Telegram-затмение

Мошенники воспользовались сбоем для кражи криптовалюты

Сбоем в работе популярного мессенджера Telegram Павла Дурова воспользовались мошенники. Всего за пару часов на крипто-кошельки, рекламируемые фейковым аккаунтом Дурова в Twitter'е, упало около $60 000.

Причиной масштабного сбоя 29 марта в работе Telegram в России и странах Европы стало отключение электричества, подающегося к серверам компании. Об этом в Twitter сообщил сам основатель и глава мессенджера Telegram Павел Дуров.

Чуть позже Дуров пообещал, что подача электроэнергии в ближайшее время будет возобновлена, поэтому "скрестим пальцы"...

Мошенники тоже не сидели без дела. Под этими реальными постами Дурова появились фейковые сообщения с аккаунта Pavel Durov @durhiov о том, что в качестве извинений пользователям Telegram будет предложена компенсация в Ethereum. Все подробности обещаны по ссылке http://ethg.st/.

На самом сайте обещана раздача до 5 000 ETH. Чтобы принять участие в акции, надо отправить 0,5 до 5 ETH по адресу, зашифрованному в QR-коде, и в ответ поступит приз в размере от 5 до 100 ETH! Тем, кто отправляет больше 1 ETH, щедро обещан бонус.

Запись об акции в фальшивом аккаунте очень быстро собрала порядка 1000 лайков и 45 репостов. Этого стало достаточно, чтобы за час жулики, успев воспользоваться «падением телеги», смогли собрать около 8,30384559 ETH или 3 500$. Другой кошелек пополнился на $28 492. Были созданы несколько подобных сайтов, под каждый был прикручен свой кошелек. Всего на пяти кошельках, обнаруженных Group-IB, за пару часов было собрано около $60 000.

Стоит отметить, что для большей эффективности аферисты использовали разгон поста ботами, что говорит о хорошо спланированной акции и готовности злоумышленников быстро реагировать на события, поднимать посты вверх, «накручивать ажиотаж». Фейковый аккаунт был создан в сентябре 2017 года, а сайт — 26 марта. Важен и тот факт, что под постом в фальшивом аккаунте было много комментариев от "счастливых победителей", что лишний раз подталкивало остальных к участию в лотерее.

Некоторые из пользователей Telegram почувствовали подвох: "Отправил деньги, но назад так и не пришли. Как вернуть?".

Эта история — наглядный пример использования социальной инженерии. Подобные вирусные рассылки с обещанием подарков, бонусов — в соцсетях довольно распространенное явление. Под влиянием «халявы» и лайков френдов — подобные вирусные посты активно шерят коллеги, друзья и знакомые — человек переходит на фишинговый сайт и отправляет свою криптовалюту, вводит персональную информацию, данные банковской карты, пароли, ключи от кошельков итд.

«Была использована классическая схема социальной инженерии: мошенники сыграли на неприятном инциденте для пользователей Telegram и пообещали им участие в некой промо-акции, где они за скромные деньги могут стать обладателями большого денежного приза. Свою роль сыграло доверие к лидеру Telegram, в ветке которого и появился фальшивый аккаунт, внешне никак не отличимый от реальных комментариев Дурова, которые он давал в своем топике. Отрадно, что внимательных подписчиков всё же оказалось больше и тот факт, что они попытались предупредить остальных. Однако на удочку мошенников все же попалось немало людей. Кроме того, до сих пор остается открытым вопрос о том, один ли кошелек использовали мошенники или сумма ущерба гораздо больше».

Руслан Юсуфов

Директор по специальным проектам Group-IB

Как неоднократно предупреждала Group-IB, можно серьезно навредить репутации компании, скомпрометировав в соцсетях ее руководителей и сотрудников. Поддельные аккаунты — с реальными фотографиями и биографиями — могут использоваться как для мошенничества и публикации компромата, так и для последующих целевых атак на компанию.

Например, если фиктивный руководитель попросит переслать ему персональную или служебную информацию, логины и пароли от входа в корпоративную почту, открыть ссылку на зараженный сайт или файл, содержащий вирус. На этом примере видно, как преступники создали аккаунт от имени генерального директора Berkshire Hathaway Уоррена Баффета. Только самые внимательные заметят, что имя настоящего «Оракула из Омахи» — Buffett.

Как не стать жертвой социальной инженерии в соцсетях:

Обо всех акциях, в том числе раздачах бонусов, сообщается только в официальных каналах и аккаунтах. Не верьте информации, размещенной на сторонних сайтах, в постах и сообщениях, если она не имеет официального подтверждения.
Не участвуйте в розыгрышах и акциях, где, чтобы получить приз, необходимо перевести свои деньги. Не открывайте подозрительные сообщения ("Вы выиграли приз!" ) и не переходите по ссылкам, даже если вам их прислали коллеги или друзья. Их тоже могли заразить вирусом или взломать!

Никогда не указывайте свой SEED (секретную фразу) при использовании сторонних клиентов или веб-сайтов. Существует высокая вероятность того, что данные будут использованы для кражи криптовалюты. Не храните SEED в незашифрованном виде на устройствах, подключенных к Интернету.
Не переходите по сомнительным ссылкам. Они могут вести к фишинговым сайтам или использоваться для установки вредоносных программ на ваш компьютер.
Никому и никогда не сообщайте свой логин и пароль для входа в онлайн-банкинг, номер банковской карты, CVC-код, sms c кодом подтверждения транзакции и т.д.
Не доверяйте низким ценам, не производите предоплату и не переводите деньги на карту или электронный кошелек продавцов.
Возьмите за правило публиковать как можно меньше личной информации и фотографий! Помните, все, что попало в интернет, осталось там навсегда и доступно всем!