Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему

в 12:20, , рубрики: Binance, Hamster Kombat, аварнесс, кража данных, кража денег, крипта, мессенджеры, мошенничество, социальная инженерия
Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 1

Благодаря игре Hamster Kombat майнить криптовалюту начали даже дети. На август 2024 года «хомяка тапают» 300 миллионов человек — это в два раза больше населения России. Неопытные пользователи быстро увлекаются криптовалютой и идут с вопросами в тематические телеграм-чаты, где под видом дружелюбных экспертов их встречают мошенники. 

Мы часто обсуждаем новые фишинговые атаки с коллегами из ИБ-отделов крупных компаний. Обычно к нам приходят за рекомендациями или описанием мошеннических схем, но в этот раз нам предложили вместе провести расследование и подыграть одному из таких криптомошенников на Binance. Кто же от такого откажется?

Рассказываем, как работает новая схема фишинга на криптобиржах, как мы вычислили мошенника и сколько потратили денег. В конце дадим советы, как защитить свой кошелек и не попасться на злоумышленников на биржах.

Чтобы сохранить анонимность, будем называть коллегу другим именем и изменим некоторые детали истории.

Как-то раз у эксперта ИБ финансовой организации Саши возникли сложности с доступом на одну из криптобирж. Он пошел в профильный телеграм-чат и заметил, что там много вопросов от новичков, пришедших из игры Hamster Kombat. А еще в первый же день наткнулся на мошенников.

Если вдруг вы не знаете, что такое Hamster Kombat

Это игра в Телеграме, где участники управляют виртуальным хомяком в роли директора криптобиржи. Игроки зарабатывают монеты, кликая на экран. Еще игра выпускает ежедневные шифры в виде азбуки Морзе — если его разгадать и правильно «натапать», можно получить миллион монет.

Создатели обещают, что виртуальные монеты в будущем можно будет обменять на цифровые токены, а затем на другие криптовалюты. На официальную страницу игры в Телеграме подписаны 53 миллиона человек.

Саша задумался — что, если разработчики игры не просто создали очередной таймкиллер, а нечаянно открыли портал в мир криптофишинга для 300 миллионов людей, большая часть из которых придут на биржу с нулевыми знаниями о криптовалюте.

Что провоцирует людей поддаваться мошенникам
Что провоцирует людей поддаваться мошенникам

Смотрите сами: приложение играет на чувстве жадности, подталкивает приглашать друзей, ежедневно подкармливает азарт с помощью шифров, при этом максимально упрощая процесс «заработка» — все это неплохие условия для снижения критики. В какой-то момент «хомяка» кажется мало, и человек идет в чаты за советом опытных криптоинвесторов. И верит им.

Мошенники «приходят на помощь» новичкам под видом знатоков

Когда Саша задал в телеграм-чате биржи вопрос о доступе, ему ответили 20 человек. Из них самым подозрительным оказался один. Его зовут Никита, он живет в Москве, часто летает в Дубай, любит кататься на сапах и зарабатывать миллионы на крипте.  По крайней мере, он так рассказывал в пространных голосовых сообщениях.

Никита действительно помог Саше с доступом на биржу, но при этом настойчиво заманивал зарегистрироваться на Binance. Якобы его хороший друг из США — премиальный участник Binance — может участвовать в эйрдропах еще до начала торговли токена на бирже. По словам Никиты, на этом можно спокойно зарабатывать тысячи долларов — в доказательство он присылал правдоподобные скриншоты из кошелька. 

Какая польза от этого Никите? Легенда гласит, что от каждого нового заведенного инвестора он получает реферальные выплаты — поэтому он так заинтересован. 

Итак, что нужно для участия:

  • кошелек на Binance Smart Chain;

  • возможность постоянно вкладывать от 50 долларов в виде USDT;

  • немного Binance Coin (BNB) для транзакций;

  • электронная почта в Gmail (позже объясним, почему другие ящики не подходят).

Саша решил подыграть Никите и посмотреть, куда это приведет.

Никита великодушно помог Саше зарегистрироваться на бирже и настроить криптокошелек Trust Wallet

Никита великодушно помог Саше зарегистрироваться на бирже и настроить криптокошелек Trust Wallet

На этом моменте к игре подключаемся мы и начинаем разворачивать схему.

Схема развода на бирже Binance

Никита подключил Сашу к закрытому эйрдропу нового токена на Binance.US и сказал ждать письма от биржи. 

Теперь разбираем схему мошенников по шагам.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 4

Шаг 1. Отправка фишингового письма

Фишинговое письмо имитирует приглашение от Binance

Фишинговое письмо имитирует приглашение от Binance

В мобильном приложении все выглядит убедительно: адрес совпадает с адресом, рекомендованным для добавления в белые списки на Binance.

В браузере можно увидеть подозрительный хост в поле отправителя в формате Oxqhnfrmeuyyp58.click.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 6
Фишинговое письмо спокойно проходит почтовые фильтры

Фишинговое письмо спокойно проходит почтовые фильтры

Даже у Gmail — одной из самых больших почтовых систем — есть проблемы в безопасности.

Лог письма от Никиты

Лог письма от Никиты

Для автоматизации рассылок мошенники используют вредоносный SaaS-сервис spoofer.tech. Они разворачивают свой почтовый сервер, настраивают SPF-запись и спокойно проходят DMARC-защиту Gmail — письма попадают не в спам, а во входящие. При таких настройках в поле отправителя отображается легитимный адрес. 

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 9

Шаг 2. Подключение смарт-контракта

В письме расписана схема подключения смарт-контракта и авторизации в Binance Verify DeFi.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 10

По инструкции мы добавили токены в кошелек и пошли на сайт подтверждаться по вредоносной ссылке:

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 11

Авторизоваться нужно с помощью кошелька, идем:

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 12
Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 13

Выбираем Trust Wallet или WalletConnect и подключаемся через криптокошелек.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 14

Получаем уведомление о подключении смарт-контракта и подписываемся на скам.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 15

Подтверждаем!

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 16

Успех! Только что мы отдали мошенникам полный доступ к нашему кошельку. 

Мы не удержались и выяснили IP-адрес Никиты. Результат — в главе «Итог расследования».

Шаг 3. Угон токенов

С кошелька списываются USDT и начисляются два новых токена и эйрдропа — реальный и фейковый.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 17
Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 18

Во время эйрдропа Саша получал одинаковые письма после каждого списания, три основных пункта в них:

  • уведомление о повышении аллокации — якобы она гарантирует больший процент вознаграждения с каждого нового пополнения USDT; 

  • запрос на Token Approval — этой функцией пользователь разрешает другому контракту управлять токенами в кошельке. Мошенники таким способом получают возможность без подтверждения списывать токены с кошелька жертвы. 

  • инструкция, как внести еще деньги, и информация о новом размере процента вознаграждения — это мотивируют жертву вкладывать в платформу больше денег и пополнять кошелек до завершения эйрдропа.

После окончания эйрдропа фейковый токен автоматически меняется на реальный. Никита пытается уговорить Сашу внести больше денег на следующий эйрдроп, чтобы заработать больше. Он убеждает Сашу, что уже взял кредит и заложил имущество, чтобы к концу года стать долларовым миллионером, и рекомендует поступить так же. Даже обещает помочь заполнить заявку на кредит, чтобы точно одобрили. 

Затем токены уходят на промежуточные кошельки откуда, достигнув определенных сумм, мошенники отправляют деньги дальше:

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 19

Но это еще не все.

Шаг 4. Блокировка аккаунта и вымогание денег 

Когда у Никиты в кошельке оказалось достаточно денег, он заманил Сашу на финальный эйрдроп — после него аккаунт Саши заблокировали.

На почту приходит письмо, где говорится, что Binance подверг операции сомнению, и для подтверждения аккаунта и вывода средств необходимо пополнить кошелек на 2000 USDT. 

Фишинговое письмо о блокировке

Фишинговое письмо о блокировке

Все это время Саша искал жертв подобных схем и нашел одного из них в чате биржи Bybit. Это был работник почтовой службы, который искал быстрый заработок. Он попался на очередного «Никиту» — пополнил кошелек на 100 долларов и удачно поучаствовал в эйрдропе. Потом взял максимальный кредит, который одобрил банк, вложился в новый эйрдроп и после его завершения получил письмо о блокировке аккаунта. Дальше второй кредит для разблокировки и новая блокировка. А потом горькое осознание.

Класть на счет 2000 USDT мы, конечно, не стали. Саша сослался на задержку зарплаты и в целом разочарование в крипте, чем сильно разозлил Никиту. Мошенник закончил разговор фразой «ну и живи в бедности».

Как закрыть мошенникам доступ к кошельку Binance Smart Chain

Если посмотреть историю транзакций по токенам в кошельке, можно найти смарт-контракты, которые дают другим людям доступ к вашему кошельку:

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 21

Нажмите на кнопку View on block explorer, чтобы перейти на сайт bscscan.com — здесь хранится вся информация о транзакции.

На сайте транзакция будет выглядеть так:

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 22

По ссылке можно посмотреть, кому и что вы разрешали, и отменить разрешения.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 23

Если в кошельке этих данных нет, их можно найти на странице tokenapprovalchecker

1. Введите свой номер кошелька и нажмите на кнопку поиска.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 24

2. Привяжите свой кошелек через QR-код к сайту bscscan.com по кнопке Connect to Web3.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 25

3. Запустите операцию отмены через кнопку Revoke и подтвердите ее в кошельке.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 26
Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 27
Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 28

Мы проделали все это с аккаунтом Саши и отозвали разрешения. Было рискованно, но в итоге на расследование мы потратили 0 долларов.

Итог расследования

Через какое-то время аккаунт Никиты заметил автоматический мониторинг Binance и пометил его смарт-контракт как фишинговый. Но ничего не мешает ему зарегистрироваться еще раз и продолжить разводить людей.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 29

Сам мошенник оказался совсем не из Москвы и даже не из Дубая.

Как мы отдали деньги мошенникам с Binance, чтобы раскрыть их схему - 30

Создатели игры Hamster Kombat заявляют, что их миссия — привлечь в игру 1 миллиард пользователей. Учитывая простоту входа в криптосообщества через игру в Телеграме, можно только представить, сколько еще жертв столкнутся с «дружелюбными экспертами» в чатах и потеряют сотни тысяч рублей. 

В своих постах разработчики обращаются к игрокам «дорогие CEO» — этим они создают ложное ощущение успешности и статусности у простых людей. Это же ощущение подкрепляют и мошенники, закидывая новичков историями о богатой жизни, перспективе навсегда уйти из найма и обеспечить семью.

Чек-лист: как защититься от мошенничества на криптобиржах

  1. Не доверяйте незнакомым людям, которые необоснованно заинтересованы в вашем успехе. Если вам говорят о легких схемах заработка, богатых знакомых, у которых «все получилось» и постоянно подталкивают пополнить кошелек на новую сумму — скорее всего, перед вами мошенник. 

  2. Не доверяйте «эксклюзивным» активностям на бирже. Вам предлагают участие в закрытых эйрдропах или акциях «для своих», особенно если для этого требуется ввести личные данные или дать доступ к кошельку.

  3. Проверяйте источники писем. Фишинговые письма могут выглядеть как официальные, но если развернуть письмо в веб-версии, всегда можно увидеть подозрительные следы: название хоста из набора букв и цифр или отличающиеся доменные имена на один символ.

  4. Проверяйте разрешения на доступ к токенам. Регулярно проверяйте и отзывайте разрешения на доступ к вашим токенам на сайтах вроде BscScan.

  5. Будьте внимательны к запросам на пополнение кошелька. Никогда не отправляйте деньги в ответ на запросы, связанные с блокировкой аккаунта или подтверждением транзакций, которые пришли из непроверенных источников.

Распознать мошенничество в «добрых» намерениях людей из чата может быть сложно, если человек не знаком с конкретными рабочими инструментами мошенников. И речь не про технические средства, а про психологию — успех скама зависит от того, как хорошо мошенники эксплуатируют «баги» мышления вроде доверчивости или ощущения срочности. 

Подробнее о том, как работает мозг человека во время атаки мошенников и как не поддаваться на уловки собственного мышления, мы рассказываем в исследовании «Теория фреймов. Почему умные люди ведутся на глупые разводы».

Автор: Start_X

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js