Эксперты: русскоговорящие мошенники атакуют криптоинвесторов из Европы и США
Впервые резкий рост количества мошеннических трансляций в YouTube с участием звездных предпринимателей Виталика Бутерина, Илона Маска, Майкла Сэйлора и Кэтрин Вуд специалисты Group-IB зафиксировали в феврале этого года. Эта мошенническая схема получила название Fake Crypto Giveaway: известные люди якобы рекламировали криптопроекты и предлагали инвесторам перейти на промо-сайт для удвоения вложенных сумм - перевести криптомонеты или токены по указанному адресу, или сообщить seed-фразу от криптокошелька для получения еще более выгодных условий. Сайт, разумеется, был мошенническим, в результате жертвы теряли отправленную криптовалюту или все содержимое криптокошельков.
За прошедшие с момента выявления полгода схема серьезно масштабировалась: за первые шесть месяцев 2022 специалисты Group-IB обнаружили регистрацию более 2 000 доменных имен для фейковых промо-сайтов. Это почти в пять раз больше, чем во второй половине прошлого года, и в 53 раза больше при сравнении год к году. Бурный рост числа доменных объясняется тем, что в феврале 2022 года появились автоматизированные инструменты для запуска мошеннической схемы, не требующие от киберпреступников особенных технических знаний. В июле эксперты фиксировали в день до пяти мошеннических трансляций.
Среди новых звезд-"приманок" оказался президент Сальвадора Найиб Букеле, а недавно началась реклама промо-сайтов с футболистом Криштиану Роналду. Оба новых рекламных лица были выбраны мошенниками неслучайно. В 2021 году Сальвадор стал первым в мире государством, которое объявило биткойн легитимным платежным средством - во многом по инициативе президента страны. Криштиану Роналду стал первым футболистом, кто получил награду криптовалютой - клуб "Ювентус" наградил спортсмена токенами по числу забитых голов за всю карьеру. А в июне 2022 года о сотрудничестве с футболистом объявила криптобиржа Binance.
По данным Group-IB, более 60% доменных имен сайтов для криптоафер были оформлены у российских регистраторов доменов, однако в основном использовались интернациональные доменные зоны, так как цель подобных ресурсов - это монеты, принадлежащие владельцам криптокошельков из Европы и США. Все описания к видеороликам и на промо-сайтах сделаны английском языке.
Основным каналом привлечения трафика на сайты мошенников является YouTube, но были попытки использовать для криптостримов Twitch. В среднем число зрителей фейковых трансляций составляет 10 000-20 000 с учетом "накрученных" ботов. Для проведения фейковых стримов злоумышленники или сами "угоняют" YouTube-каналы или покупают/арендуют их на теневых форумах под процент от хищений, обычно, это 10%-50% от заработка стримера.
Аналитики обнаружили на форумах мошенников целый подпольный рынок, позволяющих реализовать криптоафёру даже новичку, не погруженному в технические детали. К услугам мошенников не только биржа взломанных YouTube-каналов и сервисы по накрутке зрителей, но и мануалы для реализации схемы, дизайнеры сайтов, разработчики административных панелей, готовые доменные имена, абузоустойчивый хостинг, продакшн специальных видеороликов для проведения стримов. За свои труды "менторы", "дизайнеры", "специалисты по продвижению" и другие подрядчики берут предоплату и процент от похищенных средств.
В даркнете есть предложения разработки всего мошеннического проекта под ключ. Самые интересные предложения относятся к так называемым тулкитам - инструментам, позволяющим реализовывать все этапы схемы из "одного окна" и автоматизировать большинство процессов. Подписка на продвинутый тулкит стоит мошенникам от $500 до $1500 в месяц.
"В последнее время на андеграундных форумах встречаются отзывы, что мошенничество с криптовалютами себя изжило, но активная регистрация доменных имен и продолжающиеся ежедневные стримы говорят об обратном", - отмечает заместитель руководителя Центра реагирования на инциденты Group-IB Ярослав Каргалёв.
По его словам, интенсивность атак на доверчивых криптоинвесторов растет и увеличивается охват. Причину эксперт видит в простоте реализации схемы за счет автоматизации процессов и кооперации в киберпреступном сообществе. Появление и развитие такого рынка свидетельствует о том, что инвестиции в криптоаферы окупаются и продолжают приносить злоумышленникам крупные в масштабах интернет-мошенничества доходы.
Специалисты Group-IB советуют обязательно проверять информацию об условиях инвестирования, например, на официальном сайте криптопроекта. Если на официальном ресурсе нет сведений об "уникальных предложениях", акциях, раздачах, о которых вы узнали из стороннего источника, то значит это обман и попытка завладеть вашими средствами и кошельком.
Ни при каких обстоятельствах не сообщайте seed-фразу вашего кошелька третьим лицам. Для хранения seed-фразы подходят менеджеры паролей. Причем, желательно не облачные.
Даже если вы далеки от криптоинвестиций, но владеете YouTube-каналом, то можете быть целью злоумышленников. Обеспечьте все необходимые меры для защиты вашего аккаунта. Почта, привязанная к аккаунту, должна иметь двухфакторную аутентификацию и сложный пароль, который регулярно меняется с помощью менеджера паролей. На устройствах, с которых осуществляется доступ к аккаунту, должны быть установлены последние версии операционных систем, а также антивирусные средства защиты. Эти правила безопасности должны соблюдать все администраторы канала.