Русскоговорящие мошенники массово атакуют криптоинвесторов из Европы и США

Впервые резкий рост количества мошеннических трансляций в YouTube с участием звездных предпринимателей Виталика Бутерина, Илона Маска, Майкла Сэйлора и Кэтрин Вуд специалисты Центра реагирования на инциденты информационной безопасности CERT-GIB (24/7) зафиксировали в феврале этого года. Эта мошенническая схема получила название Fake Crypto Giveaway: известные люди якобы рекламировали криптопроекты и предлагали инвесторам перейти на промо-сайт для удвоения вложенных сумм — перевести криптомонеты или токены по указанному адресу, или сообщить seed-фразу от криптокошелька для получения еще более выгодных условий. Сайт, разумеется, был мошенническим, в результате жертвы теряли отправленную криптовалюту или всё содержимое криптокошельков. 

Эксперты Group-IB подчеркивают, что за полгода схема серьезно масштабировалась: за первые шесть месяцев 2022 специалисты CERT-GIB обнаружили регистрацию более 2 000 доменных имен для фейковых промо-сайтов.  Это почти в пять раз больше, чем во второй половине прошлого года, и в 53 раза больше при сравнении год к году. Бурный рост числа доменных объясняется тем, что в феврале 2022 года появились автоматизированные инструменты для запуска мошеннической схемы, не требующие от киберпреступников особенных технических знаний.  В июле эксперты Group-IB Digital Risk Protection фиксировали в день до пяти мошеннических трансляций.

Среди новых звезд-“приманок” оказался президент Сальвадора Найиб Букеле, а недавно началась реклама промо-сайтов с футболистом Криштиану Роналду. Оба новых рекламных лица были выбраны мошенниками неслучайно. В 2021 году Сальвадор стал первым в мире государством, которое объявило биткойн легитимным платежным средством — во многом по инициативе президента страны.  Криштиану Роналду стал первым футболистом, кто получил награду криптовалютой — клуб “Ювентус” наградил спортсмена токенами по числу забитых голов за всю карьеру. А в июне 2022 года о сотрудничестве с футболистом объявила криптобиржа Binance. 

По данным Group-IB, более 60% доменных имен сайтов для криптоафер были оформлены у российских регистраторов доменов, однако в основном использовались интернациональные доменные зоны, так как цель подобных ресурсов — это монеты, принадлежащие владельцам криптокошельков из Европы и США. Все описания к видеороликам и на промо-сайтах сделаны английском языке. В топ-5 самых популярных доменных зон криптовалютных сайтов аферистов вошли: .com (31.65%), .net (23.86%), .org (22.94%) и .us (5.89%). 

Изучив доменные имена, аналитики Group–IB составили рейтинг криптовалют и проектов, названия которых мошенники обыгрывают чаще всего, а, значит, они приносят наибольший доход. В первую очередь это ETH (Ethereum, “эфир”), Ark (ARK Invest), Elon Musk с несуществующими криптопроектами от Tesla и SpaceX, а также Shiba (токен Shiba Inu).

Основным каналом привлечения трафика на сайты мошенников является YouTube, но были попытки использовать для криптостримов Twitch. В среднем число зрителей фейковых трансляций составляет 10 000—20 000 с учетом “накрученных” ботов. Для проведения фейковых стримов злоумышленники или сами “угоняют” YouTube-каналы с помощью стиллеров, или покупают/арендуют их на теневых форумах под процент от хищений, обычно, это 10%—50% от заработка стримера. Цена лота на бирже аккаунтов во многом зависит от количества подписчиков.  Чем больше их у канала, тем больше жалоб он сможет «выдержать» перед тем, как платформа его заблокирует. Например, среди недавно взломанных или захваченных криптомошенниками каналов можно найти созданный в 2011 году аккаунт с 50 600 подписок, но попадались и более старые, в том числе даже с миллионом подписчиков. 

После того, как аккаунт оказывается в руках криптостримера, его переименовывают, удаляют все предыдущие видео из плейлиста, меняют аватарку, добавляют новые элементы дизайна и загружают ролики об инвестициях или проектах звезд бизнеса. Запуская на канале трансляцию, мошенники накручивают просмотры, чтобы вывести ролик в топы YouTube и в рекомендации для целевой аудитории — “живых” пользователей, которые интересуются криптовалютными инвестициями. На теневых форумах подобные предложения — одни из самых частых. Например, “накрутить” к трансляции тысячу зрителей обойдется примерно в $100, пять тысяч зрителей — в $200. 

Аналитики Group-IB обнаружили на форумах мошенников целый подпольный рынок, позволяющих реализовать криптоафёру даже новичку, не погруженному в технические детали. К услугам мошенников не только биржа взломанных YouTube-каналов и сервисы по накрутке зрителей, но и мануалы для реализации схемы, дизайнеры сайтов, разработчики административных панелей, готовые доменные имена, абузоустойчивый хостинг, продакшн специальных видеороликов для проведения стримов. За свои труды “менторы”, “дизайнеры”, “специалисты по продвижению” и другие подрядчики берут предоплату и процент от похищенных средств. 

Самой популярной услугой является дизайн криптострима. Средняя цена на неё варьируется в $100-300 в зависимости от набора услуг. Отдельно качественный ролик для криптострима с дипфейком известного человека и озвучкой, которые обещают в рекламе, обойдется примерно в $30.

Еще один востребованный сервис — разработка промо-сайтов, на которые жертвы попадают по ссылке в стриме. Как правило, это одностраничный ресурс со всей информацией о фейковом криптопроекте. Цена уже готового лендинга для аферы может варьироваться от $200 до $600 в зависимости от “свежести” дизайна. 

Цены на обучающие материалы стартуют от $100 и не ограничиваются фиксированной ценой. Можно встретить объявления 2-в-1: о продаже “учебников” и обучении под процент от украденного. 

В даркнете есть предложения разработки всего мошеннического проекта под ключ. Самые интересные предложения относятся к так называемым тулкитам — инструментам, позволяющим реализовывать все этапы схемы из “одного окна” и автоматизировать большинство процессов. Подписка на продвинутый тулкит стоит мошенникам от $500 до $1500 в месяц. 

“В последнее время на андеграундных форумах встречаются отзывы, что мошенничество с криптовалютами себя изжило, но активная регистрация доменных имен и продолжающиеся ежедневные стримы говорят об обратном, — отмечает заместитель руководителя Центра реагирования на инциденты (CERT-GIB, 24/7) Ярослав Каргалёв. — Интенсивность атак на доверчивых криптоинвесторов растет и увеличивается охват. Мы видим причину в простоте реализации схемы за счет автоматизации процессов и кооперации в киберпреступном сообществе. Появление и развитие такого рынка говорит о том, что инвестиции в криптоаферы окупаются и продолжают приносить злоумышленникам крупные в масштабах интернет-мошенничества доходы”. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!