Кейс #1
Фишинговые ссылки. Ненастоящий Metamask.
Криптопользователь в определенный день обнаружил пропажу всех своих средств. Догадок, как это могло произойти, не было: СИД-фразу от кошелька он хранил, как рекомендовано, на листке бумаги; доступ же к устройству был только у самого пользователя.
Интервью
В результате интервьюирования нами было выявлено, что пару месяцев назад пользователь приобрел себе новое устройство и установил на него кошелек Метамаск. Наша первичная догадка, что пользователь попал на фишинговый сайт, подтвердилась. Собрав всю доступную информацию, мы приступили к расследованию.
РАССЛЕДОВАНИЕ OSINT
Вводные данные
26 октября 2021 жертва устанавливала на свой новый ноутбук кошелек Метамаск. Его поиск осуществлялся с помощью поисковика Яндекс по запросу «скачать metamask».
Через сервис Яндекс.Директ жертва попала на фишинговый сайт metamask.io-ss.ru и, вероятнее всего, ввела свою СИД-фразу. Далее злоумышленники перекинули жертву на настоящий сайт, чтобы она ничего не заподозрила.
Через сервис Яндекс.Директ жертва попала на фишинговый сайт metamask.io-ss.ru и, вероятнее всего, ввела свою СИД-фразу. Далее злоумышленники перекинули жертву на настоящий сайт, чтобы она ничего не заподозрила.
В данный момент поисковые системы уже уведомляют о том, что данный ресурс является опасным. Вероятно, были уже инциденты и обращения. Игнорируя предупреждение браузера, переходим на фишинговый сайт и видим, что злоумышленник удалил его.
В веб-архиве по субдомену тоже пусто. Но по домену второго уровня есть данные в веб-архиве.
В веб-архиве по субдомену тоже пусто. Но по домену второго уровня есть данные в веб-архиве.
Упоминания сайта
Указанный сайт находится в списке фишинговых ресурсов в аккаунте Github. Других упоминаний сайта не выявлено.
Whois, DNS
• Данные Whois io-ss.ru
• Регистратор домена: Reg.ru, зарегистрирован 15.10.2021
• Основной домен и исследуемый субдомен расположены на IP 31.31.196.98
• ASN 197695 | AS-REG, RU
На данном IP размещены 6 048 доменов.
Иные субдомены не выявлены:
metamask.io-ss.ru
io-ss.ru
• Регистратор домена: Reg.ru, зарегистрирован 15.10.2021
• Основной домен и исследуемый субдомен расположены на IP 31.31.196.98
• ASN 197695 | AS-REG, RU
На данном IP размещены 6 048 доменов.
Иные субдомены не выявлены:
metamask.io-ss.ru
io-ss.ru
Возможные дальнейшие действия
- Запросить в ООО «Регистратор доменных имен РЕГ.РУ» информацию об IP, регистрационных данных и платежных средствах лиц, купивших указанный домен. Запросить другие совпадения в разрезе доменов по IP, платежным данным, учетным данным пользователя запрашиваемого домена.
- Запросить в ООО «Яндекс» информацию об IP, регистрационных данных и платежных средствах лиц, оплативших рекламу данного сайта. Запросить данные, рекламировали ли установленные лица другие сайты. Запросить другие совпадения данных по IP, платежным данным, учетным данным пользователя запрашиваемого домена.
- После получения данных об используемых IP-адресах, направляем запросы в ООО «Яндекс», ООО «Гугл», ООО «ВКонтакте» с целью выявления учетных записей пользователей, которые авторизовывались с них. Какие поисковые запросы были сделаны данными пользователями, какие услуги использовали, их платежные и иные данные, а также другие IP-адреса авторизации.
Веб-архив
В веб-архиве имеются данные о следующих страницах изучаемого домена:
Анализ исходного сайта io-ss.ru на интернет-ресурсе web.archive.org выявил, что злоумышленник пользовался сервисом TDS.SO (распределение и фильтрация трафика) для создания массовых редиректов с целью обхода систем безопасности. Анализ указанных страниц изучаемого сайта дополнительных результатов не дал.
Возможные дальнейшие действия
Запросить информацию о лицах, подключивших услугу TDS.SO к сайту io-ss.ru: IP, регистрационные и платежные данные.
Для выявления контактов представителей сервиса была проведена первичная деанонимизация админов официального Телеграм-чата TDS.SO. Результатов не дала.
Исторические данные по домену
Выявлена неточная информация о том, что исходный сайт мог располагаться и на другом IP: 136.243.214.242 (domenolog.ru/io-is.ru).
Проверка была произведена в декабре 2021 года, скорее всего, до подключения сервиса TDS.SO.
Подробная информация о данном IP представлена ниже.
Проверка была произведена в декабре 2021 года, скорее всего, до подключения сервиса TDS.SO.
Подробная информация о данном IP представлена ниже.
Дополнительная информация
Выявлены похожие на сайт злоумышленника интернет-ресурсы:
→ IO-LL.RU (зарегистрирован 12.09.2021)
→ METALKMSK.RU (10.01.2022)
→ IO-CC.RU (19.01.2022)
→ METANMSK.RU (24.01.2022)
→ IO-RR.RU (10.02.2022)
→ IO-LL.RU (зарегистрирован 12.09.2021)
→ METALKMSK.RU (10.01.2022)
→ IO-CC.RU (19.01.2022)
→ METANMSK.RU (24.01.2022)
→ IO-RR.RU (10.02.2022)
Возможные дальнейшие действия
Отправка аналогичных запросов по доменам IO-LL.RU, METALKMSK.RU, IO-CC.RU, METANMSK.RU, IO-RR.RU, как и по домену io-ss.ru.
БЛОКЧЕЙН-РАССЛЕДОВАНИЕ
Исследуемый адрес: 0xbfe... в сети FTM Fantom. Средства похищены в сети FTM, поэтому мы идем на эксплорер (блокчейн-обозреватель) Fantom и ищем транзакции в нем.
Этап 1. Похищение
Вечером 24 марта с 19:24 по 19:25 злоумышленник вывел с адреса жертвы на адрес 0xbfe... следующие средства:
- 971,662 YOSHI / эквивалент 1.4 млн USD
- 260,310 1ART / эквивалент 26 тыс. USD
- 3,632 FTM / эквивалент 5,266 USD
Далее выясняем, что злоумышленник сделал с токенами:
→ Переходим в обозревателе на адрес злоумышленника
→ Смотрим более ранние транзакции и ищем те из них, которые поступили с адреса жертвы — значит, последующие транзакции являются выводом украденных средств
→ В последующих транзакциях мы видим обмен токенов YOSHI и 1ART на токен anyFTM
Смарт-контракт для обмена YOSHI: 0x51d...f653e
Смарт-контракт для обмена 1ART: 0x671...ca8df
→ Переходим в обозревателе на адрес злоумышленника
→ Смотрим более ранние транзакции и ищем те из них, которые поступили с адреса жертвы — значит, последующие транзакции являются выводом украденных средств
→ В последующих транзакциях мы видим обмен токенов YOSHI и 1ART на токен anyFTM
Смарт-контракт для обмена YOSHI: 0x51d...f653e
Смарт-контракт для обмена 1ART: 0x671...ca8df
В деталях транзакции видим, что был совершён обмен YOSHI на FTM:
Соответствующая транзакция в обозревателе — совпадение мы видим как по сумме, так и по ID:
Этап 2. Вывод средств
Вывод средств осуществлялся несколькими путями (расчеты ниже в USD):
→ 1.18 млн было отправлено в сеть ETH на этот же адрес злоумышленника 0xef7...
→ 113 тыс. конвертировано в USDC через DEX в сети FTM
→ Отправлено на Binance:
• 101 тыс. на адрес 0xf32... (70 тыс. FTM)
• 20 тыс. на адрес 0x89b... (14 тыс. FTM)
• 87 тыс. на адрес 0xd04... (60 тыс. FTM)
Биржа Binance была определена тем, что с указанных трех адресов средства попали на адрес 0xbb3..., с которого исходящие транзакции осуществляются только на один адрес — 0x28C..., подписанный на эксплорере Etherscan как «Binance 14».
Три транзакции обмена 85 тыс. FTM на 113 тыс. USDC посредством DEX SpookySwap:
→ 1.18 млн было отправлено в сеть ETH на этот же адрес злоумышленника 0xef7...
→ 113 тыс. конвертировано в USDC через DEX в сети FTM
→ Отправлено на Binance:
• 101 тыс. на адрес 0xf32... (70 тыс. FTM)
• 20 тыс. на адрес 0x89b... (14 тыс. FTM)
• 87 тыс. на адрес 0xd04... (60 тыс. FTM)
Биржа Binance была определена тем, что с указанных трех адресов средства попали на адрес 0xbb3..., с которого исходящие транзакции осуществляются только на один адрес — 0x28C..., подписанный на эксплорере Etherscan как «Binance 14».
Три транзакции обмена 85 тыс. FTM на 113 тыс. USDC посредством DEX SpookySwap:
Почему через SpookySwap? Потому что при открытии транзакции мы видим контракт SpookySwap и сумму в USDC:
Основная часть средств отправлена в сеть ETH через AnySwap (Multichain):
Соответствующие транзакции в сети ETH на этом же адресе:
Здесь более наглядно:
ETH
В сети ETH средства отправлены на адрес 0x077..., по которому присутствует множество жалоб о переводе украденных средств. Возможно, это анонимный обменник changenow.io — предположение на основе тех же комментариев на Etherscan.
Также с адреса злоумышленника средства отправлены на адрес 0xca6..., который отправляет их в том числе на указанный выше 0xbb3... (Binance). На этом адресе также есть комментарии о ворованных средствах. Транзакции на нем происходят гораздо реже, чем на 0x077....
Взаимодействие с 0x077... и 0xca6... происходит через транзитные адреса — вероятно, генерируемые обменником для пополнения.
Также с адреса злоумышленника средства отправлены на адрес 0xca6..., который отправляет их в том числе на указанный выше 0xbb3... (Binance). На этом адресе также есть комментарии о ворованных средствах. Транзакции на нем происходят гораздо реже, чем на 0x077....
Взаимодействие с 0x077... и 0xca6... происходит через транзитные адреса — вероятно, генерируемые обменником для пополнения.
Схема транзакций
Возможные дальнейшие действия
Обращение в Binance по факту мошенничества.
РЕКОМЕНДАЦИИ ПО ДАЛЬНЕЙШИМ ДЕЙСТВИЯМ
В зависимости от обстоятельств дела, мы рекомендуем обращаться в правоохранительные органы по месту нахождения: жертвы / бирж, на которые были выведены средства / злоумышленника (если его предполагаемое местонахождение стало известно в ходе нашего расследования) / по месту с более удачно зарегулированным законодательством. Каждый из вариантов имеет свои особенности.
Получив от правоохранительных органов бумагу о заведении дела, мы рекомендуем отправить по форме Binance всю информацию.
Это позволит установить Binance пользователя, чей аккаунт был использован для неправомерных действий, а правоохранительные органы смогут получить все необходимые данные для соответствующих запросов.
Это позволит установить Binance пользователя, чей аккаунт был использован для неправомерных действий, а правоохранительные органы смогут получить все необходимые данные для соответствующих запросов.
- Подробное описание того, как и когда произошел взлом/кража (данный отчет)
- Ссылки на все транзакции, вовлеченные в процесс (наш отчет включает необходимые ссылки)
- Подписанный NDA или заявление, в котором вы соглашаетесь соблюдать стандарты неразглашения Binance
- Скан принятого заявления от правоохранительных органов
Положительный
Результат расследования
- Правоохранительными органами было возбуждено уголовное дело. Следствие продолжается.
- В рамках уголовного дела могут быть направлены запросы в сервисы, используя которые мошенник мог оставить цифровые следы и свои личные данные.
- Блокчейн-анализ выявил адреса принадлежащие мошеннику или аффилированные с ним, ведущие на CEX Binance. В рамках уголовного дела возможно направление запроса на биржу Binance с целью блокировки средств и предоставления персональных данных предполагаемого мошенника.
- Выявлены IP-адреса создателей фишингового сайта. В рамках уголовного дела возможно направление запросов регистратору доменных имен, хостинговой компании и в ООО «Яндекс» с целью получения информации о цифровом следе злоумышленников, используемых ими платежных реквизитах и иной информации.
Шанс вернуть украденные средства
Высокий
Смотрите также
