Благодаря игре Hamster Kombat майнить криптовалюту начали даже дети. На август 2024 года «хомяка тапают» 300 миллионов человек — это в два раза больше населения России. Неопытные пользователи быстро увлекаются криптовалютой и идут с вопросами в тематические телеграм-чаты, где под видом дружелюбных экспертов их встречают мошенники.
Мы часто обсуждаем новые фишинговые атаки с коллегами из ИБ-отделов крупных компаний. Обычно к нам приходят за рекомендациями или описанием мошеннических схем, но в этот раз нам предложили вместе провести расследование и подыграть одному из таких криптомошенников на Binance. Кто же от такого откажется?
Рассказываем, как работает новая схема фишинга на криптобиржах, как мы вычислили мошенника и сколько потратили денег. В конце дадим советы, как защитить свой кошелек и не попасться на злоумышленников на биржах.
Чтобы сохранить анонимность, будем называть коллегу другим именем и изменим некоторые детали истории.
Как-то раз у эксперта ИБ финансовой организации Саши возникли сложности с доступом на одну из криптобирж. Он пошел в профильный телеграм-чат и заметил, что там много вопросов от новичков, пришедших из игры Hamster Kombat. А еще в первый же день наткнулся на мошенников.
Если вдруг вы не знаете, что такое Hamster Kombat
Это игра в Телеграме, где участники управляют виртуальным хомяком в роли директора криптобиржи. Игроки зарабатывают монеты, кликая на экран. Еще игра выпускает ежедневные шифры в виде азбуки Морзе — если его разгадать и правильно «натапать», можно получить миллион монет.
Создатели обещают, что виртуальные монеты в будущем можно будет обменять на цифровые токены, а затем на другие криптовалюты. На официальную страницу игры в Телеграме подписаны 53 миллиона человек.
Саша задумался — что, если разработчики игры не просто создали очередной таймкиллер, а нечаянно открыли портал в мир криптофишинга для 300 миллионов людей, большая часть из которых придут на биржу с нулевыми знаниями о криптовалюте.
Смотрите сами: приложение играет на чувстве жадности, подталкивает приглашать друзей, ежедневно подкармливает азарт с помощью шифров, при этом максимально упрощая процесс «заработка» — все это неплохие условия для снижения критики. В какой-то момент «хомяка» кажется мало, и человек идет в чаты за советом опытных криптоинвесторов. И верит им.
Мошенники «приходят на помощь» новичкам под видом знатоков
Когда Саша задал в телеграм-чате биржи вопрос о доступе, ему ответили 20 человек. Из них самым подозрительным оказался один. Его зовут Никита, он живет в Москве, часто летает в Дубай, любит кататься на сапах и зарабатывать миллионы на крипте. По крайней мере, он так рассказывал в пространных голосовых сообщениях.
Никита действительно помог Саше с доступом на биржу, но при этом настойчиво заманивал зарегистрироваться на Binance. Якобы его хороший друг из США — премиальный участник Binance — может участвовать в эйрдропах еще до начала торговли токена на бирже. По словам Никиты, на этом можно спокойно зарабатывать тысячи долларов — в доказательство он присылал правдоподобные скриншоты из кошелька.
Какая польза от этого Никите? Легенда гласит, что от каждого нового заведенного инвестора он получает реферальные выплаты — поэтому он так заинтересован.
Итак, что нужно для участия:
-
кошелек на Binance Smart Chain;
-
возможность постоянно вкладывать от 50 долларов в виде USDT;
-
немного Binance Coin (BNB) для транзакций;
-
электронная почта в Gmail (позже объясним, почему другие ящики не подходят).
Саша решил подыграть Никите и посмотреть, куда это приведет.
На этом моменте к игре подключаемся мы и начинаем разворачивать схему.
Схема развода на бирже Binance
Никита подключил Сашу к закрытому эйрдропу нового токена на Binance.US и сказал ждать письма от биржи.
Теперь разбираем схему мошенников по шагам.
Шаг 1. Отправка фишингового письма
В мобильном приложении все выглядит убедительно: адрес совпадает с адресом, рекомендованным для добавления в белые списки на Binance.
В браузере можно увидеть подозрительный хост в поле отправителя в формате Oxqhnfrmeuyyp58.click.
Даже у Gmail — одной из самых больших почтовых систем — есть проблемы в безопасности.
Для автоматизации рассылок мошенники используют вредоносный SaaS-сервис spoofer.tech. Они разворачивают свой почтовый сервер, настраивают SPF-запись и спокойно проходят DMARC-защиту Gmail — письма попадают не в спам, а во входящие. При таких настройках в поле отправителя отображается легитимный адрес.
Шаг 2. Подключение смарт-контракта
В письме расписана схема подключения смарт-контракта и авторизации в Binance Verify DeFi.
По инструкции мы добавили токены в кошелек и пошли на сайт подтверждаться по вредоносной ссылке:
Авторизоваться нужно с помощью кошелька, идем:
Выбираем Trust Wallet или WalletConnect и подключаемся через криптокошелек.
Получаем уведомление о подключении смарт-контракта и подписываемся на скам.
Подтверждаем!
Успех! Только что мы отдали мошенникам полный доступ к нашему кошельку.
Мы не удержались и выяснили IP-адрес Никиты. Результат — в главе «Итог расследования».
Шаг 3. Угон токенов
С кошелька списываются USDT и начисляются два новых токена и эйрдропа — реальный и фейковый.
Во время эйрдропа Саша получал одинаковые письма после каждого списания, три основных пункта в них:
-
уведомление о повышении аллокации — якобы она гарантирует больший процент вознаграждения с каждого нового пополнения USDT;
-
запрос на Token Approval — этой функцией пользователь разрешает другому контракту управлять токенами в кошельке. Мошенники таким способом получают возможность без подтверждения списывать токены с кошелька жертвы.
-
инструкция, как внести еще деньги, и информация о новом размере процента вознаграждения — это мотивируют жертву вкладывать в платформу больше денег и пополнять кошелек до завершения эйрдропа.
После окончания эйрдропа фейковый токен автоматически меняется на реальный. Никита пытается уговорить Сашу внести больше денег на следующий эйрдроп, чтобы заработать больше. Он убеждает Сашу, что уже взял кредит и заложил имущество, чтобы к концу года стать долларовым миллионером, и рекомендует поступить так же. Даже обещает помочь заполнить заявку на кредит, чтобы точно одобрили.
Затем токены уходят на промежуточные кошельки откуда, достигнув определенных сумм, мошенники отправляют деньги дальше:
Но это еще не все.
Шаг 4. Блокировка аккаунта и вымогание денег
Когда у Никиты в кошельке оказалось достаточно денег, он заманил Сашу на финальный эйрдроп — после него аккаунт Саши заблокировали.
На почту приходит письмо, где говорится, что Binance подверг операции сомнению, и для подтверждения аккаунта и вывода средств необходимо пополнить кошелек на 2000 USDT.
Все это время Саша искал жертв подобных схем и нашел одного из них в чате биржи Bybit. Это был работник почтовой службы, который искал быстрый заработок. Он попался на очередного «Никиту» — пополнил кошелек на 100 долларов и удачно поучаствовал в эйрдропе. Потом взял максимальный кредит, который одобрил банк, вложился в новый эйрдроп и после его завершения получил письмо о блокировке аккаунта. Дальше второй кредит для разблокировки и новая блокировка. А потом горькое осознание.
Класть на счет 2000 USDT мы, конечно, не стали. Саша сослался на задержку зарплаты и в целом разочарование в крипте, чем сильно разозлил Никиту. Мошенник закончил разговор фразой «ну и живи в бедности».
Как закрыть мошенникам доступ к кошельку Binance Smart Chain
Если посмотреть историю транзакций по токенам в кошельке, можно найти смарт-контракты, которые дают другим людям доступ к вашему кошельку:
Нажмите на кнопку View on block explorer, чтобы перейти на сайт bscscan.com — здесь хранится вся информация о транзакции.
На сайте транзакция будет выглядеть так:
По ссылке можно посмотреть, кому и что вы разрешали, и отменить разрешения.
Если в кошельке этих данных нет, их можно найти на странице tokenapprovalchecker.
1. Введите свой номер кошелька и нажмите на кнопку поиска.
2. Привяжите свой кошелек через QR-код к сайту bscscan.com по кнопке Connect to Web3.
3. Запустите операцию отмены через кнопку Revoke и подтвердите ее в кошельке.
Мы проделали все это с аккаунтом Саши и отозвали разрешения. Было рискованно, но в итоге на расследование мы потратили 0 долларов.
Итог расследования
Через какое-то время аккаунт Никиты заметил автоматический мониторинг Binance и пометил его смарт-контракт как фишинговый. Но ничего не мешает ему зарегистрироваться еще раз и продолжить разводить людей.
Сам мошенник оказался совсем не из Москвы и даже не из Дубая.
Создатели игры Hamster Kombat заявляют, что их миссия — привлечь в игру 1 миллиард пользователей. Учитывая простоту входа в криптосообщества через игру в Телеграме, можно только представить, сколько еще жертв столкнутся с «дружелюбными экспертами» в чатах и потеряют сотни тысяч рублей.
В своих постах разработчики обращаются к игрокам «дорогие CEO» — этим они создают ложное ощущение успешности и статусности у простых людей. Это же ощущение подкрепляют и мошенники, закидывая новичков историями о богатой жизни, перспективе навсегда уйти из найма и обеспечить семью.
Чек-лист: как защититься от мошенничества на криптобиржах
-
Не доверяйте незнакомым людям, которые необоснованно заинтересованы в вашем успехе. Если вам говорят о легких схемах заработка, богатых знакомых, у которых «все получилось» и постоянно подталкивают пополнить кошелек на новую сумму — скорее всего, перед вами мошенник.
-
Не доверяйте «эксклюзивным» активностям на бирже. Вам предлагают участие в закрытых эйрдропах или акциях «для своих», особенно если для этого требуется ввести личные данные или дать доступ к кошельку.
-
Проверяйте источники писем. Фишинговые письма могут выглядеть как официальные, но если развернуть письмо в веб-версии, всегда можно увидеть подозрительные следы: название хоста из набора букв и цифр или отличающиеся доменные имена на один символ.
-
Проверяйте разрешения на доступ к токенам. Регулярно проверяйте и отзывайте разрешения на доступ к вашим токенам на сайтах вроде BscScan.
-
Будьте внимательны к запросам на пополнение кошелька. Никогда не отправляйте деньги в ответ на запросы, связанные с блокировкой аккаунта или подтверждением транзакций, которые пришли из непроверенных источников.
Распознать мошенничество в «добрых» намерениях людей из чата может быть сложно, если человек не знаком с конкретными рабочими инструментами мошенников. И речь не про технические средства, а про психологию — успех скама зависит от того, как хорошо мошенники эксплуатируют «баги»
Подробнее о том, как работает
Автор: Start_X