Dokážete rozpoznat phishingový podvod, pokud se objeví na vašem příštím setkání? Zjistěte, jak Lainchainovo klamání překvapilo odborníky v Paříži.
Obsah
Krypto past v Paříži
Pochopení phishingových podvodů a jejich variant
Jak podvod funguje
Zjištění technického vyšetřování
Falešné identity a sociální inženýrství
Analýza Telegramu a sociálních médií
Úniky dat a aktivita na dark webu
Ochrana sebe v krypto prostoru
Krypto past v Paříži
Večer 3. prosince se v Café Oz v Paříži konalo setkání freelancerů, které přilákalo jednotlivce z různých odvětví k navázání kontaktů a výměně nápadů. Mezi účastníky byl Scott Horlacher, softwarový inženýr a vývojář.
Večer nabral neobvyklý směr s příchodem dvou jednotlivců. Jeden byl ostře oblečen, představil se jako právník, který se zabývá obchodní stránkou věcí, zatímco druhý, mladší a drsně vypadající jedinec, se představil jako Leo, vývojář. Společně tvrdili, že zastupují novou platformu pro kryptoměny nazvanou Lainchain.
Diskuze Horlachera s nimi začala dost nevinně. "Hovořili jsme francouzsky," vysvětlil Scott a poznamenal, že vývojář, který se představil jako Leo, popsal Lainchain jako aplikaci Python Flask. Nicméně odpovědi na Scottovy technické otázky vzbudily podezření.
„Ptal jsem se ho na vrstvu urovnání, jako jak jsou transakce zpracovávány a urovnávány na vaší burze nebo platformě?“
Zakladatel Lainchainu odvětil: „Jednoduše se připojíte k MetaMasku a pošlete to přímo.“ V tu chvíli se Horlacherovy podezření prohloubily. Když Horlacher navštívil Lainchain.com, problém se stal zřejmým. „Přesunul jsem se k sekci pro registraci a tohle je vlastně okamžik, kdy jsem si uvědomil, že, oh člověče, tenhle chlap je podvodník,“ řekl.
„Na stránce pro registraci je přímo generátor seedů peněženky. Je jasné, že burza spravuje vaše soukromé klíče, a v jakémkoliv okamžiku představuje bezpečnostní riziko. Osoba je buď opravdu hloupá za to, že vyvinula platformu, nebo je to podvodník. A myslím, že je pravděpodobnější, že je to podvodník.“
Po konfrontaci dvojice ohledně problému se jejich sebevědomí rozpadlo. Krátce poté opustili akci a nechali Horlachera a ostatní, aby poskládali podvod a varovali ostatní účastníky.
Odhodláni dostat se k jádru této podezřelé situace, crypto.news navázalo spolupráci s AMLBot, firmou specializující se na dodržování předpisů a forenzní analýzu blockchainu. To, co následovalo, byla podrobná vyšetřovací akce, která odhalila Lainchain takový, jaký ve skutečnosti byl — pečlivě orchestrální phishingový podvod.
Tento článek rozebírá zjištění tohoto vyšetřování a zkoumá, jak podvod fungoval, jaké varovné signály sledovat a, co je nejdůležitější, jak se můžete chránit před tím, abyste se stali obětí podobných schémat v budoucnu.
Pochopení phishingových podvodů a jejich variant
Před tím, než se ponoříme hlouběji do problému Lainchainu, je důležité pochopit typy phishingových podvodů, které existují, a jak cílují oběti, zejména v oblasti financí a kryptoměn.
Phishingové podvody používají klamání k tomu, aby oklamaly jednotlivce, aby odhalily citlivé informace, jako jsou hesla, seed fráze nebo přihlašovací údaje k peněženkám. Na rozdíl od přímého hackování, phishing spoléhá na sociální inženýrství, což činí oběti neúmyslnými účastníky jejich vlastního vykořisťování.
Podle Statista v roce 2023 představovalo 27,32 % globálních kybernetických útoků finanční phishingové útoky, což je pokles z 36,3 % v roce 2022 a 41,8 % v roce 2021.
Podíl finančních phishingových útoků na celém světě od roku 2016 do 2023 | Zdroj: Statista
Navíc v roce 2023 oznámilo Federální vyšetřovací úřad Centrum pro stížnosti na internetové zločiny více než 69 000 stížností souvisejících s finančním podvodem zahrnujícím kryptoměny. Odhadované ztráty přesáhly 5,6 miliardy dolarů, ovlivnily aktiva jako Bitcoin (BTC), Ethereum (ETH) a Tether (USDT).
Phishingové podvody často nabývají těchto forem:
E-mailový phishing: Obecné e-maily se vydávají za důvěryhodné subjekty, jako jsou burzy, což vyzývá uživatele k kliknutí na zlovolné odkazy nebo sdílení přihlašovacích údajů.
Spear phishing: Vysoce cílené podvody personalizují zprávy na základě konkrétních obětí, často imitují členy týmu nebo partnery, aby vybudovaly důvěru.
Clone phishing: Falešné webové stránky nebo aplikace, jako je Lainchain, napodobují legitimní, klamou uživatele do zadání jejich přihlašovacích údajů nebo připojení peněženek.
Phishing na sociálních médiích: Podvodníci na platformách jako Telegram nebo Twitter se vydávají za influencery, pracovníky podpory nebo zástupce projektů, lákají oběti falešnými dary nebo investičními nabídkami.
Phishing založený na malwaru: Zlovolné aplikace nebo odkazy infikují zařízení a zachycují citlivá data, jako jsou seed fráze, soukromé klíče a přihlašovací údaje.
Phishing v kryptoměnách je obzvlášť nebezpečný kvůli nevratné povaze blockchainových transakcí — jakmile jsou prostředky převedeny, nelze je obnovit. Pochopení těchto taktik je zásadní pro jejich vyhnutí se.
Pochopení varovných signálů a používání základních bezpečnostních praktik, jako je dvoufaktorová autentizace a ověřování zdrojů, jsou zásadními kroky k ochraně vašich digitálních aktiv.
Jak podvod funguje
Podle vyšetřovatelů z AMLBot se Lainchain prezentoval jako legitimní krypto burza, ale byl protkán základními vadami, které odhalovaly jeho pravou povahu. Rozhraní platformy bylo daleko od profesionálního, mělo primitivní design, který popíral jeho odvážná tvrzení.
Úvodní stránka lainchain.com, 19. prosince 2024.
Klamání začalo zdánlivě rutinní žádostí uživatelů, aby připojili své peněženky MetaMask k přístupu k službám platformy. Integrace peněženek je běžnou funkcí v aplikacích založených na blockchainu, ale Lainchain tento proces zmanipuloval. Místo standardního autorizačního výzvy byli uživatelé požádáni, aby zadali své seed fráze — praxe, kterou by žádná legitimní platforma nikdy nepodporovala, což vedlo k podezření, že funguje jako phishingový podvod.
Stránka pro registraci na lainchain.com, kde jsou od uživatelů vyžadovány jejich seed fráze, 19. prosince 2024.
Vyšetřovatelé zdůraznili, že tato taktika efektivně předávala kontrolu nad peněženkami uživatelů podvodníkům. S přístupem k soukromým klíčům mohli pachatelé svobodně převádět prostředky bez detekce nebo zásahu.
Kromě přímé krádeže Lainchain používal psychologické strategie k prohloubení svého vykořisťování. Oběti byly lákány sliby mimořádných výnosů a povzbuzovány, aby vložily více prostředků, aby „odemkly maximální potenciál“.
Když se uživatelé pokusili o výběr, narazili na vymyšlené překážky, jako jsou požadavky na „transakční poplatky“ nebo „ověřovací poplatky“, které sloužily pouze k dalšímu odčerpávání peněz.
Vyšetřování také odhalilo, že Lainchain shromažďoval osobní údaje během registrace, včetně e-mailových adres a podrobností o propojené peněžence. Tyto informace byly pravděpodobně dále monetizovány, prodány na dark webových tržištích a použity pro phishingové kampaně nebo jiné formy krádeže identity.
Zjištění technického vyšetřování
Vyšetřovatelé z AMLBot použili techniky Open Source Intelligence k odhalení klamavých operací Lainchain. Kritický průlom přišel z analýzy registračních údajů domény lainchain.com.
Doména, registrována přes HOSTINGER — levného registrátora často zneužívaného podvodníky — byla nastavena s nastavením soukromí, aby zakryla identitu vlastníka.
Tato záměrná anonymita je znakem kyberkriminálních operací. Registrováno 30. ledna 2023 a aktualizováno 30. října 2024, časová osa domény ukazovala na dlouhé období podvodů obětí.
Další vyšetřování ukázalo, že webová stránka byla hostována na serverech v Helsinkách, Finsko, pod Hetzner Online GmbH, poskytovatelem hostingu známým svými soukromí zaměřenými a cenově dostupnými službami. Ačkoliv jsou legitimní, takové služby často přitahují špatné aktéry hledající kryt.
Vyšetřovatelé také zjistili, že Lainchain nebyl izolovaný podvod, ale součástí sítě podvodných platforem jako Rawkchain a Staxeblock, všechny postavené na téměř identických kódových základech.
Vložené komentáře v HTML zdroji Lainchainu výslovně odkazovaly na Rawkchain, čímž potvrdily, že tyto stránky byly klony. Taktika umožnila podvodníkům přepracovat a znovu spustit po odhalení, což jim umožnilo pokračovat v klamání uživatelů.
Analýza SSL certifikátu dále spojila Lainchain s podezřelou doménou finalsolutions.com.pk, což naznačuje širší síť pro phishing nebo praní odcizených prostředků. Navíc, reverzní IP vyhledávání a DNS analýza odhalily sdílené servery s jinými pochybnými platformami, což odhalilo její závislost na levném hostingu a minimálním úsilí.
Vyšetřovatelé dospěli k závěru, že Lainchain představoval škálovatelný, nízkokostový, vysoce výnosový podvodní model, který využíval anonymitu a technické zkratky k tomu, aby se dostal k uživatelům.
Falešné identity a sociální inženýrství
Jedním z nejvíce znepokojujících aspektů podvodu Lainchain bylo jeho vypočítané používání ukradených identit a zfalšovaných sociálních důkazů k budování důvěry a lákání obětí.
Podle vyšetřovatelů Lainchainova webová stránka prominentně zobrazovala obrázky údajných členů týmu, výkonných pracovníků a zakladatelů, včetně impozantních titulů a profesionálních biografií.
Nicméně vyšetřovatelé odhalili, že mnohé z těchto obrázků byly ukradeny z veřejných blockchainových akcí a profilů na sociálních médiích. Podvodníci přepracovali fotografie nevědomých jednotlivců a falešně je představili jako vedoucí tým Lainchain.
V jednom překvapivém příkladu byla použita fotografie známého ruského politika k vytvoření identity výkonného pracovníka. Další fotografie, které se vracely k nesouvisejícím profesionálům, byly spojeny s falešnými přihlašovacími údaji k dalšímu posílení iluze důvěryhodnosti.
Klamání se rozšířilo nad rámec webové stránky. Na platformách jako Trustpilot Lainchain předváděl nespočet zářivých recenzí, které chválily jeho uživatelsky přívětivé rozhraní, robustní zabezpečení a ziskovost.
Další analýza odhalila, že tyto recenze byly falešné, pocházely z nově vytvořených nebo podezřelých účtů. Mnoho z těchto profilů mělo historii recenzování jiných podvodných platforem, jako jsou Rawkchain a Staxeblock.
Tato kombinace ukradených identit, zfalšované online přítomnosti a zářivých, ale falešných doporučení vytvořila sofistikovanou fasádu, která lákala oběti do důvěry v platformu, což je činilo zranitelnými vůči finančním ztrátám a dalšímu vykořisťování.
Analýza Telegramu a sociálních médií
Telegramova ochrana soukromí a uživatelsky přívětivé funkce z něj učinily oblíbenou platformu pro krypto komunity — a pro podvody jako Lainchain. Vyšetřovatelé zjistili, že Telegram byl centrálním bodem operace, sloužil jako uzel pro propagaci podvodné platformy a spojení s oběťmi.
Podvodníci provozovali soukromou podpůrnou skupinu, kde účty jako Arin_lainchain a DanbenSpencer vystupovaly jako nápomocní administrátoři. Sdíleli propagační obsah a směřovali uživatele k falešným zástupcům podpory.
Chybný krok odhalil další klíčový účet, Lucifer3971, který vyšetřovatelé spojili s aktivitami na černém trhu, včetně obchodování s ukradenými daty. Zatímco ostatní účty byly opuštěny, Lucifer3971 zůstal aktivní a poskytoval důležité stopy.
Uvnitř skupiny podvodníci také vytvořili iluzi legitimity pomocí falešných účtů, aby simulovali aktivitu. Tyto účty kladly otázky, sdílely zářivé recenze a diskutovaly o falešných výběrech, což činilo skupinu důvěryhodnou. Moderátoři vítali nové členy s předem připravenými zprávami a zveřejňovali vymyšlené úspěšné příběhy, aby dále lákali oběti.
Schéma se rozšířilo i na Telegram. Na Facebooku se podvodníci infiltrovali do krypto a freelancových skupin s falešnými profily, aby propagovali Lainchain. Na Twitteru používali roboty a zfalšované doporučení k amplifikaci své zprávy, čímž vytvářeli iluzi důvěryhodnosti a důvěry.
Úniky dat a aktivita na dark webu
Podvod Lainchainu rozšířil svou exploataci nad rámec krádeže prostředků, cílením na osobní údaje obětí za účelem generování dalších zisků. Vyšetřovatelé odhalili, že citlivé informace byly nasměrovány do rozsáhlých úniků dat a prodány na dark webových tržištích.
Jedním z hlavních repozitářů spojených s touto sítí byla naz.api, databáze notoricky známá hostingem ukradených uživatelských dat z phishingových schémat, malwarových útoků a exploatací prohlížeče.
Vyhledávání na naz.api odhalilo nespočet kompromitovaných záznamů spojených s Lainchainem, včetně e-mailových adres, telefonních čísel, hesel a dalších soukromých údajů.
Vyšetřování také identifikovalo záznamy o krádežích spojené s Lainchainem. Tyto záznamy, které byly široce obchodovány na dark webu, poskytovaly podrobné snímky relací prohlížeče obětí, včetně uložených přihlašovacích údajů, dat pro automatické vyplnění a snímků obrazovky přihlašovacích portálů.
Ještě více znepokojivé bylo, že tyto záznamy nebyly izolované — zahrnovaly data z předchozích podvodů Lainchainu, Rawkchain a Staxeblock, a tím přispívaly do rostoucí sítě ukradených informací.
Ochrana sebe v krypto prostoru
Podvod Lainchain ukazuje rostoucí hrozbu falešných platforem navržených tak, aby napodobovaly legitimní operace, cílením na ty, kteří nejsou obeznámeni s kryptosystémy. Zatímco podvody jako tento jsou odhalovány, nespočet dalších operuje nepozorovaně, kradou miliony od nic netušících uživatelů.
Ochrana sebe začíná pochopením, jak tyto podvody fungují. Podvodníci často žádají o seed fráze nebo klamou uživatele, aby připojili své peněženky k zlovolným platformám. Slava Demchuk, generální ředitel AMLBot, vysvětlil rizika:
„Připojením vaší peněženky k nedůvěryhodné platformě můžete nevědomky udělit oprávnění zlovolným inteligentním smlouvám k přístupu a odčerpávání vašich prostředků. Před schválením jakékoli transakce vždy pečlivě zkontrolujte podrobnosti. Pokud se platforma jeví jako nedůvěryhodná nebo postrádá prokázanou historii, je nejlepší se stáhnout.“
Další běžná taktika zahrnuje falešné aplikace peněženek zabudované s malwarem, aby ukradly citlivé informace. Demchuk zdůraznil, aby byl při stahování aplikací opatrný:
„Stahujte aplikace pouze z důvěryhodných zdrojů a ověřte jejich důvěryhodnost kontrolou recenzí od uživatelů. Udržování antivirového softwaru aktuálního přidává další vrstvu ochrany.“
Doporučil také skeptický přístup při hodnocení platforem:
„Hledejte varovné signály jako anonymní nebo neověřitelné týmy, chybějící přihlašovací údaje nebo nesrovnalosti v jejich tvrzeních. Pokud něco vypadá podezřele, zastavte se a proveďte další výzkum. Vždy je lepší být opatrný, než riskovat ztrátu svých aktiv.“
Hlášení podvodů je stejně důležité. Spolupráce mezi uživateli, vývojáři a regulátory je nezbytná pro ochranu krypto ekosystému. Zůstávání informovaným a proaktivním nejen chrání jednotlivá aktiva, ale také posiluje širší krypto komunitu proti těmto hrozbám.