щоб залучити нову аудиторію. Для інших — реалізація незаконної діяльності.
Такі скамери поділяться вигаданими історіями про ліквідацію $100 тисяч на торгівлі мемкоїнами, розкажуть про крадіжку всіх своїх коштів у зв'язку з фішинговою атакою, втрату активів через злам кросчейн-моста тощо. Вони зроблять усе, аби:
- залучити аудиторію: найбезпечніша перша мета — користувачі, які нічого не підозрюють, просто підпишуться на «жертву» і час від часу бачитимуть її пости в стрічці;
- заробити на пожертвах: фейкове жебрацтво вийшло на новий рівень: «Приймаємо тільки в крипті»;
- просунути фішингові посилання та шахрайські проєкти: автор таких постів може рекомендувати прекрасний сервіс, який нібито допоміг йому повернути кошти. Сподіваючись отримати гроші, користувачі можуть перейти за фішинговим посиланням і, на жаль, опинитися в ще гіршому становищі.
Схема №2: «Привіт, познайомимось?»
Цей метод соціальної інженерії часто акцентований на чоловіках, порушуючи їхню слабкість до легких грошей і жіночої уваги. Жертва, яка нічого не підозрює, починає діалог зі співрозмовником на сайті знайомств, на кшталт Badoo або Tinder, і лише через кілька днів / тижнів спілкування стає «криптоінвестором».
Шахрай завойовує довіру жертви й надалі пропонує зареєструватися на підконтрольній йому біржі (крадіжка конфіденційних даних), інвестувати у скам-токен або зробити пожертвування. Приводом для таких дій зазвичай є обіцянки особистої зустрічі, фотографії та продовження спілкування.
До речі, нещодавно ФБР повернуло $5 млн постраждалим саме від такої схеми.
Схема №3: «Алло, ви щось чули про крипту?»
Здавалося, що ера телефонних шахраїв залишилася в далекому минулому: люди частіше використовують сервіси на кшталт Getcontact, не розголошують трьох цифр на звороті банківської картки та не передають конфіденційних даних третім особам. Поінформованість населення про такі обмани справді зросла, проте скамери вигадують більш витончені схеми.
Наприклад, реклама про легкий дохід у крипті передбачає, що жертва залишить свій номер телефону для подальшого спілкування з консультантом. Останній — це, звісно, ніякий не консультант, а спеціально навчена людина, яка знає, на що, як і коли натиснути. Навіть якщо жертва буде впевнена, що її хочуть ошукати, адепт «Вовка з Волл-стріт» переконає її у протилежному.
Стимулом до інвестування може бути що завгодно:
Коли жертва готова інвестувати, вона проходить KYC (фішинговий, зрозуміло) і поповнює баланс на підконтрольній шахраєві біржі. Так зловмисники вбивають двох зайців одночасно: отримують і гроші, і конфіденційні дані користувача.
Хитрість криється на етапі з DEX: скамер відправляє жертві муляж — контрольований ним вебсайт, оформлений у стилі реальної децентралізованої біржі. Замість обміну жертва просто переказує кошти на гаманець шахрая. На цьому все може закінчитися, однак зазвичай шоу триває.
- вихід токена на ICO — у 2019–2020 роках шахраї часто виманювали кошти, вдаючи інвестування в ICO Telegram Open Network (TON);
- проґавлене зростання ціни криптовалют — навіть досвідчені трейдери не завжди можуть впоратися з FOMO (жаль про втрачену можливість), що вже говорити про людей без досвіду;
- можливість стати частиною криптовалютної індустрії — для багатьох криптовалюти все ще залишаються загадковими та недоторканними активами. Тому шахраї можуть навіювати своїм жертвам унікальну можливість стати частиною будь-якої закритої спільноти.
Коли жертва готова інвестувати, вона проходить KYC (фішинговий, зрозуміло) і поповнює баланс на підконтрольній шахраєві біржі. Так зловмисники вбивають двох зайців одночасно: отримують і гроші, і конфіденційні дані користувача.
Надалі на жертву чинять сильний психологічний тиск. Фейкові аналітики малюють значні коливання цін (пам'ятаємо, що торгівля здійснюється на підконтрольному ресурсі) і всіляко маніпулюють інвесторами: використовують шантаж (наприклад, відмовляють у виведенні активів з біржі без додаткового вкладу), грають на емоціях та переконують у дефіциті часу (примушують інвесторів ухвалювати ірраціональні й необдумані рішення) тощо. Усе, щоб виманити в них якомога більше грошей.\
Схема №4: «Ви отримали ейрдроп, забирайте»
Схема ґрунтується на просуванні фішингового посилання, вдаючи отримання або перевірку права на отримання ейрдропу. Шахраї створюють фейкові X-акаунти, маскуючи їх під профілі реальних проєктів, а потім публікують пости, які містять посилання на шкідливе ПЗ або вебсайт.
Зазвичай такі публікації ховаються в коментарях під постами реальних проєктів. Припустимо, умовний ZKsync публікує деталі токеноміки. Зі свого боку шахрай відповідає на цей пост, залишаючи повідомлення на кшталт «Переходьте за посиланням, щоб дізнатися про ваше право на отримання майбутнього ейрдропу $ZK». Після переходу на такий ресурс користувачів просять під'єднати гаманець, надати доступ до активів тощо. Жертви, які вчинили такі дії, передадуть зловмисникам усі свої дані як на блюдечку.
Схема №5: «Дайте сотку — отримайте дві»
У період 2022–2023 років в індустрії набував популярності новий напрям — криптоарбітраж. Це спосіб збільшення капіталу завдяки спекуляції тими самими активами на кількох платформах. Арбітражники відстежують наявність різниці у вартості різних токенів на централізованих і децентралізованих біржах, OTC-ринках та офлайн-обмінниках, потім використовують цю різницю для заробітку за допомогою швидкої купівлі-продажу.
Шлях обміну (наприклад, конвертація ETH в USDT на DEX №1 → переказ USDT на CEX №2 → переведення в готівку USDT за допомогою обмінника №3) називається зв'язкою. Вона не передбачає шахрайства, проте скамери навчилися виманювати кошти користувачів, вдаючи її використання або продаж (розкриття деталей зв'язки за плату).
Принцип роботи арбітражної зв'язки. Джерело: capital.com
Спершу шахраєві необхідно знайти жертву. Це здійснюється різними способами: реклама освітніх курсів з арбітражу або вакансія у великій арбітражній компанії. Потім скамер переконує в прибутковості його зв'язки, надаючи фейкові відгуки, красиву картинку в соцмережах і т.д.
Подальші популярні схеми обману:
- фіктивний продаж зв'язки — шахрай пропонує купити його неймовірно секретну зв'язку, а після отримання оплати зникає;
- взяття коштів в управління — жертва надає свої кошти в управління скамеру, який вдає секретність своєї зв'язки (тобто продати він її не може, а ось прокрутити депозит користувача за певний відсоток — запросто). Після переказу коштів шахрай зникає. Разом із грошима, зрозуміло;
- заробіток на комісії за надані послуги — шахрай пропонує роботу за його зв'язкою, а натомість просить лише невелику винагороду (зазвичай 5–10% від прибутку). Хитрість полягає в ресурсах, які скамер надає жертві для роботи. Розглянемо цей кейс детальніше.
Щойно жертва домовилася про співпрацю, шахрай ділиться з нею зв'язкою та пропонує почати з невеликої суми для зміцнення довіри. Звичайна зв'язка має такий вигляд: купівля USDT на CEX → обмін USDT на будь-який токен (здебільшого стейблкоїн) на DEX → повернення коштів разом із прибутком на CEX.
Хитрість криється на етапі з DEX: скамер відправляє жертві муляж — контрольований ним вебсайт, оформлений у стилі реальної децентралізованої біржі. Замість обміну жертва просто переказує кошти на гаманець шахрая. На цьому все може закінчитися, однак зазвичай шоу триває.
Викравши кошти (наприклад, $100 USDT), скамер переказує їх користувачеві, додавши свої $5–$10, у такий спосіб вдаючи його заробіток. Думаючи, що зв'язка працює, жертва підвищує капітал і проганяє вже не $100, а, припустимо, $1000. Однак цього разу кошти назавжди залишаються в руках шахрая.
Методи соціальної інженерії еволюціонують. А з розвитком штучного інтелекту їх розпізнавання буде ще складнішим: скамери зможуть підміняти голос, обличчя, збирати про вас інформацію тощо.
Пам'ятайте, що найкращі ліки проти шахрайства — обізнаність. Усіх схем не запам'ятаєш, але здоровий глузд завжди у вас під рукою.