Scamopedia: ловушка для криптанов

Юзерпик и имя владельца были полностью скопированы с официального аккаунта предпринимателя. Разницу можно было заметить, лишь обратив внимание на само название аккаунта — @durhiov (оригинальный аккаунт — @durov).

Перейдя по ссылке, подписчики попадали на сайт мошенников. Здесь объявлялась специальная акция, в рамках которой можно было выиграть криптовалюту — 5000 ETH. Чтобы принять участие в лотерее, требовалось отправить от 0,5 до 5 ETH по адресу, зашифрованному в QR-коде на сайте. После этого оставалось лишь ждать приз от 5 до 100 ETH. Тем, кто отправлял больше 1 ETH, мошенники щедро обещали бонус. Так скамеры обогатились на 148,364636 ETH.

Зачем мы вспомнили этот пример? Он является не чем иным, как мошеннической схемой Fake Crypto Giveaway. Ее общий сценарий, как правило, таков: в фейковых Twitter-аккаунтах известных персон предлагают перевести монеты на указанные адреса кошельков. Однако защитные механизмы Twitter быстро находят и блокируют такие аккаунты, что вынуждает мошенников искать другие векторы распространения схемы и привлечения аудитории.

Сейчас схема усложнилась. Новой площадкой для развода любителей крипты стал YouTube, а на заключительном этапе схемы PFG эксплуатируются специально созданные поддельные сайты, где посетителю показывают механику фейковой раздачи крипты. Сам сценарий почти не изменился по сравнению с тем красочным примером с ненастоящим аккаунтом Павла Дурова: посетителя трансляции просят перевести на указанный кошелёк определенную сумму — после этого он якобы получит в ответ в два раза больше.

В феврале этого года к нам на "горячую линию" CERT-GIB поступило сообщение от зрителя, который стал свидетелем инвест-трансляции с участием Виталика Бутерина, создателя криптовалюты Ethereum, и просил наших экспертов проверить, не мошенничество ли это. В процессе мониторинга угроз с 16 февраля по 18 февраля 2022 года специалисты Group-IB Digital Risk Protection (DRP) выявили на YouTube 36 мошеннических онлайн-трансляций, основной темой которых было выгодное приобретение криптовалюты.

Пытаясь вызвать доверие к трансляции, мошенники часто используют имена известных предпринимателей и инвесторов, таких как Илон Маск, Брэд Гарлингхоуз, Майкл Дж. Сэйлор, Чанпэн Чжао и Кэтрин Вуд. Естественно, сами крипто-селебрити не подозревают о том, что их видео было вырезано из более ранних, вполне легальных трансляций и перемонтировано в мошеннический ролик. В отдельных случаях эксперты наблюдали и дипфейки (подделки, созданные при помощи искусственного интеллекта и нейронных сетей), но эта технология дороже, а задача криптоскамера — заработать, а не инвестировать.

Итак, авторитетные образы используются для продвижения идеи привлечения инвестиций в мошенническую схему. В трансляции обсуждается текущий оборот криптовалюты, показываются графики роста и звучит один и тот же месседж о получении огромной прибыли. В среднем у одной такой трансляции может быть от 3000 до 18 000 зрителей. Им рекомендуют перейти на сайт, на котором можно подробнее изучить всю необходимую информацию для транзакции и узнать, почему нужно сделать это здесь и сейчас.

Например, трансляция с фейковым Виталиком Бутериным собрала более 165 000 зрителей. В "прямом эфире" предлагалось увеличить свой криптовалютный капитал, переведя токены по указанному адресу сайта в описании. За эти действия пользователям обещали тут же вернуть в 2 раза больше.

Чаще всего в трансляциях идет речь про такие криптовалюты, как Bitcoin, Ethereum и Ripple, редко — про Cardano, Dogecoin и Shiba Inu. QR-коды на криптокошелек могут указываться прямо в трансляции, а сайты создаются для повышения доверия со стороны жертвы.

В процессе исследования мошеннической схемы было выявлено, что адреса криптокошельков на сайтах могут меняться и обновляться. На разных доменах может быть указан один и тот же криптокошелек.

Популярнее всего у мошенников в этой схеме стал Ethereum. Было выявлено 30 криптокошельков, которые использовались для данной схемы. На момент исследования на них оказалось $933 963.

Изучая поддельные сайты из фейковых трансляций аналитики CERT-GIB заметили еще одну особенность, которую можно назвать частным случаем мошенничества под криптоиндустрию.

В зависимости от криптовалюты и применимости криптокошельков, мошенники на фейковом сайте с раздачей предлагают указать посетителю seed-фразу от своего кошелька.

Мотивируют это действие выдуманной акцией, в которой при подключении кошелька участник получит дополнительный денежный бонус и увеличит ставку выплат (а для подключения надо предоставить seed-фразу).

Если жертва сообщала seed-фразу — мошенники получали контроль над кошельком и выводили все средства. Неизвестно, сколько было жертв и какую сумму похитили с помощью данного метода, но очевидно, что часть жертв, которые переводили криптовалюту на мошеннические кошельки, не могли проигнорировать такой простой способ увеличения бонуса.

При исследовании мошеннической схемы с трансляциями о криптовалюте была выявлена схема, которая также использует YouTube, однако ориентирована на покупателей NFT-картинок, стремящихся сделать выгодные инвестиции, чтобы затем перепродать приобретенные "предметы искусства" в несколько раз дороже.

Принцип мошеннической схемы с фейковыми трансляциями о покупке NFT выглядит схожим образом. Герои трансляции — известные в криптомире персонажи (например, Гэри Вайнерчук, он же Гэри Ви) обсуждали покупку перспективных NFT-картинок, которые потом будут стоить в 10 раз дороже. В описании есть ссылка, которая ведет на фишинговый сайт. Там обещают давать один NFT после того, как ты оставишь на сайте метаданные своего криптокошелька: пароль и ключ восстановления доступа к аккаунту.

Каналы, на которых идут трансляции, имеют название, связанное с ключевой фигурой в трансляции. К примеру, если трансляция с Виталиком Бутериным, то название канала будет связано с криптовалютой Ethereum. Для привлечения трафика на трансляции используют популярные ключевые слова и теги, которые связаны с криптовалютой и известными личностями.

Можно предполагать, что все эти каналы были взломаны или выкуплены на черном рынке. Скорее всего, они принадлежали реальным людям, которые ими активно пользовались. Об этом свидетельствует дата создания канала, наличие видео и плейлистов, которые не относятся к тематике трансляций и канала, большое число просмотров. Однако были выявлены каналы, на которых была запущена только мошенническая трансляция.

Трансляции в основном длились более 3 часов, но могли прерваться в любой момент. Их мог завершить автор, или же они удалялись за нарушения правил пользования сервисом. Получить доступ к ним после завершения обычно не удается, а комментарии внутри трансляции отключены.

В ходе анализа мошеннической инфраструктуры, задействованной в последней волне атаки с фейковыми трансляциями, аналитики CERT-GIB обнаружили 29 активных сайтов с раздачами. Как правило, трансляции идут параллельно по 3-4 за раз и все они ведут на один и тот же домен. Анализ доменной инфраструктуры показал, что несколько из них связаны и зарегистрированы на одного человека, но есть и не связанные. Можно предположить, что подобной схемой занимается несколько криптоскамеров или групп. Названия доменов содержат ключевые слова из трансляции или названий криптопроектов.

Независимо от криптовалюты, все подобные сайты работают по одному сценарию, где используется лицо "представителя" криптовалюты, криптопроекта или криптоиндустрии в целом, объявляются условия раздачи с кратким FAQ, разделом с адресом криптовалютного кошелька, куда нужно перевести монеты, и разделом с фейковыми примерами успешных транзакций-раздач. Опять же, чтобы мы максимально поверили в возможность быстрого обогащения.

Как правило, это одностраничные шаблонные сайты, использующие красочный дизайн и хорошо прорисованные, качественные изображения, связанные с криптовалютой. Именно дизайн этих сайтов помогает мошенникам ввести в заблуждение посетителей и побудить перевести криптовалюту на указанные адреса.

В рамках последней волны задействовались сайты, зарегистрированные в течение последних двух недель с начала этой волны, но основное количество доменов было зарегистрировано с 13 февраля.

Поиск новых сайтов, связанных с криптовалютным мошенничеством, осуществлялся на основе анализа сетевой инфраструктуры, задействованной в атаках. Так, при регистрации новых доменных имен зачастую использовались уже известные и характерные контактные данные администраторов, а при делегировании задействовалась доменная и серверная инфраструктура, засветившаяся в прошлых атаках.

Ниже представлен снимок взаимосвязанных сетевых узлов в рамках одной мошеннической кампании с криптовалютами. На нем видно, как отдельные веб-ресурсы связаны между собой по различным сетевым индикаторам.

Это говорит о том, что хоть схема с раздачей существует уже достаточно давно и примитивна по своей механике обмана — она все еще эффективна и мошенники не собираются останавливаться. Возможно, это связано с тем, что сегодня наблюдается волна новых пользователей криптовалют, которые еще не сталкивались с подобными схемами обмана, и именно на них рассчитывают мошенники.

Подавляющее большинство доменных имен текущего года было зарегистрировано через российского регистратора Reg.ru: