Спецпроекты

Безопасность Стратегия безопасности Техника

Group-IB: русскоговорящие мошенники массово атакуют криптоинвесторов из Европы и США

Group-IB зафиксировала в первом полугодии 2022 г. пятикратный рост числа доменных имен для криптоафер через фейковые стримы на YouTube-каналах от имени Илона Маска, Виталика Бутерина и президента государства Сальвадор — Найиба Букеле. По данным исследования Group-IB «Анатомия криптоскама», 63% свежих мошеннических доменов были зарегистрированы у российских регистраторов, однако практически все ресурсы нацелены на международных криптоинвесторов.

Впервые резкий рост количества мошеннических трансляций в YouTube с участием звездных предпринимателей Виталика Бутерина, Илона Маска, Майкла Сэйлора и Кэтрин Вуд специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB (24/7) зафиксировали в феврале этого года. Эта мошенническая схема получила название Fake Crypto Giveaway: известные люди якобы рекламировали криптопроекты и предлагали инвесторам перейти на промо-сайт для удвоения вложенных сумм — перевести криптомонеты или токены по указанному адресу, или сообщить seed-фразу от криптокошелька для получения еще более выгодных условий. Сайт, разумеется, был мошенническим, в результате жертвы теряли отправленную криптовалюту или всё содержимое криптокошельков.

Эксперты Group-IB подчеркивают, что за полгода схема серьезно масштабировалась: за первые шесть месяцев 2022 специалисты CERT-GIB обнаружили регистрацию более 2 тыс. доменных имен для фейковых промо-сайтов. Это почти в пять раз больше, чем во второй половине прошлого года, и в 53 раза больше при сравнении год к году. Бурный рост числа доменных объясняется тем, что в феврале 2022 г. появились автоматизированные инструменты для запуска мошеннической схемы, не требующие от киберпреступников особенных технических знаний. В июле эксперты Group-IB Digital Risk Protection фиксировали в день до пяти мошеннических трансляций.

Среди новых звезд-«приманок» оказался президент Сальвадора Найиб Букеле, а недавно началась реклама промо-сайтов с футболистом Криштиану Роналду. Оба новых рекламных лица были выбраны мошенниками неслучайно. В 2021 г. Сальвадор стал первым в мире государством, которое объявило биткойн легитимным платежным средством — во многом по инициативе президента страны. Криштиану Роналду стал первым футболистом, кто получил награду криптовалютой — клуб «Ювентус» наградил спортсмена токенами по числу забитых голов за всю карьеру. А в июне 2022 г. о сотрудничестве с футболистом объявила криптобиржа Binance.

По данным Group-IB, более 60% доменных имен сайтов для криптоафер были оформлены у российских регистраторов доменов, однако в основном использовались интернациональные доменные зоны, так как цель подобных ресурсов — это монеты, принадлежащие владельцам криптокошельков из Европы и США. Все описания к видеороликам и на промо-сайтах сделаны английском языке. В топ-5 самых популярных доменных зон криптовалютных сайтов аферистов вошли: .com (31.65%), .net (23.86%), .org (22.94%) и .us (5.89%).

Изучив доменные имена, аналитики Group–IB составили рейтинг криптовалют и проектов, названия которых мошенники обыгрывают чаще всего, а, значит, они приносят наибольший доход. В первую очередь это ETH (Ethereum, «эфир»), Ark (ARK Invest), Elon Musk с несуществующими криптопроектами от Tesla и SpaceX, а также Shiba (токен Shiba Inu).

Основным каналом привлечения трафика на сайты мошенников является YouTube, но были попытки использовать для криптостримов Twitch. В среднем число зрителей фейковых трансляций составляет 10 тыс. — 20 тыс. с учетом «накрученных» ботов. Для проведения фейковых стримов злоумышленники или сами «угоняют» YouTube-каналы с помощью стилеров, или покупают/арендуют их на теневых форумах под процент от хищений, обычно это 10%—50% от заработка стримера. Цена лота на бирже аккаунтов во многом зависит от количества подписчиков. Чем больше их у канала, тем больше жалоб он сможет «выдержать» перед тем, как платформа его заблокирует. Например, среди недавно взломанных или захваченных криптомошенниками каналов можно найти созданный в 2011 г. аккаунт с 50,6 тыс. подписок, но попадались и более старые, в том числе даже с миллионом подписчиков.

После того, как аккаунт оказывается в руках криптостримера, его переименовывают, удаляют все предыдущие видео из плейлиста, меняют аватарку, добавляют новые элементы дизайна и загружают ролики об инвестициях или проектах звезд бизнеса. Запуская на канале трансляцию, мошенники накручивают просмотры, чтобы вывести ролик в топы YouTube и в рекомендации для целевой аудитории — «живых» пользователей, которые интересуются криптовалютными инвестициями. На теневых форумах подобные предложения — одни из самых частых. Например, «накрутить» к трансляции тысячу зрителей обойдется примерно в $100, 5 тыс. зрителей — в $200.

Аналитики Group-IB обнаружили на форумах мошенников целый подпольный рынок, позволяющих реализовать криптоафёру даже новичку, не погруженному в технические детали. К услугам мошенников не только биржа взломанных YouTube-каналов и сервисы по накрутке зрителей, но и мануалы для реализации схемы, дизайнеры сайтов, разработчики административных панелей, готовые доменные имена, «абузоустойчивый» хостинг, продакшн специальных видеороликов для проведения стримов. За свои труды «менторы», «дизайнеры», «специалисты по продвижению» и другие подрядчики берут предоплату и процент от похищенных средств.

Самой популярной услугой является дизайн криптострима. Средняя цена на неё варьируется в $100-300 в зависимости от набора услуг. Отдельно качественный ролик для криптострима с дипфейком известного человека и озвучкой, которые обещают в рекламе, обойдется примерно в $30.

Еще один востребованный сервис — разработка промо-сайтов, на которые жертвы попадают по ссылке в стриме. Как правило, это одностраничный ресурс со всей информацией о фейковом криптопроекте. Цена уже готового лендинга для аферы может варьироваться от $200 до $600 в зависимости от «свежести» дизайна.

Цены на обучающие материалы стартуют от $100 и не ограничиваются фиксированной ценой. Можно встретить объявления 2-в-1: о продаже «учебников» и обучении под процент от украденного.

В даркнете есть предложения разработки всего мошеннического проекта под ключ. Самые интересные предложения относятся к так называемым тулкитам — инструментам, позволяющим реализовывать все этапы схемы из «одного окна» и автоматизировать большинство процессов. Подписка на продвинутый тулкит стоит мошенникам от $500 до $1,5 тыс. в месяц.

«В последнее время на андеграундных форумах встречаются отзывы, что мошенничество с криптовалютами себя изжило, но активная регистрация доменных имен и продолжающиеся ежедневные стримы говорят об обратном, — отметил заместитель руководителя центра реагирования на инциденты (CERT-GIB, 24/7) Ярослав Каргалёв. — Интенсивность атак на доверчивых криптоинвесторов растет и увеличивается охват. Мы видим причину в простоте реализации схемы за счет автоматизации процессов и кооперации в киберпреступном сообществе. Появление и развитие такого рынка говорит о том, что инвестиции в криптоаферы окупаются и продолжают приносить злоумышленникам крупные в масштабах интернет-мошенничества доходы».

Как не стать жертвой криптомошенников

Специалисты Group-IB советуют обязательно проверять информацию об условиях инвестирования, например, на официальном сайте криптопроекта. Если на официальном ресурсе нет сведений об «уникальных предложениях», акциях, раздачах, о которых вы узнали из стороннего источника, то значит это обман и попытка завладеть вашими средствами и кошельком.

Ни при каких обстоятельствах не сообщайте seed-фразу вашего кошелька третьим лицам. Всегда помните: кто обладает seed-фразой — тот обладает кошельком. Для хранения seed-фразы подходят менеджеры паролей. Для минимизации риска утечки желательно, чтобы они были не облачные, а устанавливались на вашем персональном устройстве.

Изучайте опыт других криптоинвесторов — как правило, кто-то уже сталкивался с подобной ситуацией и уже написал отзыв. С особой осторожностью относитесь к акциям и розыгрышам.

Если вы уже отдали свою криптовалюту аферистам и хотите вернуть свои средства, то рискуете быть обманутым дважды. Под видом человека, который пишет на форуме, что хочет вам помочь, часто оказываются мошенники.

Даже если вы далеки от криптоинвестиций, но владеете YouTube-каналом, то можете быть целью злоумышленников. Обеспечьте все необходимые меры для защиты вашего аккаунта. Почта, привязанная к аккаунту, должна иметь двухфакторную аутентификацию и сложный пароль, который регулярно меняется с помощью менеджера паролей. На устройствах, с которых осуществляется доступ к аккаунту, должны быть установлены последние версии операционных систем, а также антивирусные средства защиты. И, конечно, эти правила безопасности должны соблюдать все администраторы канала.

Короткая ссылка