Soc

Был «эфир» и вот его не стало: русскоговорящие мошенники массово атакуют криптоинвесторов из Европы и США

Был «эфир» и вот его не стало: русскоговорящие мошенники массово атакуют криптоинвесторов из Европы и США Был «эфир» и вот его не стало: русскоговорящие мошенники массово атакуют криптоинвесторов из Европы и США Был «эфир» и вот его не стало: русскоговорящие мошенники массово атакуют криптоинвесторов из Европы и США
16.09.2022

Group-IB, один из мировых лидеров в сфере кибербезопасности, зафиксировала в первом полугодии 2022 года пятикратный рост числа доменных имен для криптоафер через фейковые стримы на YouTube-каналах от имени Илона Маска, Виталика Бутерина и президента государства Сальвадор — Найиба Букеле. По данным исследования Group-IB "Анатомия криптоскама"63% свежих мошеннических доменов были зарегистрированы у российских регистраторов, однако практически все ресурсы нацелены на международных криптоинвесторов.

Впервые резкий рост количества мошеннических трансляций в YouTube с участием звездных предпринимателей Виталика Бутерина, Илона Маска, Майкла Сэйлора и Кэтрин Вуд специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB (24/7) зафиксировали в феврале этого года. Эта мошенническая схема получила название Fake Crypto Giveaway: известные люди якобы рекламировали криптопроекты и предлагали инвесторам перейти на промо-сайт для удвоения вложенных сумм — перевести криптомонеты или токены по указанному адресу, или сообщить seed-фразу от криптокошелька для получения еще более выгодных условий. Сайт, разумеется, был мошенническим, в результате жертвы теряли отправленную криптовалюту или всё содержимое криптокошельков.

Эксперты Group-IB подчеркивают, что за полгода схема серьезно масштабировалась: за первые шесть месяцев 2022 специалисты CERT-GIB обнаружили регистрацию более 2 000 доменных имен для фейковых промо-сайтов. Это почти в пять раз больше, чем во второй половине прошлого года, и в 53 раза больше при сравнении год к году. Бурный рост числа доменных объясняется тем, что в феврале 2022 года появились автоматизированные инструменты для запуска мошеннической схемы, не требующие от киберпреступников особенных технических знаний.  В июле эксперты Group-IB Digital Risk Protection фиксировали в день до пяти мошеннических трансляций.

facebook-logo5.png

Среди новых звезд-"приманок" оказался президент Сальвадора Найиб Букеле, а недавно началась реклама промо-сайтов с футболистом Криштиану Роналду. Оба новых рекламных лица были выбраны мошенниками неслучайно. В 2021 году Сальвадор стал первым в мире государством, которое объявило биткойн легитимным платежным средством — во многом по инициативе президента страны. Криштиану Роналду стал первым футболистом, кто получил награду криптовалютой — клуб "Ювентус" наградил спортсмена токенами по числу забитых голов за всю карьеру. А в июне 2022 года о сотрудничестве с футболистом объявила криптобиржа Binance.

По данным Group-IB, более 60% доменных имен сайтов для криптоафер были оформлены у российских регистраторов доменов, однако в основном использовались интернациональные доменные зоны, так как цель подобных ресурсов — это монеты, принадлежащие владельцам криптокошельков из Европы и США. Все описания к видеороликам и на промо-сайтах сделаны английском языке. В топ-5 самых популярных доменных зон криптовалютных сайтов аферистов вошли: .com (31.65%), .net (23.86%), .org (22.94%) и .us (5.89%).

Screenshot_1.png

Изучив доменные имена, аналитики Group–IB составили рейтинг криптовалют и проектов, названия которых мошенники обыгрывают чаще всего, а, значит, они приносят наибольший доход. В первую очередь это ETH (Ethereum, "эфир"), Ark (ARK Invest), Elon Musk с несуществующими криптопроектами от Tesla и SpaceX, а также Shiba (токен Shiba Inu).

Криптошоу начинается: угон YouTube-канала

Основным каналом привлечения трафика на сайты мошенников является YouTube, но были попытки использовать для криптостримов Twitch. В среднем число зрителей фейковых трансляций составляет 10 000—20 000 с учетом "накрученных" ботов. Для проведения фейковых стримов злоумышленники или сами "угоняют" YouTube-каналы с помощью стиллеров, или покупают/арендуют их на теневых форумах под процент от хищений, обычно, это 10%—50% от заработка стримера. Цена лота на бирже аккаунтов во многом зависит от количества подписчиков. Чем больше их у канала, тем больше жалоб он сможет «выдержать» перед тем, как платформа его заблокирует. Например, среди недавно взломанных или захваченных криптомошенниками каналов можно найти созданный в 2011 году аккаунт с 50 600 подписок, но попадались и более старые, в том числе даже с миллионом подписчиков. 

После того, как аккаунт оказывается в руках криптостримера, его переименовывают, удаляют все предыдущие видео из плейлиста, меняют аватарку, добавляют новые элементы дизайна и загружают ролики об инвестициях или проектах звезд бизнеса. Запуская на канале трансляцию, мошенники накручивают просмотры, чтобы вывести ролик в топы YouTube и в рекомендации для целевой аудитории — "живых" пользователей, которые интересуются криптовалютными инвестициями. На теневых форумах подобные предложения — одни из самых частых. Например, "накрутить" к трансляции тысячу зрителей обойдется примерно в $100, пять тысяч зрителей — в $200.

Маркетплейс для криптоафер

Аналитики Group-IB обнаружили на форумах мошенников целый подпольный рынок, позволяющих реализовать криптоафёру даже новичку, не погруженному в технические детали. К услугам мошенников не только биржа взломанных YouTube-каналов и сервисы по накрутке зрителей, но и мануалы для реализации схемы, дизайнеры сайтов, разработчики административных панелей, готовые доменные имена, абузоустойчивый хостинг, продакшн специальных видеороликов для проведения стримов. За свои труды "менторы", "дизайнеры", "специалисты по продвижению" и другие подрядчики берут предоплату и процент от похищенных средств.

Самой популярной услугой является дизайн криптострима. Средняя цена на неё варьируется в $100-300 в зависимости от набора услуг. Отдельно качественный ролик для криптострима с дипфейком известного человека и озвучкой, которые обещают в рекламе, обойдется примерно в $30.

Еще один востребованный сервис — разработка промо-сайтов, на которые жертвы попадают по ссылке в стриме. Как правило, это одностраничный ресурс со всей информацией о фейковом криптопроекте. Цена уже готового лендинга для аферы может варьироваться от $200 до $600 в зависимости от "свежести" дизайна.

Цены на обучающие материалы стартуют от $100 и не ограничиваются фиксированной ценой. Можно встретить объявления 2-в-1: о продаже "учебников" и обучении под процент от украденного.

В даркнете есть предложения разработки всего мошеннического проекта под ключ. Самые интересные предложения относятся к так называемым тулкитам — инструментам, позволяющим реализовывать все этапы схемы из "одного окна" и автоматизировать большинство процессов. Подписка на продвинутый тулкит стоит мошенникам от $500 до $1500 в месяц.

"В последнее время на андеграундных форумах встречаются отзывы, что мошенничество с криптовалютами себя изжило, но активная регистрация доменных имен и продолжающиеся ежедневные стримы говорят об обратном, — отмечает заместитель руководителя Центра реагирования на инциденты (CERT-GIB, 24/7) Ярослав Каргалёв. — Интенсивность атак на доверчивых криптоинвесторов растет и увеличивается охват. Мы видим причину в простоте реализации схемы за счет автоматизации процессов и кооперации в киберпреступном сообществе. Появление и развитие такого рынка говорит о том, что инвестиции в криптоаферы окупаются и продолжают приносить злоумышленникам крупные в масштабах интернет-мошенничества доходы".

Как не стать жертвой криптомошенников:

  • Специалисты Group-IB советуют обязательно проверять информацию об условиях инвестирования, например, на официальном сайте криптопроекта. Если на официальном ресурсе нет сведений об "уникальных предложениях", акциях, раздачах, о которых вы узнали из стороннего источника, то значит это обман и попытка завладеть вашими средствами и кошельком.
  • Ни при каких обстоятельствах не сообщайте seed-фразу вашего кошелька третьим лицам. Всегда помните: кто обладает seed-фразой — тот обладает кошельком. Для хранения seed-фразы подходят менеджеры паролей. Для минимизации риска утечки желательно, чтобы они были не облачные, а устанавливались на вашем персональном устройстве.
  • Изучайте опыт других криптоинвесторов — как правило, кто-то уже сталкивался с подобной ситуацией и уже написал отзыв. С особой осторожностью относитесь к акциям и розыгрышам.
  • Если вы уже отдали свою криптовалюту аферистам и хотите вернуть свои средства, то рискуете быть обманутым дважды. Под видом человека, который пишет на форуме, что хочет вам помочь, часто оказываются мошенники.
  • Даже если вы далеки от криптоинвестиций, но владеете YouTube-каналом, то можете быть целью злоумышленников. Обеспечьте все необходимые меры для защиты вашего аккаунта. Почта, привязанная к аккаунту, должна иметь двухфакторную аутентификацию и сложный пароль, который регулярно меняется с помощью менеджера паролей. На устройствах, с которых осуществляется доступ к аккаунту, должны быть установлены последние версии операционных систем, а также антивирусные средства защиты. И, конечно, эти правила безопасности должны соблюдать все администраторы канала.
  • Будьте бдительны!

О компании: 

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира регионального подразделения Group-IB (Россия и СНГ) расположена в Москве. Компания является резидентом «Сколково» и Иннополиса.

Международные Центры исследования киберугроз Group-IB находятся в Азиатско-Тихоокеанском регионе (Сингапур), на Ближнем Востоке (Дубай), в Европе (Амстердам).

В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в нынешнем году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.

О технологиях Group-IB

Unified Risk Platform — единая платформа решений и сервисов Group-IB для защиты от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Платформа объединяет возможности защиты внутренней инфраструктуры компании, ее внешнего периметра, ее интеллектуальной собственности (бренда), а также защиту предоставляемых ею сервисов от мошенничества, направленного на ее клиентов.

В Group-IB Unified Risk Platform входят:

  • Group-IB Threat Intelligence — это комплексное решение для исследования и атрибуции кибератак, содержащее структурированные данные о тактиках, инструментах и активности злоумышленников с возможностью персонализации под конкретную отрасль или компанию. Group-IB TI позволяет выстроить проактивную систему ИБ, ориентированную на защиту активов компании с низким количеством ложных инцидентов.
  • Решение Group-IB Managed XDR для проактивного поиска и защиты от сложных и неизвестных киберугроз позволяет организациям реагировать на угрозы на 20% быстрее. Разработка уже получила признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader».

  • Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Group-IB Fraud Protection получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Выявляют и предотвращают на 20% больше попыток финансового мошенничества.

  • Решение Digital Risk Protection снижает цифровые риски для брендов и защищает интеллектуальную собственность от мошенничества, пиратства, утечек данных, предоставляя лучшую в своем классе защиту. Согласно оценкам аналитиков, Group-IB DRP обнаруживает пиратский контент в среднем за 30 минут и устраняет 80% нарушений в течение 7 дней. Решение получило престижную премию Innovation Excellence от глобального консалтингового агентство Frost & Sullivan.

  • Attack Surface Management отслеживает забытые компанией ИТ-активы, незащищенные участки инфраструктуры, некорректно настроенные элементы сети, которые могут использовать атакующие. В рамках Unified Risk Platform решение позволяет увидеть всю поверхность атаки с точки зрения злоумышленника, чтобы оперативно и превентивно укрепить слабые места.

  • Business Email Protection защищает корпоративную электронную почту от сложных атак. Решение отслеживает индикаторы компрометации, выявляет поведенческие маркеры вредоносной активности и извлекает артефакты для определения опасных писем прежде, чем они будут доставлены.


Комментарии 0