Чи зможете ви виявити фішингове шахрайство, якщо воно з'явиться на вашій наступній зустрічі? Дізнайтеся, як обман Lainchain здивував професіоналів у Парижі.
Зміст
Крипто пастка в Парижі
Розуміння фішингових шахрайств та їхніх варіацій
Як працює шахрайство
Технічні результати розслідування
Фальшиві особистості та соціальний інжиніринг
Аналіз Telegram та соціальних медіа
Порушення даних та діяльність на темному вебі
Захист себе в крипто-просторі
Крипто пастка в Парижі
Увечері 3 грудня відбулася зустріч фрілансерів у Café Oz у Парижі, що зібрала осіб з різних галузей для налагодження контактів та обміну ідеями. Серед присутніх був Скотт Хорлачер, програміст та розробник.
Вечір прийняв незвичайний поворот з прибуттям двох осіб. Один був одягнений дуже стильно, представляючи себе адвокатом, що займається бізнесом, в той час як інший, молодший та з грубим виглядом, представився як Лео, розробник. Разом вони заявили, що представляють нову платформу крипто-біржі під назвою Lainchain.
Обговорення Хорлачера з ними почалося досить невинно. "Ми спілкувалися французькою", - пояснив Скотт, зазначивши, що розробник, який назвав себе Лео, описав Lainchain як додаток на Python Flask. Однак відповіді на технічні запитання Скотта викликали тривогу.
“Я запитував його про рівень врегулювання, як обробляються та врегульовуються транзакції на вашій біржі або платформі?”
Засновник Lainchain відповів: "ви просто підключаєте свій MetaMask, і відправляєте його безпосередньо." У цей момент підозри Хорлачера зросли. Коли Хорлачер відвідав Lainchain.com, проблема стала очевидною. "Я прокрутив до розділу реєстрації, і це, по суті, коли я зрозумів, що, о, людина, цей хлопець шахрай," - сказав він.
“Сторінка реєстрації має генератор насіннєвих фраз безпосередньо в ній. Очевидно, що біржа керує вашими приватними ключами, і в будь-який момент це є ризиком безпеки. Ця особа або справді дурна за розробку платформи, або це шахрай. І я думаю, що швидше за все, це шахрай.”
Після того, як вони зіткнулися з парою з цього питання, їхня впевненість розпалася. Вони покинули захід незабаром після цього, залишивши Хорлачера та інших зібрати воєдино шахрайство, попередивши інших присутніх.
Сприявши розібратися в цій підозрілій зустрічі, crypto.news співпрацював з AMLBot, фірмою з дотримання норм та блокчейн-судової експертизи. В результаті відбулося глибоке розслідування, яке виявило Lainchain таким, яким воно насправді було - ретельно спланованим фішингом.
Ця стаття розкриває результати цього розслідування та вивчає, як працював шахрайство, які сигнали тривоги слід шукати і, що найголовніше, як ви можете захистити себе від подібних схем у майбутньому.
Розуміння фішингових шахрайств та їхніх варіацій
Перед тим, як заглибитися в проблеми Lainchain, важливо зрозуміти типи фішингових шахрайств, які існують, та як вони націлюють жертв, особливо у фінансовому та крипто-секторах.
Фішингові шахрайства використовують обман, щоб змусити людей розкривати чутливу інформацію, таку як паролі, насіннєві фрази або облікові дані гаманців. На відміну від прямого зламу, фішинг спирається на соціальний інжиніринг, роблячи жертв необізнаними учасниками їхньої власної експлуатації.
За даними Statista, у 2023 році 27,32% глобальних кібернападів були фінансовими фішингами, що знизилося з 36,3% у 2022 році та 41,8% у 2021 році.
Частка фінансових фішингових атак у всьому світі з 2016 по 2023 рік | Джерело: Statista
Більше того, у 2023 році Федеральне бюро розслідувань Інтернет-центр скарг про злочини повідомило про понад 69 000 скарг, пов'язаних з фінансовим шахрайством, що стосується криптовалют. Оціночні збитки перевищили 5,6 мільярда доларів, торкаючись активів, таких як Bitcoin (BTC), Ethereum (ETH) і Tether (USDT).
Фішингові шахрайства часто мають такі форми:
Електронний фішинг: Загальні електронні листи видають себе за надійні сутності, такі як біржі, закликаючи користувачів натискати шкідливі посилання або ділитися даними для входу.
Цільовий фішинг: Дуже специфічні шахрайства персоналізують повідомлення на основі конкретних жертв, часто підробляючи членів команди або партнерів для встановлення довіри.
Клон-фішинг: Фальшиві веб-сайти або додатки, такі як Lainchain, імітують легітимні, обманюючи користувачів для введення своїх облікових даних або підключення гаманців.
Фішинг у соціальних мережах: Шахраї на платформах, таких як Telegram або Twitter, видають себе за впливових осіб, співробітників підтримки або представників проекту, заманюючи жертв фальшивими розіграшами або інвестиційними пропозиціями.
Фішинг на основі шкідливого програмного забезпечення: Зловмисні програми або посилання заражають пристрої, захоплюючи чутливі дані, такі як насіннєві фрази, приватні ключі та облікові дані.
Фішинг у криптовалюті є особливо небезпечним через незворотний характер транзакцій блокчейн — як тільки кошти переведені, їх не можна відновити. Розуміння цих тактик є важливим для їх уникнення.
Визначення сигналів тривоги та використання базових практик безпеки, таких як двофакторна аутентифікація та перевірка джерел, є важливими кроками для захисту ваших цифрових активів.
Як працює шахрайство
За словами слідчих з AMLBot, Lainchain представляла себе як легітимну крипто-біржу, але була пронизана фундаментальними недоліками, які виявляли її справжню природу. Інтерфейс платформи був далеко не професійним, з примітивним дизайном, що суперечив її сміливим заявам.
сторінка приземлення lainchain.com, 19 грудня 2024 року.
Обман почався з нібито рутинного запиту до користувачів підключити свої гаманці MetaMask для доступу до послуг платформи. Інтеграція гаманців є поширеною функцією в додатках на основі блокчейн, але Lainchain маніпулювала цим процесом. Замість стандартного запиту на авторизацію користувачів просили ввести свої насіннєві фрази — практика, яку жодна легітимна платформа ніколи не підтримувала, що викликало підозри, що це шахрайство.
Сторінка реєстрації lainchain.com, де користувачів просять вказати свою насіннєву фразу, 19 грудня 2024 року.
Слідчі підкреслили, що ця тактика ефективно передавала контроль над гаманцями користувачів шахраям. Маючи доступ до приватних ключів, зловмисники могли вільно передавати кошти без виявлення або втручання.
Окрім прямої крадіжки, Lainchain використовувала психологічні стратегії для поглиблення своєї експлуатації. Жертв заманювали обіцянками надзвичайних returns та заохочували вносити більше коштів для "вивільнення максимального потенціалу."
Коли користувачі намагалися вивести кошти, вони стикалися зі сфабрикованими перешкодами, такими як вимоги до "транзакційних зборів" або "платежів за перевірку", які служили лише для того, щоб відібрати у них більше грошей.
Розслідування також виявило, що Lainchain збирала персональні дані під час реєстрації, включаючи адреси електронної пошти та деталі пов'язаних гаманців. Ця інформація, ймовірно, була монетизована далі, продана на ринках темного вебу та використана для фішингових кампаній або інших форм крадіжки особистості.
Технічні результати розслідування
Слідчі з AMLBot використали техніки відкритої розвідки, щоб розкрити обманливу діяльність Lainchain. Критичний прорив став можливим завдяки аналізу деталей реєстрації домену lainchain.com.
Домен, зареєстрований через HOSTINGER — низькоцінного реєстратора, часто експлуатованого шахраями — був налаштований з налаштуваннями конфіденційності, щоб приховати особу власника.
Ця навмисна анонімність є характерною рисою кіберзлочинних операцій. Зареєстрований 30 січня 2023 року і оновлений 30 жовтня 2024 року, графік домену вказував на тривалий період для обману жертв.
Подальше розслідування показало, що веб-сайт був розміщений на серверах у Гельсінкі, Фінляндія, під управлінням Hetzner Online GmbH, постачальника хостингу з репутацією, орієнтованою на конфіденційність та доступність послуг. Хоча легітимні, такі послуги часто приваблюють поганих акторів, які шукають укриття.
Слідчі також виявили, що Lainchain не була ізольованим шахрайством, а частиною мережі шахрайських платформ, таких як Rawkchain та Staxeblock, усі побудовані на майже ідентичних кодових базах.
Вбудовані коментарі в HTML-коді Lainchain явно посилалися на Rawkchain, підтверджуючи, що сайти були клоновані. Ця тактика дозволила шахраям перезбрендити та повторно запустити після викриття, продовжуючи обманювати користувачів.
Аналіз SSL-сертифіката ще більше пов'язав Lainchain з підозрілім доменом finalsolutions.com.pk, натякаючи на ширшу мережу для фішингу або відмивання вкрадених коштів. Більше того, звернені IP-пошуки та аналіз DNS виявили спільні сервери з іншими сумнівними платформами, розкриваючи його залежність від дешевих хостингів та мінімальних зусиль.
Слідчі зробили висновок, що Lainchain є прикладом масштабованої, низьковартісної, високоінвестиційної моделі шахрайства, що експлуатує анонімність та технічні короткі шляхи, щоб нажитися на користувачах.
Фальшиві особистості та соціальний інжиніринг
Один з найтривожніших аспектів шахрайства Lainchain полягав у його розрахунковому використанні вкрадених особистостей та сфабрикованих соціальних доказів для створення довіри та заманювання жертв.
За словами слідчих, веб-сайт Lainchain яскраво демонстрував зображення нібито членів команди, керівників та засновників, супроводжуючи їх вражаючими титулами та професійними біографіями.
Однак слідчі виявили, що багато з цих зображень були вкрадені з публічних блокчейн-заходів та профілів у соціальних мережах. Шахраї використовували фотографії нічого не підозрюючих осіб, помилково представляючи їх як команду керівництва Lainchain.
У одному вражаючому прикладі було використано зображення відомого російського політика для сфабрикованої особистості керівника. Інші фотографії, що належали неродинним професіоналам, були поєднані з фальшивими обліковими даними, щоб ще більше посилити ілюзію достовірності.
Обман поширювався за межі веб-сайту. На платформах, таких як Trustpilot, Lainchain демонструвала численні позитивні відгуки, вихваляючи свій зручний інтерфейс, надійну безпеку та прибутковість.
Однак подальший аналіз виявив, що ці відгуки були фальшивими, походили з новостворених або підозрілих облікових записів. Багато з цих профілів мали історії відгуків про інші шахрайські платформи, такі як Rawkchain і Staxeblock.
Ця комбінація вкрадених особистостей, сфабрикованої онлайн-присутності та блискучих, але фальшивих відгуків створила складну фасаду, що заманювала жертв довіритися платформі, залишаючи їх вразливими до фінансових втрат та подальшої експлуатації.
Аналіз Telegram та соціальних медіа
Приватність та зручні функції Telegram зробили його улюбленою платформою для крипто-спільнот — і для шахрайств, таких як Lainchain. Слідчі виявили, що Telegram був центральним елементом операції, служив хабом для просування шахрайської платформи та зв'язку з жертвами.
Шахраї організували приватну групу підтримки, де облікові записи, такі як Arin_lainchain та DanbenSpencer, видавали себе за корисних адміністраторів. Вони ділилися рекламним контентом та направляли користувачів до фальшивих представників підтримки.
Помилка виявила ще один ключовий обліковий запис, Lucifer3971, який слідчі пов'язали з діяльністю на чорному ринку, включаючи торгівлю вкраденими даними. У той час як інші облікові записи були покинуті, Lucifer3971 залишався активним, надаючи критично важливі підказки.
У групі шахраї також створили ілюзію легітимності, використовуючи фальшиві облікові записи для імітації активності. Ці облікові записи ставили запитання, ділилися позитивними відгуками та обговорювали фальшиві виведення, змушуючи групу виглядати надійною. Модератори вітали нових членів заздалегідь написаними повідомленнями та публікували сфабриковані історії успіху, щоб далі заманити жертв.
Схема поширилася за межі Telegram. На Facebook шахраї проникли в крипто та фріланс-групи з фальшивими профілями, щоб просувати Lainchain. У Twitter вони використовували ботів і сфабриковані свідчення, щоб посилити свої повідомлення, створюючи ілюзію достовірності та довіри.
Порушення даних та діяльність на темному вебі
Шахрайство Lainchain розширило свою експлуатацію за межі крадіжки коштів, націливши особисті дані жертв для отримання додаткового прибутку. Слідчі виявили, що чутлива інформація була направлена в масштабні витоки даних і продана на ринках темного вебу.
Одним з основних репозиторіїв, пов'язаних з цією мережею, був naz.api, база даних, відома тим, що зберігає вкрадені дані користувачів з фішингових схем, атак шкідливого програмного забезпечення та експлуатацій браузерів.
Пошук на naz.api виявив численні компрометовані записи, пов’язані з Lainchain, включаючи адреси електронної пошти, телефонні номери, паролі та інші приватні дані.
Розслідування також виявило журнали викрадення, пов'язані з Lainchain. Ці журнали, що широко торгуються на темному вебі, надавали детальні знімки сесій браузера жертв, включаючи збережені облікові дані, дані автозаповнення та знімки екрана порталів входу.
Ще більш тривожним є те, що ці журнали не були ізольованими — вони включали дані з шахрайських схем-попередників Lainchain, Rawkchain та Staxeblock, живлячи зростаючу мережу вкраденої інформації.
Захист себе в крипто-просторі
Шахрайство Lainchain підкреслює зростаючу загрозу фальшивих платформ, створених для імітації легітимних операцій, що націлюються на тих, хто не знайомий з крипто-системами. Хоча такі шахрайства, як це, викриваються, незліченні інші діють непоміченими, крадучи мільйони у нічого не підозрюючих користувачів.
Залишатися в безпеці починається з розуміння того, як працюють ці шахрайства. Шахраї часто запитують насіннєві фрази або обманюють користувачів, змушуючи їх підключати свої гаманці до зловмисних платформ. Слава Демчук, генеральний директор AMLBot, пояснив ризики:
“Підключаючи свій гаманець до ненадійної платформи, ви можете ненавмисно надати дозволи на шкідливі смарт-контракти для доступу до ваших коштів та їх виведення. Перед затвердженням будь-якої транзакції завжди уважно перевіряйте деталі. Якщо платформа здається ненадійною або не має перевіреної репутації, краще піти геть.”
Ще одна поширена тактика полягає у використанні фальшивих додатків для гаманців, вбудованих зі шкідливим програмним забезпеченням для крадіжки чутливої інформації. Демчук наголосив на обережності при завантаженні додатків:
“Завантажуйте програми лише з надійних джерел і перевіряйте їхню достовірність, перевіряючи відгуки користувачів. Оновлення програмного забезпечення антивірусу додає ще один рівень захисту.”
Він також порадив скептичний підхід при оцінці платформ:
“Шукайте червоні прапори, такі як анонімні або не підлягаючі перевірці команди, відсутні облікові дані або невідповідності в їхніх заявках. Якщо щось здається неправильним, зупиніться і проведіть додаткове дослідження. Завжди краще помилитися на стороні обережності, ніж ризикувати компрометацією своїх активів.”
Повідомлення про шахрайства також є надзвичайно важливими. Співпраця між користувачами, розробниками та регуляторами є важливою для захисту крипто-екосистеми. Бути проінформованим та проактивним не лише захищає окремі активи, але й зміцнює ширшу крипто-спільноту проти цих загроз.