Русскоговорящие мошенники массово атакуют криптоинвесторов из Европы и США

Group-IB зафиксировала в первом полугодии 2022 года пятикратный рост числа доменных имен для криптоафер через фейковые стримы на YouTube-каналах от имени Илона Маска, Виталика Бутерина и президента государства Сальвадор — Найиба Букеле.

По данным исследования Group-IB “Анатомия криптоскама”, 63% свежих мошеннических доменов были зарегистрированы у российских регистраторов, однако практически все ресурсы нацелены на международных криптоинвесторов.

Впервые резкий рост количества мошеннических трансляций в YouTube с участием звездных предпринимателей Виталика Бутерина, Илона Маска, Майкла Сэйлора и Кэтрин Вуд специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB (24/7) зафиксировали в феврале этого года. Эта мошенническая схема получила название Fake Crypto Giveaway: известные люди якобы рекламировали криптопроекты и предлагали инвесторам перейти на промо-сайт для удвоения вложенных сумм — перевести криптомонеты или токены по указанному адресу, или сообщить seed-фразу от криптокошелька для получения еще более выгодных условий. Сайт, разумеется, был мошенническим, в результате жертвы теряли отправленную криптовалюту или всё содержимое криптокошельков. 

Эксперты Group-IB подчеркивают, что за полгода схема серьезно масштабировалась: за первые шесть месяцев 2022 специалисты CERT-GIB обнаружили регистрацию более 2 000 доменных имен для фейковых промо-сайтов.  Это почти в пять раз больше, чем во второй половине прошлого года, и в 53 раза больше при сравнении год к году. Бурный рост числа доменных объясняется тем, что в феврале 2022 года появились автоматизированные инструменты для запуска мошеннической схемы, не требующие от киберпреступников особенных технических знаний.  В июле эксперты Group-IB Digital Risk Protection фиксировали в день до пяти мошеннических трансляций.

Среди новых звезд-“приманок” оказался президент Сальвадора Найиб Букеле, а недавно началась реклама промо-сайтов с футболистом Криштиану Роналду. Оба новых рекламных лица были выбраны мошенниками неслучайно. В 2021 году Сальвадор стал первым в мире государством, которое объявило биткойн легитимным платежным средством — во многом по инициативе президента страны.  Криштиану Роналду стал первым футболистом, кто получил награду криптовалютой — клуб “Ювентус” наградил спортсмена токенами по числу забитых голов за всю карьеру. А в июне 2022 года о сотрудничестве с футболистом объявила криптобиржа Binance. 

По данным Group-IB, более 60% доменных имен сайтов для криптоафер были оформлены у российских регистраторов доменов, однако в основном использовались интернациональные доменные зоны, так как цель подобных ресурсов — это монеты, принадлежащие владельцам криптокошельков из Европы и США. Все описания к видеороликам и на промо-сайтах сделаны английском языке. В топ-5 самых популярных доменных зон криптовалютных сайтов аферистов вошли: .com (31.65%), .net (23.86%), .org (22.94%) и .us (5.89%). 

Изучив доменные имена, аналитики Group–IB составили рейтинг криптовалют и проектов, названия которых мошенники обыгрывают чаще всего, а, значит, они приносят наибольший доход. В первую очередь это ETH (Ethereum, “эфир”), Ark (ARK Invest), Elon Musk с несуществующими криптопроектами от Tesla и SpaceX, а также Shiba (токен Shiba Inu).

Криптошоу начинается: угон YouTube-канала

Основным каналом привлечения трафика на сайты мошенников является YouTube, но были попытки использовать для криптостримов Twitch. В среднем число зрителей фейковых трансляций составляет 10 000—20 000 с учетом “накрученных” ботов. Для проведения фейковых стримов злоумышленники или сами “угоняют” YouTube-каналы с помощью стиллеров, или покупают/арендуют их на теневых форумах под процент от хищений, обычно, это 10%—50% от заработка стримера. Цена лота на бирже аккаунтов во многом зависит от количества подписчиков.  Чем больше их у канала, тем больше жалоб он сможет «выдержать» перед тем, как платформа его заблокирует. Например, среди недавно взломанных или захваченных криптомошенниками каналов можно найти созданный в 2011 году аккаунт с 50 600 подписок, но попадались и более старые, в том числе даже с миллионом подписчиков. 

После того, как аккаунт оказывается в руках криптостримера, его переименовывают, удаляют все предыдущие видео из плейлиста, меняют аватарку, добавляют новые элементы дизайна и загружают ролики об инвестициях или проектах звезд бизнеса. Запуская на канале трансляцию, мошенники накручивают просмотры, чтобы вывести ролик в топы YouTube и в рекомендации для целевой аудитории — “живых” пользователей, которые интересуются криптовалютными инвестициями. На теневых форумах подобные предложения — одни из самых частых. Например, “накрутить” к трансляции тысячу зрителей обойдется примерно в $100, пять тысяч зрителей — в $200. 

Маркетплейс для криптоафер

Аналитики Group-IB обнаружили на форумах мошенников целый подпольный рынок, позволяющих реализовать криптоафёру даже новичку, не погруженному в технические детали. К услугам мошенников не только биржа взломанных YouTube-каналов и сервисы по накрутке зрителей, но и мануалы для реализации схемы, дизайнеры сайтов, разработчики административных панелей, готовые доменные имена, абузоустойчивый хостинг, продакшн специальных видеороликов для проведения стримов. За свои труды “менторы”, “дизайнеры”, “специалисты по продвижению” и другие подрядчики берут предоплату и процент от похищенных средств. 

Самой популярной услугой является дизайн криптострима. Средняя цена на неё варьируется в $100-300 в зависимости от набора услуг. Отдельно качественный ролик для криптострима с дипфейком известного человека и озвучкой, которые обещают в рекламе, обойдется примерно в $30.

Еще один востребованный сервис — разработка промо-сайтов, на которые жертвы попадают по ссылке в стриме. Как правило, это одностраничный ресурс со всей информацией о фейковом криптопроекте. Цена уже готового лендинга для аферы может варьироваться от $200 до $600 в зависимости от “свежести” дизайна. 

Цены на обучающие материалы стартуют от $100 и не ограничиваются фиксированной ценой. Можно встретить объявления 2-в-1: о продаже “учебников” и обучении под процент от украденного. 

В даркнете есть предложения разработки всего мошеннического проекта под ключ. Самые интересные предложения относятся к так называемым тулкитам — инструментам, позволяющим реализовывать все этапы схемы из “одного окна” и автоматизировать большинство процессов. Подписка на продвинутый тулкит стоит мошенникам от $500 до $1500 в месяц. 

“В последнее время на андеграундных форумах встречаются отзывы, что мошенничество с криптовалютами себя изжило, но активная регистрация доменных имен и продолжающиеся ежедневные стримы говорят об обратном, — отмечает заместитель руководителя Центра реагирования на инциденты (CERT-GIB, 24/7) Ярослав Каргалёв. — Интенсивность атак на доверчивых криптоинвесторов растет и увеличивается охват. Мы видим причину в простоте реализации схемы за счет автоматизации процессов и кооперации в киберпреступном сообществе. Появление и развитие такого рынка говорит о том, что инвестиции в криптоаферы окупаются и продолжают приносить злоумышленникам крупные в масштабах интернет-мошенничества доходы”. 

Как не стать жертвой криптомошенников:

• Специалисты Group-IB советуют обязательно проверять информацию об условиях инвестирования, например, на официальном сайте криптопроекта. Если на официальном ресурсе нет сведений об “уникальных предложениях”, акциях, раздачах, о которых вы узнали из стороннего источника, то значит это обман и попытка завладеть вашими средствами и кошельком.
• Ни при каких обстоятельствах не сообщайте seed-фразу вашего кошелька третьим лицам. Всегда помните: кто обладает seed-фразой — тот обладает кошельком. Для хранения seed-фразы подходят менеджеры паролей. Для минимизации риска утечки желательно, чтобы они были не облачные, а устанавливались на вашем персональном устройстве. 
• Изучайте опыт других криптоинвесторов — как правило, кто-то уже сталкивался с подобной ситуацией и уже написал отзыв. С особой осторожностью относитесь к акциям и розыгрышам.
• Если вы уже отдали свою криптовалюту аферистам и хотите вернуть свои средства, то рискуете быть обманутым дважды. Под видом человека, который пишет на форуме, что хочет вам помочь, часто оказываются мошенники. 
• Даже если вы далеки от криптоинвестиций, но владеете YouTube-каналом, то можете быть целью злоумышленников. Обеспечьте все необходимые меры для защиты вашего аккаунта. Почта, привязанная к аккаунту, должна иметь двухфакторную аутентификацию и сложный пароль, который регулярно меняется с помощью менеджера паролей. На устройствах, с которых осуществляется доступ к аккаунту, должны быть установлены последние версии операционных систем, а также антивирусные средства защиты. И, конечно, эти правила безопасности должны соблюдать все администраторы канала. 
• Будьте бдительны!