Долгое время интернет-мошенники использовали фишинг в соцсетях для получения данных банковских карт, логинов и паролей онлайн-кабинетов клиентов банков, но последнее время под ударом оказались проекты, выходящие на ICO, трейдеры, крипто-энтузиасты и другие владельцы криптовалют. Выбирают тех, у кого много френдов или большое влияние на аудиторию. По данным Group-IB, на долю фишинга приходится более 50% всех криптоатак, крупная фишинговая группировка похищает от $30,000 до $1,500,000 в месяц.

Одна из схем выглядит так. Мошенники создают в Facebook страницы-клоны популярных криптосообществ, полностью используя название бренда (отличие может быть в одной букве или знаке). В случае с Waves появлялись страницы-клоны WavesPlatform или Waves Walled Security, на которых были упомянуты реальные люди и их фотографии. Посты примерно такие:

В итоге, когда заинтересованный пользователь заходит на фишинговый сайт, и вписывает свой уникальный идентификатор типа пароль SEED, то с его кошелька выводят деньги.

Эти сообщения — наглядный пример использования социальной инженерии. Подобные вирусные рассылки с обещанием подарков, бонусов — в соцсетях довольно распространенное явление. Под влиянием «халявы» и лайков френдов — подобные вирусные посты активно шерят коллеги, друзья и знакомые — человек переходит на фишинговый сайт, где вводит персональную информацию, данные банковской карты, пароли, ключи от кошельков итд.

Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется «cпуфинг» (англ. spoofing — обман, мистификация). Летом 2017 года, чтобы нагнать траффик, мошенники уже отработанную схему "подарка" с использованием брендов известных авиакомпаний: "Lufthansa дарит два билета!". Отличие было в том, что в случае с Waves пользователь не должен был отвечать на вопросы и лично репостить сообщение — все это происходило в автоматическом режиме без его участия. Ежедневно создавались десятки фейковых аккаунтов Waves.

В январе 2018 года после волны фишинговых атак в соцсетях представители Waves, обеспокоившись безопасностью своего комьюнити, обратились в Group-IB. Group-IB заблокировала 158 фишинговых ресурса, 3125 фейковых групп и аккаунтов в социальных сетях. Большинство фишинговых ресурсов заблокированы в течение 24 часов.

Тотальную зачистку "страниц-клонов" заметили и сами мошенники. После того, как Group-IB стала защищать Waves Platform, жулики сменили тактику и сами стали использовать еще одно объявление, предупреждающее о мошенничестве:

«В ближайшее время, по нашим прогнозам, мошеннические фишинг-схемы с использованием крипто-брендов будут усложняться. Уровень подготовки к фишинговым атакам также будет расти, все большее распространение получит автоматизация фишинга и использование готовых фишинг-наборов (Phishing-kits), в частности, для атак на ICO. «Поскольку мы уже не первый год видим подобные атаки, инструменты и схемы в других отраслях, прежде всего, в финансовом секторе, мы способны эффективно отбивать такие атаки и в криптоиндустрии. Тем не менее, не лишним будет напомнить основные правила безопасности», — говорит Руслан Юсуфов, директор по работе с частными клиентами Group-IB.

Советы от Waves

Мы просим наших пользователей внимательно отнестись к проблеме и следовать нескольким простым рекомендациям для предотвращению возможной кражи средств.