Эирдропы, фишинг и фейковые токены. Как теряют миллионы в криптовалюте

«РБК-Крипто» не дает инвестиционных советов, материал опубликован исключительно в ознакомительных целях. Криптовалюта — это волатильный актив, который может привести к финансовым убыткам.

Автор материала — бывший сотрудник РБК-Крипто и автор телеграм-канала «В погоне за эирдропами» Дмитрий Фомин-Лопухин.

В последние полгода на рынке криптовалют значительно выросла активность мошенников — все из-за «сезона эирдропов». С конца 2023 года многие проекты анонсировали или уже провели раздачи токенов, что значительно упростило киберпреступникам работу. На их уловки попадаются даже опытные инвесторы с большим капиталом.

Самый громкий случай последних из недавних — потеря $68 млн в криптовалюте. Пользователь, в результате спам-атаки транзакциями на свой кошелек, по ошибке отправил 1155 WBTC на адрес злоумышленника. К счастью, хакер после контакта с потерпевшим вернул ему средства.

Впрочем, это крайней редкое исключение. Каждый день пользователи теряют криптовалюту на сотни тысяч долларов в результате фишинга и других схем. И шансы вернуть украденные средства едва выше нуля: мошенники сразу же отмывают активы через миксеры — это сервисы для запутывания транзакций в блокчейне. После прохождения через них отследить токены почти невозможно.

Фишинг

Пожалуй, самой распространенной схемой кражи криптовалюты сейчас является фишинг, в частности ориентированный на эирдропы. Мошенники создают поддельные сайты, на которых якобы можно проверить, какую награду получил пользователь от проекта. Для проверки требуется подключить к сайту криптокошелек. Как только жертва сделает это, средства с его счета будут моментально выведены на адрес злоумышленника, и вернуть их практически невозможно.

Здесь есть несколько тонкостей, благодаря которым фишинг крайне успешен. Во-первых, поддельный сайт, как правило, идеально скопирован с настоящего и различить их на глаз крайне сложно. Вдобавок, проверить по ссылке на веб-страницу также вряд ли получится: ложная ссылка отличается от корректной обычно на один символ, который внешне выглядит как нужный. Сравните, например, заглавную латинскую i и строчную латинскую L, они почти идентичны — «I» и «l».

Во-вторых, если вы зашли на фишинговый сайт и подключили к нему кошелек, последний, скорее всего, никак не предупредит вас о возможной угрозе. У большинства программ для хранения криптовалюты нет таких функций. Поэтому для пользователя процесс взаимодействия с поддельным сайтом выглядит совершено обыденно: всплывает окно, где кошелек спрашивает разрешение на подключение к веб-странице, и если подтвердить его, средства будут потеряны.

Здесь мошенникам помогает распространенное заблуждение, что для кражи средств пользователю необходимо подтвердить и оплатить транзакцию. Это не так. Сайт может запросить у вас разрешение на списание средств, а операцию проведет и оплатит сам злоумышленник. При чем вы этого даже не заметите: мошенники научились подделывать сообщения, которые показывает криптокошелек при работе с платформами. В результате, вы можете подтвердить запрос от кошелька на подключение к сайту, под которым будет скрываться разрешение на списание всех активов.

В-третьих, мошенники беспрепятственно распространяют ложные ссылки через соцсети, особенно в X (бывший Twitter). Они создают аккаунты, полностью идентичные профилю какого-либо популярного криптопроекта. Затем накручивают на этих аккаунтах подписчиков, чтобы придать им достоверности. И потом под каждой публикацией стартапа оставляют комментарий, в котором говорится о проведении эирдропа и размещается ссылка на фишинговый сайт. Такие комментарии зачастую выглядят, как часть публикации реального проекта, поэтому попасться на подобные уловки очень легко.

Ситуация усугубляется тем, что X, видимо, не борется с этим видом мошенничества. Под каждой публикацией каждого популярного криптопроекта вы найдете десятки комментариев со ссылками на фишинговые сайты. Сами проекты не могут удалять фейковые комментарии. Единственное, что удалось придумать их администраторам для борьбы с мошенниками: в конце публикаций многие проекты начали оставлять пометку, что это был последний пост в данной ветке, и, соответственно, все последующие сообщения — ложные.

Как не попасться на криптовалютный фишинг

Пожалуй, самое главное правило: всегда искать ссылки в первоисточниках или на проверенных сервисах. Например, если платформа заявляет об эирдропе, то лучше зайти сначала на проверенный ресурс, такой как Coinmarketcap или Coingecko, там найти ее официальную страницу в социальных сетях и уже оттуда брать ссылку на страницу с информацией об эирдропе.

Можно брать ссылки в тематических СМИ. Однако здесь стоит доверять только крупным, проверенным изданиям и ни в коем случае — частным тематическим каналам в Telegram. Всегда есть риск, что администраторы таких каналов допустят ошибку или же намеренно разместят фишинговую ссылку.

Строгое правило: никогда не переходить по ссылкам из чатов по криптовалюте или комментариев в социальных сетях — там тысячи мошенников. И такое же строгое: не искать криптоплатформы по названию в Google и других поисковых системах. В это сложно поверить, но мошенники покупают рекламу в поисковиках, поэтому довольно часто те сначала показывают ссылки на фишинговые сайты, а потом уже — на реальные платформы.

Дополнительно стоит установить в браузер специальные расширения, которые будут защищать вас от фишинга, например Scamsniffer или Netcraft. Они предупреждают пользователя, когда тот заходит на подозрительный сайт. Я очень рекомендую начать использовать криптокошелек Rabby. Он гораздо лучше чем Metamask, в частности потому что имеет встроенную защиту от фишинга: Rabby предупреждает, когда вы подключаете кошелек к подозрительному сайту, и сообщает, если вы вдруг дали разрешение стороннему пользователю на списание криптовалюты с вашего счета.

Правда важно помнить, что бывают и поддельные криптокошельки. И иногда они даже попадают в официальные магазины приложений. Например, в феврале мошенники загрузили в AppStore подделку того же Rabby.

Вдобавок, всегда стоит начинать работать с незнакомой платформой на кошельке с небольшим балансом. В целом, очень важно иметь несколько аккаунтов. Один — основной, на котором вы будете хранить основную часть капитала. И как минимум один тестовый кошелек, который вы сможете подключать к не проверенным сайтам. В таком случае, даже если вы попадетесь на фишинг, пострадает лишь небольшая часть ваших активов.

«Пылевая» атака

Это другой, также крайне распространенный способ кражи криптовалюты. Он ориентирован на невнимательность и любопытство пользователя, впрочем, нацелен преимущество на кошельки с большим капиталом.

В рамках пылевой атаки (dust attack) мошенники с помощью специальных сервисов создают кошелек, адрес которого будет похож на адрес потенциальной жертвы. Как правило, делается так, чтобы совпадал набот символов в начале и в конце адреса. Далее, с поддельного адреса жертве отсылаются небольшие суммы в криптовалюте. Это делается для того, чтобы фейковый адрес отразился у жертвы в истории операций.

Мошенники рассчитывают на то, что пользователь перепутает адреса, так как они похожи, и по ошибке отправит средства злоумышленникам. Так, собственно, и потерял $68 млн. в криптовалюте пользователь, которого я упоминал в начале материала.

Чтобы не попасться на такой обман, лучше всего сразу создать в криптокошельке перечень адресов, с которым можно взаимодействовать. Вы можете заполнить адресную книгу, включив в нее адреса других своих кошельков, свои биржевые кошельки и прочее. Ну и разумеется всегда надо проверять адрес, на какой кошелек вы отправляете криптовалюту, в том числе не только последние цифры.

Пылевая атака бывает и другого типа. Мошенники создают монеты или NFT, в названии которых содержится слово «эирдроп» и ссылка на фишинговый сайт. Далее они рассылают эти токены тысячам пользователей в расчете, что те, поверив в получение эирдропа, перейдут по ссылке на фейковый сайт и подключат кошелек. Если сделать это, злоумышленники получат доступ ко всем активам пользователя.

Не хочется, чтобы эта статья превращалась в рекламу кошелька Rabby, но он отлично защищает от пылевых атак обоих видов. В первом случае расширение показывает, взаимодействовали ли вы ранее с кошельком, на который хотите отправить средства. Если вы собираетесь послать криптовалюту, допустим, на свой ранее использованный биржевой аккаунт, а Rabby пишет «этот адрес никогда не использовался» — значит вы отсылаете активы куда-то не туда.

Вдобавок, Rabby попросту не даст отправить криптовалюту на какой-либо кошелек без дополнительной проверки, если его нет в адресной книге. Что касается рассылки поддельных токенов — Rabby помечает в истории операций каждую подозрительную транзакцию. Если вам прислали токен со ссылкой, ведущей на фишинговый сайт, расширение пометит эту транзакцию как скам.

Предложения работы

Это один из самых старейших способов украсть активы на рынке криптовалют. Он был распространен еще в 2017-2018 годах и до сих пор актуален. Вы наверняка могли видеть в социальных сетях и менеджерах, особенно в Telegram, предложения зарабатывать по $100-200-300 в день на криптовалюте. Каждое из таких сообщений — это попытка обмануть вас на деньги.

Работают такие схемы следующим образом: мошенники рассказывают, что у них есть успешный стартап, в который ведется набор сотрудников. Далее вам предлагают примитивную работу, например, найти в блокчейне кошельки с большим балансом. И от вас действительно ждут выполнения поставленных задач. Это делается для того, чтобы потенциальная жертва поверила в аферу, якобы деньги раздают не бесплатно.

Далее, когда «работа» выполнена, мошенник предлагает забрать оплату. Как раз на этом этапе начинается кража активов. Есть несколько вариантов: иногда аферист сообщает, что перечислил заработанную криптовалюту на специальную биржу (как правило запущенную самим мошенником). Когда пользователь переходит туда, он действительно видит на своем счету активы. Однако, чтобы вывести их, сначала требуется пополнить баланс минимум на $50-100. Разумеется, сделав это, пользователь попросту переведет средства на счет злоумышленника.

В других случаях пользователю для получения заработанной криптовалюты также предлагается войти на стороннюю биржу, принадлежащую мошенникам. Когда жертва начнет регистрироваться на площадке, есть риск, что она укажет логин и пароль от других сервисов. В таком случае злоумышленники смогут войти в аккаунт пользователя на других биржах и вывести с них средства.

Как защититься? Никогда не верить предложениям о заработке, публикуемым в соцсетях. Каждая такая публикация — это мошенничество, так как ни один нормальный проект не будет искать сотрудников подобным способом. Особенно, если «рекрутер» просит написать ему «в личку». Это означает, что у мошенника заблокирован аккаунт, и соцсеть отключила ему возможность направлять сообщения другим пользователям.

Вдобавок, обязательно надо установить на всех своих биржевых аккаунтах двухфакторную аутентификацию (2FA). Это одноразовый код, который дополнительно запрашивается сервисом при входе пользователя. В таком случае, даже если ваши логин и пароль попадут в руки мошенников, они не смогут получить доступ к активам.

Добавлю от себя: если вы видите подобные сообщения, смело кидайте на их авторов жалобы за мошенничество. Возможно, аккаунт злоумышленника заблокируют, и вы убережете кого-либо от потери средств.

Прочие схемы и заключение

«Разводов» на кражу криптовалюты крайне много, и их количество постоянно растет. Мошенники постоянно придумывают новые способы обмана, как правило, следуя за хайпом на рынке. Там, где ажиотаж, стекаются неопытные пользователи, и туда и бегут мошенники расставлять ловушки.

Сейчас на рынок криптовалют пришло множество пользователей Telegram. В связи с этим в мессенджере крайне выросла активность мошенников. Они пишут с предложениями купить ваш номер или ник, якобы он может быть очень ценным на рынке. Или напротив: злоумышленники создают иллюзию большого заработка на торговле в Telegram номерами, токенами, NFT и прочим «мусором».

Например, недавно я наткнулся на мошенника, который продавал якобы популярные каналы. Для этого он создавал канал в Telegram, накручивал там десятки тысяч подписчиков, покупал просмотры и реакции. Далее размещал на маркетплейсах права на этот канал за десятки тысяч долларов в криптовалюте. И судя по транзакциям, кто-то откликался на такие предложения.

От таких схем поможет защититься примитивное и довольно грубое правило: бесплатный сыр бывает только в мышеловке. Если вам кто-то пишет с предложением заработать или рассказывает о внезапном выигрыше — будьте уверены, вас хотят обмануть. Чтобы там ни было, не отвечайте на сообщения и ни в коем случае не переходите по ссылкам, даже ради любопытства: в ссылках и файлах может содержаться вредоносная программа или переадресация на фишинговый сайт.

Это правило применимо в целом к рынку криптовалют. Все, что выглядит подозрительно, выглядит так не спроста. Если вы видите обещания большой доходности, например, 50-100% и более — вопрос, откуда такая доходность берется.

Добавлю от себя лично: каждому пользователю желательно помнить, что от мошенничества страдает не только жертва. Каждый раз, когда кто-то теряет деньги на фишинге или любой другой схеме — он, по сути, финансирует киберпреступность. У злоумышленников появляется больше средств на создание фейковых сайтов, профилей в соцсетях, приложений, на накрутку подписчиков и привлечение новых хакеров. Поэтому, заходя на подозрительный сайт, помните, что вы несете ответственность перед всем криптосообществом.