РУССКИЙ
РУССКИЙ
ENGLISH
16 сентября 2022

Анатомия криптоскама

Подробный разбор мошеннической схемы с фейковыми стримами
Ярослав Каргалёв
Заместитель руководителя CERT-GIB
Ксения Кудашева
Младший аналитик CERT-GIB
Истории о волшебных Qiwi-кошельках, которые из-за взлома или ошибки в алгоритме удваивали сумму отправленных на них денег, ходили еще в начале 2000-х. Разумеется, за этими легендами стояли мошенники. Схема оказалась настолько удачной, что ее взяли на вооружение криптоскамеры. Начав с фейковых постов знаменитостей в Twitter, предлагавших приумножить биткоины или эфиры, жулики дошли до стримов и видео на YouTube.

Сейчас Fake Crypto Giveaway (FCG) это уже целая индустрия. Даже начинающий мошенник может получить все необходимые услуги под ключ: купить стримы для YouTube с профессиональной озвучкой на любых иностранных языках, видео с участием звездных предпринимателей, лендинги, взломанные YouTube-каналы и сервисы по накрутке подписчиков и просмотров.

Весной этого года аналитики Центра реагирования на инциденты информационной безопасности CERT-GIB (24/7) одними из первых обнаружили всплеск активности и описали в блоге FCG-угрозу. В первом полугодии 2022 года Group-IB зафиксировала пятикратный рост числа доменных имен, использующихся для криптоафер с фейковыми стримами на YouTube. Любопытно, что 63% свежих мошеннических доменов были зарегистрированы у российских регистраторов, однако практически все ресурсы были нацелены на международных криптоинвесторов. В новом блоге эксперты CERT-GIB рассказывают, как работает теневой рынок FCG-индустрии и что делать, чтобы не стать жертвой мошенников.

Там, где живет криптоскам

Для тех, кто не читал наш первый блог, напомним суть схемы. На YouTube массово появляются фейковые стримы звездных предпринимателей: Виталика Бутерина, Илона Маска, Майкла Сэйлора и Кэтрин Вуд. Под предлогом популяризации криптовалют они заманивают потенциальных криптоинвесторов на промосайт, где указан адрес “волшебного кошелька”, якобы удваивающего отправленную криптовалюту.

В первом полугодии 2022 года мы наблюдали взрывной рост регистраций доменных имен под фейковые промосайты — более чем на 355% по сравнению со всем 2021 годом. В мошеннической схеме эксплуатируются бренды практически всех популярных криптопроектов и похищаются 9 видов криптомонет и токенов, в том числе BTC, ETH, XRP, BNB и SHIB.
На основе целевых слов, которые использовались в доменных именах, аналитики CERT-GIB составили рейтинг наиболее популярных у мошенников проектов. На первом месте оказался Ethereum и его создатель и бессменный амбассадор Виталик Бутерин. На втором месте — предприниматель Илон Маск и его проекты Tesla, SpaceX, альткоин Shiba Inu.
Рост регистраций доменных имен под мошеннические промосайты
Среди названий доменов также часто используются парные сочетания. Например, “shiba” + “musk” или “musk” + “twitter”. Кроме того, популярностью пользовались такие постфиксы, как “gift”, “give”, “crypto”, “coin” и “invest”.

Основная часть доменных имен была зарегистрирована у российского регистратора Reg.ru — 57,7%. На третьем месте по популярности, кстати, тоже российский регистратор — Ru-Center — с 5,4% от общего количества доменов.
Хотя большая часть доменов была зарегистрирована через российских регистраторов, отечественная доменная зона не пользовалась популярностью у мошенников. Главная причина в том, что основные цели криптостримов за рубежом. Весь контент мошеннических сайтов и видеороликов на английском языке, а 78% доменных зон интернациональные. Например, использование домена .us явно дает понять, что среди целей мошенников — держатели криптомонет из США.

Пробежимся по полкам маркетплейса

Как вы догадались из описания схемы, сам обман происходит на двух площадках: YouTube и мошенническом лендинге, где размещаются условия выплат и адреса кошельков.
Теневой рынок предлагает участникам следующие услуги:
Обучение и продажа мануалов по реализации мошеннической схемы
Подготовка и монтаж видеоконтента для криптостримов
Разработка дизайна для криптостримов
Разработка макета фейкового промосайта
Предоставление хостинга и доменных имен
Продажа YouTube-каналов, с которых будут запускаться стримы
Накрутка зрителей на стримы
Разработка всего FCG-проекта под ключ или доступ к проекту по подписке
Обучение и продажа мануалов
Самая первая услуга, которую предлагают “зеленым” участникам FCG-схемы — это, конечно, обучение. Предложения о продаже мануалов начинаются от $100, но большую часть подобной информации можно найти в интернете и различных Telegram-каналах бесплатно. Более продвинутые услуги, связанные с персональным обучением, часто оплачиваются в размере 10-20% от выручки мошенника-новичка. Есть услуга "два в одном": продажа туториалов и персональное обучение с личными консультациями и круглосуточной поддержкой.
Подготовка и монтаж видеоконтента для стрима
Как правило, в фейковых стримах мошенники демонстрируют либо обычные перемонтированные видеозаписи с известными лицами (таргетами), либо более продвинутые — “модифицированные” — видео. Поскольку качественный монтаж видео, требует определенного профессионального уровня и мощного оборудования, на рынке FCG-криптоскама существует отдельная категория услуг по производству контента под криптостримы.
Типы фейковых криптостримов:
1
Реальная зацикленная запись
Например, нарезка из интервью или выступление, где звездный предприниматель рассуждает о перспективах криптовалют. Самый простой и дешевый вариант стрима — с оригинальной видео- и аудиодорожкой.
2
Перемонтированная оригинальная видеозапись
На реальный видеоряд накладывается другая звуковая дорожка или профессиональная озвучка.
Рынок предоставляет широкие услуги в зависимости от финансовых возможностей скамера: можно использовать уже готовое видео из портфолио или заказать новое, которое создадут под конкретный стрим.
В 2022 году наибольшей популярностью пользуются Виталик Бутерин, Илон Маск, Майкл Дж. Сэйлор и Кэтрин Вуд. Среди новых звезд-приманок оказался президент Сальвадора Найиб Букеле, а недавно началась реклама промосайтов с футболистом Криштиану Роналду. Оба новых рекламных лица были выбраны мошенниками неслучайно. В 2021 году Сальвадор стал первым в мире государством, которое объявило биткоин легитимным платежным средством — во многом по инициативе президента страны. Криштиану Роналду стал первым футболистом, кто получил награду криптовалютой: клуб “Ювентус” подарил спортсмену токены по числу голов, забитых за всю карьеру. А в июне 2022 года о сотрудничестве с футболистом объявила криптобиржа Binance.
Разработка дизайна для криптострима
Самые распространенные объявления об услугах FCG-криптоскама — это объявления дизайнеров, которые за $100−$300 помогают оформить интерфейс видеострима.
Подробнее
Предложения с дизайн-проектами под криптострим состоят из разработки следующих элементов:
Превью и экран прогрева — заставка с обратным отсчетом до начала стрима
Оверлей — шаблон стрима, где кроме самого видео с фейком представлена дополнительная информация: ссылка на промосайт, условия ивента и другие данные
Дизайн и разработка фейкового промосайта

Отдельную нишу в криптоуслугах занимает разработка промосайтов, на которые жертва попадает с YouTube-трансляции. Это одностраничный сайт, содержащий всю необходимую информацию о проекте: его амбассадоре, условиях участия, адресах кошельков — а также фиктивную информацию об успешных транзакциях от предыдущих участников.

Можно встретить предложения о продаже уже готовых дизайн-проектов или разработке новых уникальных промосайтов под потребности клиента, а также предложения о предоставлении административных панелей под эти сайты.
Подробнее
1 февраля 2022 года на одном форуме были опубликованы исходники 25 промосайтов.


В рамках исследования FCG-схемы было обнаружено более 60 различных шаблонов промосайтов.

В зависимости от поставщика услуг, состав админской панели может различаться, но в целом он остается достаточно аскетичным. Главная функция такой панели — смена адреса кошелька для переводов и автогенерация QR-адресов.
В среднем цена готового лендинга-промосайта может варьироваться от $200 до $600, в зависимости от дизайна и функциональности.
Предоставление хостинга и доменных имен
Одним из самых популярных хостингов для FCG-скамеров в первом полугодии 2022 года был cryptoweb.to (aka cryptohost.to), позиционирующий себя как “абузоустойчивый” виртуальный хостинг.
Подобные сервисы работают на основе популярных биллинговых проектов, например BILLmanager. Помимо виртуального хостинга, они предоставляют возможность приобрести доменные имена в рамках стандартной интеграции с регистраторами доменных имен.
Пример
Активная реклама таких сервисов, созданных на основе легитимных решений для автоматизации услуг хостинга и реселлинга доменов, сделала схему FCG-криптоскама доступной для людей, далеких от администрирования.
Интересно, что после статьи Брайана Кребса, где он показывает, что криптоскам размещается на хостинге, связанном с cryptoweb.to, и называет его “Crypto Scam Host”, выходит заявление от пользователя под ником cryptolover, который рекламировал данный сервис. В ответе говорится, что они не связаны с данным криптоскамом и лишь предоставляют услуги по регистрации доменов и хостингу.
Интересно также, что этот же пользователь публиковал объявления другого сервиса CRYPTOSTREAM.TO с услугами накруток зрителей на YouTube, в частности на мошеннические криптостримы.
О том, что это за услуга, мы расскажем далее.

Вскоре после этого в Telegram-канале сервиса CryptoWEB появилось сообщение, что их деятельность приостанавливается:
Продажа YouTube-каналов для проведения стримов
Сегодня основным каналом привлечения трафика на мошеннические промосайты с раздачей криптовалюты являются стримы на YouTube. Встречаются трансляции и на других площадках, например Twitch, но из-за нерелевантной аудитории это скорее исключения.

Пример с трансляцией в Twitch

Вокруг YouTube как основного канала привлечения трафика образовалась еще одна ниша торговых отношений в FCG-схеме.

На подпольных форумах можно встретить предложения о продаже или скупке украденных каналов, которые будут использоваться в фейковых стримах. Как правило, аккаунты угоняют с помощью стилеров — специализированного вредоносного ПО, которым, например, в рамках социальной инженерии инфицируют компьютеры администраторов и владельцев аккаунтов, чтобы похитить данные: веб-браузерные куки, логины и пароли, хранящиеся на хосте, и т. д.

Цена YouTube-канала варьируется в зависимости от разных условий, которые повышают эффективность стрима. Например, одним из главных условий является текущее количество подписок — оно влияет на успех и время жизни криптострима. Вот рекомендация, которой поделился один из организаторов криптостримов:
Чем больше подписчиков, тем дольше может продержаться канал (+ больше доверия). Озвучу очевидную вещь, но может для кого-то она не очевидная: если у вас 1к подписчиков, вас вырубят раньше, чем канал с грубо говоря с миллионом. Если на стрим с 1к подписчиков прилетает 100 репортов — красная карта, если канал с 100к подписчиков прилетают те же 100 репортов, то все нормально.
Орфография и пунктуация автора сохранены
Продавцы логов, скомпрометированных данных YouTube-каналов, могут предоставлять их под процент от хищений. Как правило, он варьируется от 10 до 50% от заработка криптостримера.
После того как скомпрометированный канал оказывается в руках криптостримера, он, как правило, разогревается — изменяется фирменное оформление канала: название, значок и баннер подбираются под дизайн криптопроекта, а все предыдущие видео из плейлиста удаляются.
Посмотреть примеры
Накрутка зрителей
После того как все готово к трансляции, например, подготовлено видео для стрима, оверлей, фейковый промосайт и YouTube-канал, остается самый важный момент — зрители. Во время исследования специалисты CERT-GIB обнаружили большое количество зрителей практически у всех трансляций криптомошенников.
Было очевидно, что мошенники применяли накрутки. Сервисы по накрутке они тоже находили на форумах, где предлагают приобрести зрителей и лайки на криптостимы по низким ценам.

Сейчас количество предложений по накрутке зрителей для фейковых трансляций может сравниться разве что с количеством предложений по дизайну криптостримов.
Примеры предложений
Основная задача накруток заключалась в том, чтобы как можно скорее оказаться в топе YouTube по категории трансляции, попав в рекомендации целевой аудитории, и быстро получить живых зрителей, пока мошеннический стрим или канал не заблокирован.
YouTube постоянно обновляет алгоритмы, чтобы оградить пользователей от мошеннического контента. Но на фоне взрывного роста количества криптостримов видеохостинг столкнулся с критикой из-за то, что не справляется с поддельными видео Илона Маска. Тем не менее новые алгоритмы все же усложняют работу накрутчикам. Так, обратившись к одному из накрутчиков 16 июня 2022 года, мы получили ответ о временной приостановке работ из-за патча алгоритмов YouTube от 6 июня. Более опытные и популярные сервисы накрутки не боятся обновлений — некоторые из них гордо заявляют: “РАБОТАЕМ ПОСЛЕ ПАТЧА” (обязательно капсом).

В рамках исследования предложений мы снова встретили пользователя с ником cryptolover, который до этого успел активно проявить себя в услугах хостинга. Еще один сервис с префиксом Crypto-, на этот раз по накрутке зрителей на стримы, — CryptoStream. На самом деле их предложение не является на рынке накрутки чем-то особенным, но упоминание еще одного "Crypto-сервиса" важно для демонстрации масштаба рынка услуг.
Крыша криптостримов
Одна из жалоб в службу поддержки YouTube со стороны отчаявшегося криптостримера:
Мошенники, которые проводят прямые трансляции с мошенничеством пишут данному лицу "Ignition" и сотрудничают с ним, что бы тот не блокировал (не кидал страйк) на их прямую трансляцию.
……
Эти все видео мошеннические и они обходят алгоритмы блокировок ютуб. Пользователь "Ignition" злоупотребляет инструментами для отправки жалобы на авторский контент блокируя только те прямые трансляции — за которые он не получал выкуп.
Орфография и пунктуация автора сохранены
На подпольных форумах в разделах, связанных с мошенническими криптотрансляциями, был замечен пользователь под ником Ignition aka Игнат, который представлялся чем-то вроде “крыши” таких криптостримов. Каждая новая трансляция с раздачей криптомонет отлетала в бан в связи с жалобой — страйком. Такой бан чаще всего получал каждый, кто не находился в вайтлисте Игната. За свое покровительство он брал от 20% дохода, но аппетиты со временем выросли — он требовал 85% и предоплату.
Как это работает
Платформа YouTube применяет технологию управления контентом, в рамках которой существует система жалоб на нарушения авторских прав. В этой системе есть “менеджеры контента”, которые подписывают партнерское соглашение с YouTube. Они помогают сервису следить за безопасностью пользователей и соблюдением законодательства.

В рамках “крышевания” партнер YouTube злоупотреблял системой защиты авторского права, когда участники партнерской программы могут вручную подавать претензии из-за размещения чужого контента без разрешения владельца. Такая ручная жалоба называется страйком. Если во время трансляции прилетает подобный страйк, то у канала отключается возможность проводить трансляции до истечения срока страйка. Он длится 90 дней, что для мошеннического стримера означает практически бан. В настоящий момент аккаунт Ignition в YouTube забанен в связи с жалобами на злоупотребление полномочиями.
Сервисы по автоматизации мошеннических криптостримов
Описанные выше предложения представляли собой отдельные услуги по монтажу, верстке и разработке промосайта, продаже каналов и накрутке зрителей, но попадались и “пакетные” предложения по разработке проекта криптострима или уже готовые проекты по подписке.
Подобные предложения делились на два направления:
1
Дизайн
Готовый дизайн-проект, оформленный в едином стиле видеоконтент, YouTube-канал и шаблон сайта.
2
Запуск и поддержка проекта
От выбора шаблонов лендинга до запуска и управления сайтом.
Наибольший интерес представляли сервисы, связанные с поддержкой сайтов, так как они практически полностью автоматизировали все действия по реализации криптомошеннической кампании.

Такие сервисы предоставлялись по подписке, давая скамерам широкие возможности для проведения атак. Обладатели таких инструментов могут не углубляться в технические подробности и снять с себя множество вопросов по сборке и поддержке всех элементов, необходимых для успешной реализации схемы.

Состав пакета услуг под ключ:

  • Размещение сайта на хостинге, скрытом за Anti-DDoS-сервисом
  • Выбор готовых шаблонов для промосайта
  • Проверка и таргетирование посетителей, ограничения на посещение (geo-ip, check-proxy)
  • Статистика по посещениям и логирование действий
  • Управление адресами кошельков, генерация QR-кодов
  • Накрутка зрителей на YouTube-трансляции
Один из подобных сервисов за подписку от $500 до $1500 в месяц позволяет мошенникам полностью автоматизировать атаку.

Пример рекламного поста сервиса на одном из форумов

Доступ к функционалу предоставляется в рамках веб-портала с личным кабинетом, а также в виде Telegram-ботов, что хоть и было ожидаемым, но все же стало новшеством в криптоскам-индустрии.
Пример текста рекламного поста
Срочно нужен сайт для запуска стрима, а ждать пока кто-то его будет устанавливать пол дня не хочется? Тогда наш бот – то, что тебе нужно!

Продукт поможет тебе разобраться в автоматической установке сайтов самому – не переживай, всё предельно понятно. Ты можешь выбрать шаблон сайта, отредактировать его, поменять кошелёк, иксы и остальное. Бот имеет множество сайтов и удобный функционал.

Внести правки в уже установленный сайт также легко – мгновенное обновление, и все внесенные изменения уже на твоём сайте.

Думаешь, такая настройка наверняка займет кучу времени? Отбрось эти мысли – автоматическая установка сайта с нашим ботом займет у тебя всего 10 минут.
Орфография и пунктуация автора сохранены
Интересно также то, что создатели одного из проектов сообщали, что их сервис изначально создавался для личного пользования, но с конца февраля 2022 года они сделали из него коммерческий проект, позволяя мошенникам с любым опытом заниматься криптоскамом.
Именно появление подобных сервисов объясняет всплеск активности мошеннических криптостримов с конца февраля 2022 года.

Пример веб-версии панели управления со списком доступных шаблонов

Рекавери-скам (обман х2)
Часто на форумах можно встретить комментарии пользователей, которые жалуются на то, что стали жертвами FCG-схемы. Оставив такое сообщение, пользователь мог быть обманут во второй раз.

Через некоторое время в комментариях ему отвечал такой же “обманутый пользователь” и писал, что ему помог сервис “Recovery blah-blah-blah”. Уже отчаявшегося человека, как правило, радует новость о возможном возвращении хотя бы части средств.

Под видом этих "советчиков", конечно, скрывались мошенники.
Была обнаружена поддельная компания Cyber Group на площадке Quora, которая якобы специализировалась на возвращении похищенных средств в рамках мошеннических действий, в том числе и FCG-схемы.
Подробнее
Пользователь по имени Cyber Group публиковал информацию о возможности восстановления криптовалюты:
Один из его ответов на вопрос пользователя площадки Quora о возможности вернуть средства:
Если жертва пишет по указанным контактным данным, то мошенники различными способами пытаются втереться в доверие: рассказывают, что ситуация рядовая и средства можно восстановить. Главное, что просят от несчастного юзера, — заплатить определенную сумму за услугу, и, как правило, ее размер зависит от суммы утраченных средств: чем больше, тем дороже прайс за “возвращение”.

Мы написали на один из таких почтовых адресов. В рамках последующей “формальной” коммуникации — знакомства и обмена контактными данными — наше общение ушло в Telegram, где мы и получили основные условия для восстановления потерянной криптовалюты: купить специальный инструмент для работы их хакеров за $1300 и 5% от возвращенной суммы.
Заключение
Схема с удвоением вложенных криптомонет в той или иной форме существует уже более четырех лет, но модифицируются сами методы ее реализации. Начавшись с простых Twitter-постов с фейковых аккаунтов знаменитостей, схема развивалась и трансформировалась, создав целую Fake Crypto Giveaway-индустрию.

В рамках данного материала аналитики CERT-GIB попытались раскрыть реализацию FCG-схемы и показать общий уровень мошеннического сообщества, который привел к взрывному росту этой схемы. Именно такие масштабные мошеннические кампании бьют по репутации криптовалют.

Существование данного рынка услуг — показатель финансовой эффективности схемы мошеннических криптостримов. Очевидно, что разделение труда с широким диапазоном услуг будет только способствовать развитию схемы и продолжать приносить доход злоумышленникам. Автоматизация и упрощение реализации будут и дальше снижать технический порог входа, делая схему доступной для широких масс мошенников. Именно создание комплексных инструментов — тулкитов — позволяющих атаковать по подписке, привело к такому распространению схемы в начале 2022 года.

Отдельно стоит упомянуть, что за реализацию FCG-схемы ответственно русскоязычное мошенническое сообщество. Отечественные киберпреступники являются основными заказчиками и исполнителями. Хищение нерегулируемых в России криптомонет делает занятие мошенников низкорискованным, без прямой угрозы преследования со стороны правоохранительных органов.

В последнее время обитатели подпольных форумов пишут, что криптоскам на стримах умер, но активность регистрации доменных имен и ежедневные YouTube-стримы (в среднем пять трансляций в сутки, по данным аналитиков Digital Risk Protection Group-IB) говорят об обратном. Доходы мошенников снижаются лишь из-за текущей ситуации на рынке криптовалют, который переживает не лучшие времена. Как только появятся позитивные новости и наметится рост, рынок начнет наполняться свежеиспеченными неопытными инвесторами, а мошенники — пользоваться новыми возможностями.
Рекомендации для инвесторов
Аналитики CERT-GIB советуют проверять информацию об условиях инвестирования, например на официальном сайте криптопроекта. Если там нет сведений об “уникальных предложениях”, акциях и раздачах, о которых вы узнали из стороннего источника, то это обман и попытка завладеть вашими средствами.
Изучайте опыт других криптоинвесторов — как правило, кто-то уже сталкивался с подобной ситуацией и написал отзыв. С особой осторожностью относитесь к акциям и розыгрышам.
Если вы уже отдали криптовалюту аферистам и хотите вернуть свои средства, то рискуете быть обмануты дважды. Под видом человека, который пишет на форуме, что хочет помочь, часто оказываются те же мошенники.
Ни при каких обстоятельствах не сообщайте seed-фразу вашего кошелька третьим лицам. Всегда помните: кто обладает seed-фразой — тот обладает кошельком. Для хранения seed-фразы подходят менеджеры паролей.
Даже если вы далеки от криптоинвестиций, но владеете YouTube-каналом — вы можете стать целью злоумышленников. Позаботьтесь о защите своего аккаунта. Почта, привязанная к аккаунту, должна иметь двухфакторную аутентификацию и сложный пароль, который регулярно меняется с помощью менеджера паролей. На устройствах, с которых осуществляется доступ к аккаунту, должны быть установлены последние версии операционных систем и антивирусные средства защиты. И конечно, эти правила безопасности должны соблюдать все администраторы канала.
Рекомендации для компаний, работающих в сфере блокчейна и криптовалют
Для пресечения подобных «продвинутых скам-схем» классического мониторинга и блокировки уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп. Новый продукт Group-IB — автоматизированная система Digital Risk Protection, созданная на основе искусственного интеллекта (подробности тут), помогает защищать цифровые активы, бренд, личную и корпоративную репутацию с использованием технологий искусственного интеллекта. За год с ее помощью удалось предотвратить ущерб на сумму $443 млн для компаний из России, Европы, Азиатско-Тихоокеанского региона и с Ближнего Востока.

Пристально изучая индустрию интернет-мошенничества более 10 лет, Group-IB пришла к использованию нейронных сетей и адаптивного скоринга: технологии позволяют автоматизировать сложные процессы выявления и классификации типов мошенничества, нацеленного на конкретную компанию и индустрию в любой стране. Как это работает? Заказать демо и узнать больше о DRP можно здесь.