Кейс #1
Фишинговые ссылки. Ненастоящий Metamask.
Криптопользователь в определенный день обнаружил пропажу всех своих средств. Догадок, как это могло произойти, не было: СИД-фразу от кошелька он хранил, как рекомендовано, на листке бумаги; доступ же к устройству был только у самого пользователя.
Интервью

В результате интервьюирования нами было выявлено, что пару месяцев назад пользователь приобрел себе новое устройство и установил на него кошелек Метамаск. Наша первичная догадка, что пользователь попал на фишинговый сайт, подтвердилась. Собрав всю доступную информацию, мы приступили к расследованию.

РАССЛЕДОВАНИЕ OSINT
Вводные данные
26 октября 2021 жертва устанавливала на свой новый ноутбук кошелек Метамаск. Его поиск осуществлялся с помощью поисковика Яндекс по запросу «скачать metamask».

Через сервис Яндекс.Директ жертва попала на фишинговый сайт metamask.io-ss.ru и, вероятнее всего, ввела свою СИД-фразу. Далее злоумышленники перекинули жертву на настоящий сайт, чтобы она ничего не заподозрила.
В данный момент поисковые системы уже уведомляют о том, что данный ресурс является опасным. Вероятно, были уже инциденты и обращения. Игнорируя предупреждение браузера, переходим на фишинговый сайт и видим, что злоумышленник удалил его.

В веб-архиве по субдомену тоже пусто. Но по домену второго уровня есть данные в веб-архиве.
Упоминания сайта
Указанный сайт находится в списке фишинговых ресурсов в аккаунте Github. Других упоминаний сайта не выявлено.
Whois, DNS
• Данные Whois io-ss.ru
• Регистратор домена: Reg.ru, зарегистрирован 15.10.2021
• Основной домен и исследуемый субдомен расположены на IP 31.31.196.98
• ASN 197695 | AS-REG, RU

На данном IP размещены 6 048 доменов.

Иные субдомены не выявлены:
metamask.io-ss.ru
io-ss.ru
Возможные дальнейшие действия
  1. Запросить в ООО «Регистратор доменных имен РЕГ.РУ» информацию об IP, регистрационных данных и платежных средствах лиц, купивших указанный домен. Запросить другие совпадения в разрезе доменов по IP, платежным данным, учетным данным пользователя запрашиваемого домена.
  2. Запросить в ООО «Яндекс» информацию об IP, регистрационных данных и платежных средствах лиц, оплативших рекламу данного сайта. Запросить данные, рекламировали ли установленные лица другие сайты. Запросить другие совпадения данных по IP, платежным данным, учетным данным пользователя запрашиваемого домена.
  3. После получения данных об используемых IP-адресах, направляем запросы в ООО «Яндекс», ООО «Гугл», ООО «ВКонтакте» с целью выявления учетных записей пользователей, которые авторизовывались с них. Какие поисковые запросы были сделаны данными пользователями, какие услуги использовали, их платежные и иные данные, а также другие IP-адреса авторизации.
Веб-архив
В веб-архиве имеются данные о следующих страницах изучаемого домена:
Анализ исходного сайта io-ss.ru на интернет-ресурсе web.archive.org выявил, что злоумышленник пользовался сервисом TDS.SO (распределение и фильтрация трафика) для создания массовых редиректов с целью обхода систем безопасности. Анализ указанных страниц изучаемого сайта дополнительных результатов не дал.
Возможные дальнейшие действия
Запросить информацию о лицах, подключивших услугу TDS.SO к сайту io-ss.ru: IP, регистрационные и платежные данные.
Для выявления контактов представителей сервиса была проведена первичная деанонимизация админов официального Телеграм-чата TDS.SO. Результатов не дала.
Исторические данные по домену
Выявлена неточная информация о том, что исходный сайт мог располагаться и на другом IP: 136.243.214.242 (domenolog.ru/io-is.ru).

Проверка была произведена в декабре 2021 года, скорее всего, до подключения сервиса TDS.SO.



Подробная информация о данном IP представлена ниже.
Дополнительная информация
Выявлены похожие на сайт злоумышленника интернет-ресурсы:

→ IO-LL.RU (зарегистрирован 12.09.2021)

→ METALKMSK.RU (10.01.2022)

→ IO-CC.RU (19.01.2022)

→ METANMSK.RU (24.01.2022)

→ IO-RR.RU (10.02.2022)
Все указанные домены связаны с Reg.ru и являются полными копиями официального сайта кошелька Метамаск. Часть ресурсов также указаны на Github как фишинговые.
Возможные дальнейшие действия
Отправка аналогичных запросов по доменам IO-LL.RU, METALKMSK.RU, IO-CC.RU, METANMSK.RU, IO-RR.RU, как и по домену io-ss.ru.
БЛОКЧЕЙН-РАССЛЕДОВАНИЕ

Исследуемый адрес: 0xbfe... в сети FTM Fantom. Средства похищены в сети FTM, поэтому мы идем на эксплорер (блокчейн-обозреватель) Fantom и ищем транзакции в нем.

Этап 1. Похищение
Вечером 24 марта с 19:24 по 19:25 злоумышленник вывел с адреса жертвы на адрес 0xbfe... следующие средства:
  1. 971,662 YOSHI / эквивалент 1.4 млн USD
  2. 260,310 1ART / эквивалент 26 тыс. USD
  3. 3,632 FTM / эквивалент 5,266 USD
Движение ERC-20 (протокол токенов в сети Ethereum) токенов YOSHI и 1ART, FTM токенов мы видим в обозревателе BSCSCAN.COM.
Далее выясняем, что злоумышленник сделал с токенами:
→ Переходим в обозревателе на адрес злоумышленника
→ Смотрим более ранние транзакции и ищем те из них, которые поступили с адреса жертвы — значит, последующие транзакции являются выводом украденных средств
→ В последующих транзакциях мы видим обмен токенов YOSHI и 1ART на токен anyFTM

Смарт-контракт для обмена YOSHI: 0x51d...f653e
Смарт-контракт для обмена 1ART: 0x671...ca8df
В деталях транзакции видим, что был совершён обмен YOSHI на FTM:
Соответствующая транзакция в обозревателе — совпадение мы видим как по сумме, так и по ID:
Этап 2. Вывод средств
Вывод средств осуществлялся несколькими путями (расчеты ниже в USD):
1.18 млн было отправлено в сеть ETH на этот же адрес злоумышленника 0xef7...
113 тыс. конвертировано в USDC через DEX в сети FTM
→ Отправлено на Binance:
101 тыс. на адрес 0xf32... (70 тыс. FTM)
20 тыс. на адрес 0x89b... (14 тыс. FTM)
87 тыс. на адрес 0xd04... (60 тыс. FTM)

Биржа Binance была определена тем, что с указанных трех адресов средства попали на адрес 0xbb3..., с которого исходящие транзакции осуществляются только на один адрес — 0x28C..., подписанный на эксплорере Etherscan как «Binance 14».

Три транзакции обмена 85 тыс. FTM на 113 тыс. USDC посредством DEX SpookySwap:
Почему через SpookySwap? Потому что при открытии транзакции мы видим контракт SpookySwap и сумму в USDC:
Основная часть средств отправлена в сеть ETH через AnySwap (Multichain):
Соответствующие транзакции в сети ETH на этом же адресе:
Здесь более наглядно:
ETH
В сети ETH средства отправлены на адрес 0x077..., по которому присутствует множество жалоб о переводе украденных средств. Возможно, это анонимный обменник changenow.io — предположение на основе тех же комментариев на Etherscan.
Также с адреса злоумышленника средства отправлены на адрес 0xca6..., который отправляет их в том числе на указанный выше 0xbb3... (Binance). На этом адресе также есть комментарии о ворованных средствах. Транзакции на нем происходят гораздо реже, чем на 0x077....
Взаимодействие с 0x077... и 0xca6... происходит через транзитные адреса — вероятно, генерируемые обменником для пополнения.
Схема транзакций
Возможные дальнейшие действия
Обращение в Binance по факту мошенничества.
РЕКОМЕНДАЦИИ ПО ДАЛЬНЕЙШИМ ДЕЙСТВИЯМ

В зависимости от обстоятельств дела, мы рекомендуем обращаться в правоохранительные органы по месту нахождения: жертвы / бирж, на которые были выведены средства / злоумышленника (если его предполагаемое местонахождение стало известно в ходе нашего расследования) / по месту с более удачно зарегулированным законодательством. Каждый из вариантов имеет свои особенности.

Получив от правоохранительных органов бумагу о заведении дела, мы рекомендуем отправить по форме Binance всю информацию.

Это позволит установить Binance пользователя, чей аккаунт был использован для неправомерных действий, а правоохранительные органы смогут получить все необходимые данные для соответствующих запросов.

  • Подробное описание того, как и когда произошел взлом/кража (данный отчет)

  • Ссылки на все транзакции, вовлеченные в процесс (наш отчет включает необходимые ссылки)

  • Подписанный NDA или заявление, в котором вы соглашаетесь соблюдать стандарты неразглашения Binance

  • Скан принятого заявления от правоохранительных органов
Положительный
Результат расследования
  • Выявленных данных достаточно для обращения в правоохранительные органы и заведения уголовного дела. На основании факта заведения уголовного дела могут быть отправлены и удовлетворены запросы в сервисы, где мошенник мог оставить свои цифровые следы и личные данные.
  • Блокчейн-анализ выявил адреса аффилированные и/или принадлежащие мошеннику, ведущие на CEX Binance. На основании заведения уголовного дела возможен запрос к бирже Binance на блокировку средств и предоставление личных данных предполагаемого мошенника.
  • Выявлены IP-адреса создателей фишингового сайта. На основании заведения уголовного дела возможен запрос к регистратору доменных имен для получения реквизитов лиц, оплативших рекламу на сервисе ООО «Яндекс»; запрос на предоставление учетных записей в ООО «Яндекс», ООО «Гугл», ООО «ВКонтакте».

Шанс вернуть украденные средства

Высокий

Стоимость подготовки отчета зависит от сложности конкретного случая и трудозатрат нашего комплаенс-офицера.
Оставьте заявку — мы проведем экспресс-скоринг ситуации и сориентируем вас по стоимости.
Оценить