Кейс #2
Кража SEED-фразы
Современный мир криптовалют открывает перед пользователями множество возможностей, но одновременно с этим приносит новые риски.
Одной из наиболее распространённых мошеннических схем является кража seed-фразы — набора слов, который служит ключом для восстановления доступа к криптокошельку.
Мошенники используют различные методы для получения этой ценной информации, эксплуатируя доверие, невнимательность или недостаток знаний о безопасности у жертв.
Чаще всего злоумышленники прибегают к таким методам, как фишинговые сайты, которые имитируют интерфейс популярных криптокошельков, или отправляют жертвам письма с поддельной технической поддержкой, требуя «проверить» seed-фразу для защиты аккаунта.
Нередко используются и социальные инженерные приёмы: мошенники притворяются представителями службы поддержки или даже друзьями, прося отправить им seed-фразу под предлогом срочной помощи.
Чаще всего злоумышленники прибегают к таким методам, как фишинговые сайты, которые имитируют интерфейс популярных криптокошельков, или отправляют жертвам письма с поддельной технической поддержкой, требуя «проверить» seed-фразу для защиты аккаунта.
Нередко используются и социальные инженерные приёмы: мошенники притворяются представителями службы поддержки или даже друзьями, прося отправить им seed-фразу под предлогом срочной помощи.
В компанию AML Crypto обратился очередной пострадавший от мошеннической схемы, связанной с «обучением» криптовалютной торговле и безопасностью цифровых активов. Жертва при помощи экспертов нашей компании смогла поделиться своей историей, предоставив максимально возможные данные о злоумышленниках, их контактных данных и используемых ими методах. Как и в большинстве подобных случаев, преступники действовали профессионально, маскируясь под экспертов в сфере криптовалют и создавая иллюзию доверительного обучения.
Все началось с поиска информации о заработке на криптовалюте
Жертва изучала доступные материалы, но самостоятельно разобраться в нюансах торговли оказалось сложно, а терять на это много времени не хотелось (оказалось, что зря). В ходе поисков в социальных сетях и мессенджерах она наткнулась на рекламу «наставников», которые предлагали обучение основам криптотрейдинга всего за символическую сумму. Дружелюбный и уверенный в себе «учитель» предложил созвониться в Zoom и пройти вводное обучение.
Во время созвона мошенники провели несколько часов в объяснениях базовых принципов торговли и безопасности, вероятно, с целью произвести нужный эффект и усыпить бдительность своего «ученика». В качестве одного из первых действий, они убедили жертву создать криптовалютный кошелек Metamask, объяснив, что без него невозможно полноценно работать с криптовалютой. Под их руководством жертва установила кошелек и начала процесс его настройки, транслируя свой экран для «помощи». В этот момент наставники попросили ее сохранить SEED-фразу, объяснив, что это ключ к восстановлению доступа. Однако мошенники уже увидели эту фразу, так как она отображалась на экране во время демонстрации.
Чтобы не вызвать подозрений, злоумышленники подчеркнули, что следующим важным действием является установка пароля, который якобы защищает кошелек. Жертва, следуя инструкциям, выключила демонстрацию экрана и создала личный пароль, уверенная, что теперь доступ к кошельку есть только у нее. Однако это оказалось обманом: на самом деле пароль лишь защищает кошелек на конкретном устройстве, а знание SEED-фразы позволяет получить полный контроль над средствами с любого другого устройства.
Во время созвона мошенники провели несколько часов в объяснениях базовых принципов торговли и безопасности, вероятно, с целью произвести нужный эффект и усыпить бдительность своего «ученика». В качестве одного из первых действий, они убедили жертву создать криптовалютный кошелек Metamask, объяснив, что без него невозможно полноценно работать с криптовалютой. Под их руководством жертва установила кошелек и начала процесс его настройки, транслируя свой экран для «помощи». В этот момент наставники попросили ее сохранить SEED-фразу, объяснив, что это ключ к восстановлению доступа. Однако мошенники уже увидели эту фразу, так как она отображалась на экране во время демонстрации.
Чтобы не вызвать подозрений, злоумышленники подчеркнули, что следующим важным действием является установка пароля, который якобы защищает кошелек. Жертва, следуя инструкциям, выключила демонстрацию экрана и создала личный пароль, уверенная, что теперь доступ к кошельку есть только у нее. Однако это оказалось обманом: на самом деле пароль лишь защищает кошелек на конкретном устройстве, а знание SEED-фразы позволяет получить полный контроль над средствами с любого другого устройства.
После завершения обучения жертва перевела средства со своей биржи на новый кошелек Metamask, думая, что теперь может безопасно работать с криптовалютой. Однако вскоре обнаружила, что баланс моментально обнулился — все средства были списаны. Шокированная потерей, она попыталась восстановить доступ, но оказалось, что мошенники уже использовали SEED-фразу для входа в кошелек с другого устройства и установили свой собственный пароль. В блокчейне SEED-фраза куда важнее, чем пароль от криптокошелька как сервиса.
Осознав, что стала жертвой мошеннической схемы, пострадавшая обратилась в AML Crypto за помощью. Специалисты начали анализировать ситуацию, отслеживать транзакции и пытаться выяснить, куда ушли похищенные средства. Главные цели — установить цепочку финансовых операций, выявить, куда выводились украденные средства, найти возможности для деанонимизации личностей преступников и предупредить других пользователей о подобном виде обмана.
БЛОКЧЕЙН-РАССЛЕДОВАНИЕ
Итоговый граф связей, который отображает перетекание похищенных средств:
Шаг 1. Кража средств и запутывание следов
В процессе расследования было установлено, что мошенник использовал несколько методов для того, чтобы скрыть следы своих действий и затруднить отслеживание транзакций.
Одной из таких тактик было использование большого количества блокчейн-адресов, которые мошенник специально создавал для перемещения похищенных средств. Сначала он разделял средства на несколько сумм, распределяя их между несколькими адресами. После этого он либо отправлял эти средства на новые адреса, либо собирал их на определённых кошельках, пытаясь создать запутанную сеть транзакций, чтобы усложнить идентификацию конечного получателя.
Одной из таких тактик было использование большого количества блокчейн-адресов, которые мошенник специально создавал для перемещения похищенных средств. Сначала он разделял средства на несколько сумм, распределяя их между несколькими адресами. После этого он либо отправлял эти средства на новые адреса, либо собирал их на определённых кошельках, пытаясь создать запутанную сеть транзакций, чтобы усложнить идентификацию конечного получателя.
На графе мы видим, что первый шаг расследования заканчивается адресами, которые дробят похищенные средства на множество адресов злоумышленника (адреса [3], [4], [5], [6], [7], [8], [9]). Данные нашей компании позволили установить, что адрес [11] является депозитным адресом биржи Binance, что означает, что уже на первом шаге расследования злоумышленник вывел часть похищенных средств на централизованную биржу*. В соответствии с этими данными уже можно обращаться к бирже Binance с целью заморозки средств до выяснения обстоятельств.
*Централизованная биржа (CEX) — это платформа на криптовалютном рынке, управлением которой занимается центральный орган или организация. На таких сервисах пользователи (в том числе и мошенники) оставляют свои персональные и контактные данные.
Шаг 2. Отмывание похищенных средств через централизованные сервисы
Этот процесс скрытных транзакций был тщательно спланирован для того, чтобы затруднить возможность отслеживания движения криптовалюты. Однако, несмотря на попытки запутать следы, с помощью высококачественных аналитических инструментов транзакции были отслежены. В конечном итоге все похищенные средства были перемещены на централизованные криптовалютные биржи, такие как Binance, Bybit и KuCoin, где мошенник попытался вывести незаконно полученные средства в фиатную валюту.
Благодаря быстрому реагированию специалистов компании AML Crypto и тесному сотрудничеству с правоохранительными органами, удалось инициировать оперативные и корректно составленные запросы к указанным биржам для блокировки вывода средств. В результате этих действий, после проверки всех транзакций и анализа цепочки движений средств, была установлена личность мошенника. На основании этих данных были предприняты необходимые юридические действия для взыскания похищенных средств у злоумышленников и возврата их жертве.
Этот случай наглядно демонстрирует, насколько важно обладать знаниями в области, с которой вы взаимодействуете, быть осторожными с обещаниями заработка, а также, как быстрое и квалифицированное вмешательство специалистов и следование правильной процедуре расследования могут привести к успешному результату даже в сложных случаях мошенничества в криптовалютной сфере.
Как избежать мошенничества с SEED-фразой и защитить свои средства
Никогда и никому не передавайте SEED-фразу
SEED-фраза — это единственный способ восстановить доступ к вашему криптокошельку. Если кто-то получает её, он получает полный контроль над вашими средствами. Даже сотрудники криптокошельков, бирж или технической поддержки никогда не запрашивают SEED-фразу.
Не сохраняйте SEED-фразу в цифровом виде
Храните SEED-фразу в офлайн-режиме: запишите её на бумаге и уберите в надёжное место. Избегайте хранения в облачных сервисах, заметках смартфона, скриншотах или текстовых файлах на компьютере.
Не транслируйте экран при работе с криптокошельком
Никогда не включайте демонстрацию экрана в Zoom, Skype, Discord и других сервисах при настройке или использовании кошелька. Мошенники могут зафиксировать вашу SEED-фразу и украсть средства.
Будьте осторожны с онлайн-«наставниками»
Не доверяйте людям, которые предлагают «бесплатное обучение» или просят вас создать криптокошелёк в процессе созвона. Проверяйте репутацию любых сервисов, консультантов или групп, с которыми взаимодействуете.
Что делать, если вас уже обманули и украли криптовалюту
Сразу зафиксируйте все данные о транзакциях
• Сохраните адреса злоумышленников, транзакции (TX ID), даты и суммы переводов.
• Сделайте скриншоты всех действий, сообщений с мошенниками и любых подтверждений платежей.
• Сделайте скриншоты всех действий, сообщений с мошенниками и любых подтверждений платежей.
Обратитесь к аналитическим сервисам или специалистам по блокчейн-расследованиям
Компании, специализирующиеся на расследованиях в блокчейне (например, AML Crypto), могут помочь отследить похищенные средства и обратиться в биржи для блокировки.
Напишите в техническую поддержку бирж
• Если средства попали на централизованную биржу (Binance, Bybit, KuCoin и др.), срочно отправьте запрос в поддержку, указав TX ID и объяснив ситуацию. Если деньги ещё не выведены, их могут заморозить.
• В случае успешной блокировки можно подать юридический запрос на возврат.
• В случае успешной блокировки можно подать юридический запрос на возврат.
Подайте заявление в правоохранительные органы
В некоторых странах есть киберполиция, занимающаяся мошенничеством в криптовалюте. В заявлении укажите все данные транзакций и предоставьте доказательства обмана (отчет AML Crypto об инциденте ответит на все требующиеся вопросы правоохранительных органов)
Результат инцидента
положительный
Средства возвращены клиенту в полном объеме
Обучение криптовалютной торговле может обернуться ловушкой, если не соблюдать базовые правила безопасности. Основной урок — никогда и никому не передавать SEED-фразу, так как её компрометация ведёт к полному контролю над активами.
Смотрите также
блог
наши решения
о компании
контактный центр
блог
наши решения
о компании
контактный центр