Анатомия криптоскама

Для тех, кто не читал наш первый блог, напомним суть схемы. На YouTube массово появляются фейковые стримы звездных предпринимателей: Виталика Бутерина, Илона Маска, Майкла Сэйлора и Кэтрин Вуд. Под предлогом популяризации криптовалют они заманивают потенциальных криптоинвесторов на промосайт, где указан адрес “волшебного кошелька”, якобы удваивающего отправленную криптовалюту.

В первом полугодии 2022 года мы наблюдали взрывной рост регистраций доменных имен под фейковые промосайты — более чем на 355% по сравнению со всем 2021 годом. В мошеннической схеме эксплуатируются бренды практически всех популярных криптопроектов и похищаются 9 видов криптомонет и токенов, в том числе BTC, ETH, XRP, BNB и SHIB.

На основе целевых слов, которые использовались в доменных именах, аналитики CERT-GIB составили рейтинг наиболее популярных у мошенников проектов. На первом месте оказался Ethereum и его создатель и бессменный амбассадор Виталик Бутерин. На втором месте — предприниматель Илон Маск и его проекты Tesla, SpaceX, альткоин Shiba Inu.

Хотя большая часть доменов была зарегистрирована через российских регистраторов, отечественная доменная зона не пользовалась популярностью у мошенников. Главная причина в том, что основные цели криптостримов за рубежом. Весь контент мошеннических сайтов и видеороликов на английском языке, а 78% доменных зон интернациональные. Например, использование домена .us явно дает понять, что среди целей мошенников — держатели криптомонет из США.

Как вы догадались из описания схемы, сам обман происходит на двух площадках: YouTube и мошенническом лендинге, где размещаются условия выплат и адреса кошельков.

Самая первая услуга, которую предлагают “зеленым” участникам FCG-схемы — это, конечно, обучение. Предложения о продаже мануалов начинаются от $100, но большую часть подобной информации можно найти в интернете и различных Telegram-каналах бесплатно. Более продвинутые услуги, связанные с персональным обучением, часто оплачиваются в размере 10-20% от выручки мошенника-новичка. Есть услуга "два в одном": продажа туториалов и персональное обучение с личными консультациями и круглосуточной поддержкой.

Как правило, в фейковых стримах мошенники демонстрируют либо обычные перемонтированные видеозаписи с известными лицами (таргетами), либо более продвинутые — “модифицированные” — видео. Поскольку качественный монтаж видео, требует определенного профессионального уровня и мощного оборудования, на рынке FCG-криптоскама существует отдельная категория услуг по производству контента под криптостримы.

Рынок предоставляет широкие услуги в зависимости от финансовых возможностей скамера: можно использовать уже готовое видео из портфолио или заказать новое, которое создадут под конкретный стрим.

В 2022 году наибольшей популярностью пользуются Виталик Бутерин, Илон Маск, Майкл Дж. Сэйлор и Кэтрин Вуд. Среди новых звезд-приманок оказался президент Сальвадора Найиб Букеле, а недавно началась реклама промосайтов с футболистом Криштиану Роналду. Оба новых рекламных лица были выбраны мошенниками неслучайно. В 2021 году Сальвадор стал первым в мире государством, которое объявило биткоин легитимным платежным средством — во многом по инициативе президента страны. Криштиану Роналду стал первым футболистом, кто получил награду криптовалютой: клуб “Ювентус” подарил спортсмену токены по числу голов, забитых за всю карьеру. А в июне 2022 года о сотрудничестве с футболистом объявила криптобиржа Binance.

Самые распространенные объявления об услугах FCG-криптоскама — это объявления дизайнеров, которые за $100−$300 помогают оформить интерфейс видеострима.

Отдельную нишу в криптоуслугах занимает разработка промосайтов, на которые жертва попадает с YouTube-трансляции. Это одностраничный сайт, содержащий всю необходимую информацию о проекте: его амбассадоре, условиях участия, адресах кошельков — а также фиктивную информацию об успешных транзакциях от предыдущих участников.

Можно встретить предложения о продаже уже готовых дизайн-проектов или разработке новых уникальных промосайтов под потребности клиента, а также предложения о предоставлении административных панелей под эти сайты.

1 февраля 2022 года на одном форуме были опубликованы исходники 25 промосайтов.

В рамках исследования FCG-схемы было обнаружено более 60 различных шаблонов промосайтов.

В зависимости от поставщика услуг, состав админской панели может различаться, но в целом он остается достаточно аскетичным. Главная функция такой панели — смена адреса кошелька для переводов и автогенерация QR-адресов.

В среднем цена готового лендинга-промосайта может варьироваться от $200 до $600, в зависимости от дизайна и функциональности.

Одним из самых популярных хостингов для FCG-скамеров в первом полугодии 2022 года был cryptoweb.to (aka cryptohost.to), позиционирующий себя как “абузоустойчивый” виртуальный хостинг.

Подобные сервисы работают на основе популярных биллинговых проектов, например BILLmanager. Помимо виртуального хостинга, они предоставляют возможность приобрести доменные имена в рамках стандартной интеграции с регистраторами доменных имен.

Интересно, что после статьи Брайана Кребса, где он показывает, что криптоскам размещается на хостинге, связанном с cryptoweb.to, и называет его “Crypto Scam Host”, выходит заявление от пользователя под ником cryptolover, который рекламировал данный сервис. В ответе говорится, что они не связаны с данным криптоскамом и лишь предоставляют услуги по регистрации доменов и хостингу.

Интересно также, что этот же пользователь публиковал объявления другого сервиса CRYPTOSTREAM.TO с услугами накруток зрителей на YouTube, в частности на мошеннические криптостримы.

О том, что это за услуга, мы расскажем далее.

Вскоре после этого в Telegram-канале сервиса CryptoWEB появилось сообщение, что их деятельность приостанавливается:

Сегодня основным каналом привлечения трафика на мошеннические промосайты с раздачей криптовалюты являются стримы на YouTube. Встречаются трансляции и на других площадках, например Twitch, но из-за нерелевантной аудитории это скорее исключения.

Вокруг YouTube как основного канала привлечения трафика образовалась еще одна ниша торговых отношений в FCG-схеме.

На подпольных форумах можно встретить предложения о продаже или скупке украденных каналов, которые будут использоваться в фейковых стримах. Как правило, аккаунты угоняют с помощью стилеров — специализированного вредоносного ПО, которым, например, в рамках социальной инженерии инфицируют компьютеры администраторов и владельцев аккаунтов, чтобы похитить данные: веб-браузерные куки, логины и пароли, хранящиеся на хосте, и т. д.

Цена YouTube-канала варьируется в зависимости от разных условий, которые повышают эффективность стрима. Например, одним из главных условий является текущее количество подписок — оно влияет на успех и время жизни криптострима. Вот рекомендация, которой поделился один из организаторов криптостримов:

Продавцы логов, скомпрометированных данных YouTube-каналов, могут предоставлять их под процент от хищений. Как правило, он варьируется от 10 до 50% от заработка криптостримера.

После того как скомпрометированный канал оказывается в руках криптостримера, он, как правило, разогревается — изменяется фирменное оформление канала: название, значок и баннер подбираются под дизайн криптопроекта, а все предыдущие видео из плейлиста удаляются.

После того как все готово к трансляции, например, подготовлено видео для стрима, оверлей, фейковый промосайт и YouTube-канал, остается самый важный момент — зрители. Во время исследования специалисты CERT-GIB обнаружили большое количество зрителей практически у всех трансляций криптомошенников.

Было очевидно, что мошенники применяли накрутки. Сервисы по накрутке они тоже находили на форумах, где предлагают приобрести зрителей и лайки на криптостимы по низким ценам.

Сейчас количество предложений по накрутке зрителей для фейковых трансляций может сравниться разве что с количеством предложений по дизайну криптостримов.

YouTube постоянно обновляет алгоритмы, чтобы оградить пользователей от мошеннического контента. Но на фоне взрывного роста количества криптостримов видеохостинг столкнулся с критикой из-за то, что не справляется с поддельными видео Илона Маска. Тем не менее новые алгоритмы все же усложняют работу накрутчикам. Так, обратившись к одному из накрутчиков 16 июня 2022 года, мы получили ответ о временной приостановке работ из-за патча алгоритмов YouTube от 6 июня. Более опытные и популярные сервисы накрутки не боятся обновлений — некоторые из них гордо заявляют: “РАБОТАЕМ ПОСЛЕ ПАТЧА” (обязательно капсом).

В рамках исследования предложений мы снова встретили пользователя с ником cryptolover, который до этого успел активно проявить себя в услугах хостинга. Еще один сервис с префиксом Crypto-, на этот раз по накрутке зрителей на стримы, — CryptoStream. На самом деле их предложение не является на рынке накрутки чем-то особенным, но упоминание еще одного "Crypto-сервиса" важно для демонстрации масштаба рынка услуг.

Одна из жалоб в службу поддержки YouTube со стороны отчаявшегося криптостримера:

На подпольных форумах в разделах, связанных с мошенническими криптотрансляциями, был замечен пользователь под ником Ignition aka Игнат, который представлялся чем-то вроде “крыши” таких криптостримов. Каждая новая трансляция с раздачей криптомонет отлетала в бан в связи с жалобой — страйком. Такой бан чаще всего получал каждый, кто не находился в вайтлисте Игната. За свое покровительство он брал от 20% дохода, но аппетиты со временем выросли — он требовал 85% и предоплату.

Платформа YouTube применяет технологию управления контентом, в рамках которой существует система жалоб на нарушения авторских прав. В этой системе есть “менеджеры контента”, которые подписывают партнерское соглашение с YouTube. Они помогают сервису следить за безопасностью пользователей и соблюдением законодательства.

В рамках “крышевания” партнер YouTube злоупотреблял системой защиты авторского права, когда участники партнерской программы могут вручную подавать претензии из-за размещения чужого контента без разрешения владельца. Такая ручная жалоба называется страйком. Если во время трансляции прилетает подобный страйк, то у канала отключается возможность проводить трансляции до истечения срока страйка. Он длится 90 дней, что для мошеннического стримера означает практически бан. В настоящий момент аккаунт Ignition в YouTube забанен в связи с жалобами на злоупотребление полномочиями.

Описанные выше предложения представляли собой отдельные услуги по монтажу, верстке и разработке промосайта, продаже каналов и накрутке зрителей, но попадались и “пакетные” предложения по разработке проекта криптострима или уже готовые проекты по подписке.

Наибольший интерес представляли сервисы, связанные с поддержкой сайтов, так как они практически полностью автоматизировали все действия по реализации криптомошеннической кампании.

Такие сервисы предоставлялись по подписке, давая скамерам широкие возможности для проведения атак. Обладатели таких инструментов могут не углубляться в технические подробности и снять с себя множество вопросов по сборке и поддержке всех элементов, необходимых для успешной реализации схемы.

Состав пакета услуг под ключ:

• Размещение сайта на хостинге, скрытом за Anti-DDoS-сервисом
• Выбор готовых шаблонов для промосайта
• Проверка и таргетирование посетителей, ограничения на посещение (geo-ip, check-proxy)
• Статистика по посещениям и логирование действий
• Управление адресами кошельков, генерация QR-кодов
• Накрутка зрителей на YouTube-трансляции

Доступ к функционалу предоставляется в рамках веб-портала с личным кабинетом, а также в виде Telegram-ботов, что хоть и было ожидаемым, но все же стало новшеством в криптоскам-индустрии.

Интересно также то, что создатели одного из проектов сообщали, что их сервис изначально создавался для личного пользования, но с конца февраля 2022 года они сделали из него коммерческий проект, позволяя мошенникам с любым опытом заниматься криптоскамом.

Часто на форумах можно встретить комментарии пользователей, которые жалуются на то, что стали жертвами FCG-схемы. Оставив такое сообщение, пользователь мог быть обманут во второй раз.

Через некоторое время в комментариях ему отвечал такой же “обманутый пользователь” и писал, что ему помог сервис “Recovery blah-blah-blah”. Уже отчаявшегося человека, как правило, радует новость о возможном возвращении хотя бы части средств.

Под видом этих "советчиков", конечно, скрывались мошенники.

Была обнаружена поддельная компания Cyber Group на площадке Quora, которая якобы специализировалась на возвращении похищенных средств в рамках мошеннических действий, в том числе и FCG-схемы.

Пользователь по имени Cyber Group публиковал информацию о возможности восстановления криптовалюты:

Один из его ответов на вопрос пользователя площадки Quora о возможности вернуть средства:

Если жертва пишет по указанным контактным данным, то мошенники различными способами пытаются втереться в доверие: рассказывают, что ситуация рядовая и средства можно восстановить. Главное, что просят от несчастного юзера, — заплатить определенную сумму за услугу, и, как правило, ее размер зависит от суммы утраченных средств: чем больше, тем дороже прайс за “возвращение”.

Мы написали на один из таких почтовых адресов. В рамках последующей “формальной” коммуникации — знакомства и обмена контактными данными — наше общение ушло в Telegram, где мы и получили основные условия для восстановления потерянной криптовалюты: купить специальный инструмент для работы их хакеров за $1300 и 5% от возвращенной суммы.

Схема с удвоением вложенных криптомонет в той или иной форме существует уже более четырех лет, но модифицируются сами методы ее реализации. Начавшись с простых Twitter-постов с фейковых аккаунтов знаменитостей, схема развивалась и трансформировалась, создав целую Fake Crypto Giveaway-индустрию.

В рамках данного материала аналитики CERT-GIB попытались раскрыть реализацию FCG-схемы и показать общий уровень мошеннического сообщества, который привел к взрывному росту этой схемы. Именно такие масштабные мошеннические кампании бьют по репутации криптовалют.

Существование данного рынка услуг — показатель финансовой эффективности схемы мошеннических криптостримов. Очевидно, что разделение труда с широким диапазоном услуг будет только способствовать развитию схемы и продолжать приносить доход злоумышленникам. Автоматизация и упрощение реализации будут и дальше снижать технический порог входа, делая схему доступной для широких масс мошенников. Именно создание комплексных инструментов — тулкитов — позволяющих атаковать по подписке, привело к такому распространению схемы в начале 2022 года.

Отдельно стоит упомянуть, что за реализацию FCG-схемы ответственно русскоязычное мошенническое сообщество. Отечественные киберпреступники являются основными заказчиками и исполнителями. Хищение нерегулируемых в России криптомонет делает занятие мошенников низкорискованным, без прямой угрозы преследования со стороны правоохранительных органов.

В последнее время обитатели подпольных форумов пишут, что криптоскам на стримах умер, но активность регистрации доменных имен и ежедневные YouTube-стримы (в среднем пять трансляций в сутки, по данным аналитиков Digital Risk Protection Group-IB) говорят об обратном. Доходы мошенников снижаются лишь из-за текущей ситуации на рынке криптовалют, который переживает не лучшие времена. Как только появятся позитивные новости и наметится рост, рынок начнет наполняться свежеиспеченными неопытными инвесторами, а мошенники — пользоваться новыми возможностями.

Для пресечения подобных «продвинутых скам-схем» классического мониторинга и блокировки уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп. Новый продукт Group-IB — автоматизированная система Digital Risk Protection, созданная на основе искусственного интеллекта (подробности тут), помогает защищать цифровые активы, бренд, личную и корпоративную репутацию с использованием технологий искусственного интеллекта. За год с ее помощью удалось предотвратить ущерб на сумму $443 млн для компаний из России, Европы, Азиатско-Тихоокеанского региона и с Ближнего Востока.

Пристально изучая индустрию интернет-мошенничества более 10 лет, Group-IB пришла к использованию нейронных сетей и адаптивного скоринга: технологии позволяют автоматизировать сложные процессы выявления и классификации типов мошенничества, нацеленного на конкретную компанию и индустрию в любой стране. Как это работает? Заказать демо и узнать больше о DRP можно здесь.