Кейс #3
Романтический скам
Схемы мошенничества, связанные с онлайн-знакомствами, становятся все более изощренными, а одной из самых популярных на сегодняшний день является «романтический скам» с элементами инвестиционного обмана.
Этот тип мошенничества особенно актуален в эпоху цифровых платформ, таких как например Tinder, где пользователи ищут не только романтических партнеров, но и поддержки, доверия и искренности. Однако вместо этого многие становятся жертвами хитроумных афер, основанных на искусно созданных ложных эмоциях и манипуляциях.
Суть схемы проста: мошенники, выдавая себя за привлекательных и доброжелательных людей, вступают в доверительные отношения с жертвой. Постепенно, через разговоры и взаимодействия, они вовлекают её в якобы «выгодные» инвестиции, предлагая зарегистрироваться в фальшивых личных кабинетах, которые выглядят как реальные биржи или финансовые платформы.
На начальном этапе жертва может увидеть «рост» своего «капитала», что усиливает доверие. Но когда дело доходит до вывода средств, вся правда раскрывается — деньги безвозвратно исчезают, а мошенники перестают выходить на связь. Популярность этой схемы объясняется сочетанием человеческого желания заработать лёгкие деньги и склонности доверять человеку, с которым установилась личная эмоциональная связь.
В компанию AML Crypto обратилась очередная жертва (личность скрыта для защиты персональных данных) мошеннической схемы, связанной с романтическими знакомствами и ложными инвестициями. Специалисты AML Crypto помогли пострадавшему рассказать свою историю, предоставив максимально доступную информацию о себе, контактах злоумышленника и ресурсе, через который велась «торговля». Как и в большинстве подобных случаев, злоумышленники тщательно скрывали свои настоящие данные, используя поддельные профили и анонимные платформы для общения.
Все началось с обычного знакомства в популярном приложении для встреч и общения
Новая знакомая показалась жертве искренним, внимательным и отзывчивым человеком. Они общались длительное время, находили общие интересы и казались практически идеальной парой. В какой-то момент вторая половинка поделилась своими личными проблемами, упомянув о временных финансовых затруднениях. Чтобы продемонстрировать свою предприимчивость, она рассказала, что иногда зарабатывает на торговле через «специальную платформу», которая якобы позволяет получать стабильный доход.
Сначала жертва просто проявляла интерес, задавая вопросы о том, как работает эта система. Но вскоре собеседник предложил показать всё на личном примере. Для этого жертве отправили ссылку на платформу, где можно было открыть «личный кабинет» и приступить к торговле. Сайт выглядел убедительно: красочный интерфейс, данные о росте активов, графики и прогнозы, которые внушали доверие.
Поддавшись манипуляциям, жертва решила попробовать инвестировать небольшую сумму, чтобы проверить платформу. К её удивлению, баланс в личном кабинете начал расти практически сразу, что усилило доверие к «новой половинке» и самой схеме. На волне воодушевления жертва вложила ещё больше средств, рассчитывая на крупный заработок. Однако, когда пришло время вывести деньги, возникли первые трудности: вывод оказался невозможен из-за «технической ошибки».
Вскоре на электронную почту жертвы пришло письмо от поддержки платформы с просьбой оплатить налог в размере 15% от суммы вывода. В письме подчеркивалось, что это стандартная процедура, необходимая для завершения операции. Жертва, не подозревая обмана и не проверив эти данные, выполнила требования и внесла запрошенную сумму. Однако после этого платформа перестала отвечать, а «вторая половинка» исчезла из поля зрения, удалив аккаунт.
Сначала жертва просто проявляла интерес, задавая вопросы о том, как работает эта система. Но вскоре собеседник предложил показать всё на личном примере. Для этого жертве отправили ссылку на платформу, где можно было открыть «личный кабинет» и приступить к торговле. Сайт выглядел убедительно: красочный интерфейс, данные о росте активов, графики и прогнозы, которые внушали доверие.
Поддавшись манипуляциям, жертва решила попробовать инвестировать небольшую сумму, чтобы проверить платформу. К её удивлению, баланс в личном кабинете начал расти практически сразу, что усилило доверие к «новой половинке» и самой схеме. На волне воодушевления жертва вложила ещё больше средств, рассчитывая на крупный заработок. Однако, когда пришло время вывести деньги, возникли первые трудности: вывод оказался невозможен из-за «технической ошибки».
Вскоре на электронную почту жертвы пришло письмо от поддержки платформы с просьбой оплатить налог в размере 15% от суммы вывода. В письме подчеркивалось, что это стандартная процедура, необходимая для завершения операции. Жертва, не подозревая обмана и не проверив эти данные, выполнила требования и внесла запрошенную сумму. Однако после этого платформа перестала отвечать, а «вторая половинка» исчезла из поля зрения, удалив аккаунт.
Пострадавший обратился в AML Crypto за помощью, осознав, что стал жертвой мошенничества. Специалисты нашей компании провели детальное интервью и начали расследование, изучая предоставленные данные, включая адреса платформы, контакты злоумышленников и транзакции, совершённые жертвой.
Наши задачи — выявить цепочку финансовых операций, выяснить, куда отправились украденные средства, и помочь вернуть их, а также найти возможности деанонимизации злоумышленников и предупредить других пользователей о подобной схеме.
OSINT
Вся информация, представленная в данном материале, носит исключительно ознакомительный характер и не является призывом к проведению самостоятельного расследования. Данные обезличены, однако основаны на реальном инциденте, чтобы подчеркнуть важность бдительности и осведомленности в вопросах защиты от мошенничества.
В рамках OSINT-анализа мы провели глубокое исследование, направленное на сбор максимально возможного количества информации на основе предоставленных данных о злоумышленниках. От потерпевшей стороны были получены сведения о мошенническом веб-сайте, где осуществлялась фиктивная торговля, а также контактные данные аккаунта мессенджера Telegram злоумышленников.
Изучение криптовалютных кошельков было вынесено за рамки OSINT-анализа, так как данный этап фокусировался исключительно на сборе улик и информации из экосистемы Web 2.0 (открытых источников из сети Интернет). Это позволило выявить дополнительные важные цифровые зацепки, которые могли быть использованы для дальнейшего расследования и анализа криптовалютных транзакций.
OSINT в разрезе мошеннического веб-сайта
Был выявлен IP сервера, на котором размещен мошеннический сайт:
Данный сервер был зарегистрирован на гражданина страны А, но спустя 2 года существования, владельцем стал другой гражданин страны Б:
До 2020 года информации о владельце сервера было значительно больше:
С помощью данных от 2020 года была выявлена компания, которая была замешана в незаконной деятельности. Статьи, которые писали о компании, датировались от 2017 года до 2023, тем самым подтверждая теорию, что все данные могут быть взаимосвязаны. Также был выявлен сервис регистратор данного сайта. При обращении к нему возможно получить контактные и платежные данные лиц, владеющих веб-сайтом злоумышленников.
OSINT в разрезе контактных данных
Было выявлено 2 Telegram-аккаунта злоумышленников: пользователи, которые помогали с торговлей на мошенническом сайте, аккаунт девушки удалил все переписки и заблокировал потерпевшую сторону, восстановить переписку не удалось. Нельзя утверждать, что обнаруженные фотографии принадлежат злоумышленникам, т. к. это могли быть фотографии случайных людей, взятые из интернета.
На основе OSINT-расследования были выявлены прочие социальные сети обоих аккаунтов на основании фотографий. При исследовании социальный сетей было выявлено, что оба аккаунта занимаются торговлей криптовалютой и часто присутствуют на соответствующих тематических форумах, посвященных торговле.
К сожалению, это также не дает оснований отнести данных пользователей к злоумышленникам, так как реальные злоумышленники могли находиться на этих же самых форумах и забрать фото непричастных пользователей.
Другой значимой информации в разрезе контактных данных выявлено не было.
К сожалению, это также не дает оснований отнести данных пользователей к злоумышленникам, так как реальные злоумышленники могли находиться на этих же самых форумах и забрать фото непричастных пользователей.
Другой значимой информации в разрезе контактных данных выявлено не было.
Заключение по OSINT-исследованию
Проведенное OSINT-исследование позволило собрать ценную информацию, однако не предоставило исчерпывающих доказательств, позволяющих однозначно идентифицировать злоумышленников. Несмотря на ограничения, полученные данные могут быть использованы для построения гипотез и планирования дальнейших действий.
Выявление регистратора доменного имени злоумышленников позволяет сделать соответствующий запрос с целью получения контактных данных лица, который зарегистрировал данный домен, а также платежную информацию, которая была использована для оплаты.
Для получения более точных результатов и подтверждения выдвинутых гипотез необходимо проведение дополнительных исследований, включающих в себя как технические методы анализа, так и социальную инженерию. Кроме того, сотрудничество с правоохранительными органами может значительно ускорить процесс расследования и привести к задержанию злоумышленников.
Выявление регистратора доменного имени злоумышленников позволяет сделать соответствующий запрос с целью получения контактных данных лица, который зарегистрировал данный домен, а также платежную информацию, которая была использована для оплаты.
Для получения более точных результатов и подтверждения выдвинутых гипотез необходимо проведение дополнительных исследований, включающих в себя как технические методы анализа, так и социальную инженерию. Кроме того, сотрудничество с правоохранительными органами может значительно ускорить процесс расследования и привести к задержанию злоумышленников.
БЛОКЧЕЙН-РАССЛЕДОВАНИЕ
Для детального анализа действий злоумышленников по отмыванию средств в блокчейне, рассмотрим следующую многоступенчатую схему (граф связей адресов жертвы, злоумышленника и централизованных сервисов в блокчейне):
Команде AML Crypto для проведения блокчейн-расследования были предоставлены данные о транзакциях потерпевшей стороны, включая адрес, на который были перечислены средства для инвестирования в определенный сервис. В ходе экспресс-анализа было установлено, что указанный адрес не являлся официальным депозитным адресом сервиса. Напротив, он принадлежал непосредственно злоумышленникам. Таким образом, потерпевшая сторона, вводя средства, фактически переводила их злоумышленникам, которые впоследствии осуществляли отмывание полученных средств.
Шаг 1: Отправка средств на адрес злоумышленника и начало отмывания
На графе связей красными стрелками показана связь между адресом Жертвы [1] и адресом Злоумышленника [2]. После того, как злоумышленник получил средства от жертвы, он распределяет полученные активы по трем адресам [4], [5], [6]. Средства с адресов [4], [5], [6] отправляются на адреса [6], [7], которые являются смарт-контрактами в экосистеме двух сервисов-мостов.
Мост — инструмент перевода ликвидности из одной сети в другую. На примере данного инцидента мостами являются адреса [6], [7]. Это означает, что злоумышленник сменил сеть с сети TRON на другую, которую требуется установить с помощью аналитики потоков ликвидности.
Шаг 2. Смена сети и вывод части средств на централизованный сервис
В ходе анализа смарт-контрактов, посредством которых осуществлялись денежные переводы, нами были идентифицированы два ключевых адреса получателей в сети Arbitrum: [6], [9]. Учитывая, что для осуществления межсетевых переводов (в данном случае, с сети TRON в сеть Arbitrum) требуется авторизация через кошелек в обеих сетях, можно сделать вывод о том, что пользователь, инициировавший перевод, имел доступ к обоим указанным адресам. Таким образом, адреса [6] и [9] с высокой вероятностью являются транзитными адресами, используемыми злоумышленником для дальнейшего перемещения средств
Часть средств была выведена через один транзитный адрес [10] на депозитный адрес централизованной биржи.
На основании полученных данных потерпевшая сторона вправе обратиться в правоохранительные органы с заявлением о возбуждении уголовного дела.
Выявленный факт перевода средств на централизованную биржу может служить основанием для инициирования процедуры по аресту и заморозке соответствующих активов. Своевременное обращение в правоохранительные органы существенно повышает шансы на успешное возвращение похищенных средств.
Выявленный факт перевода средств на централизованную биржу может служить основанием для инициирования процедуры по аресту и заморозке соответствующих активов. Своевременное обращение в правоохранительные органы существенно повышает шансы на успешное возвращение похищенных средств.
Шаг 3. Повторная смена сети и использования миксера
Адрес [11] также является смарт-контрактом моста. С помощью анализа потоков средств было выявлено, что злоумышленник перевел средства в сеть Ethereum на адрес [11]. На адресе [11], который злоумышленник использовал через криптовалютный кошелек Metamask, был произведен обмен полученных токенов USDT на токены ETH.
На основании блокчейн-транзакций, средства с адреса [13] были распределены по десяти адресам. В дальнейшем, средства все попали на адрес [24], который является хранилищем сервиса-миксера Tornado Cash.
Миксер (тумблер) криптовалют — это сервис или программное обеспечение, предназначенное для повышения анонимности и конфиденциальности криптовалютных транзакций.
Он работает путем смешивания множества входных транзакций, принадлежащих разным пользователям, в единый пул, а затем распределения этих средств по новым адресам. Это затрудняет отслеживание происхождения средств и делает практически невозможным связать конкретную транзакцию с определенным пользователем.
Средства можно хранить в миксере неограниченное время, а можно вывести сразу. Соотнести средства будет практически невозможно по причине того, что все пользователи вводят любую сумму одинаковыми транзакции, к примеру по 1 ETH. В текущем инциденте злоумышленник ввел в миксер 10 ETH десятью транзакциями. Выводы также осуществляются по 1 ETH, таким образом, соотнести, куда попали средства из нашего инцидента, практически невозможно.
К счастью, злоумышленник поленился использовать миксер в сети Arbitrum и вывел средства сразу на депозитный адрес биржи. Команда AML Crypto увидела, что этот депозитный адрес также пополнялся на недостающий эквивалент 10 ETH. Отмотав источник средств, мы смогли выявить, что средства спонсировались из Tornado Cash на эквивалент 10 ETH, тем самым связав входы в миксер и выходы.
Он работает путем смешивания множества входных транзакций, принадлежащих разным пользователям, в единый пул, а затем распределения этих средств по новым адресам. Это затрудняет отслеживание происхождения средств и делает практически невозможным связать конкретную транзакцию с определенным пользователем.
Средства можно хранить в миксере неограниченное время, а можно вывести сразу. Соотнести средства будет практически невозможно по причине того, что все пользователи вводят любую сумму одинаковыми транзакции, к примеру по 1 ETH. В текущем инциденте злоумышленник ввел в миксер 10 ETH десятью транзакциями. Выводы также осуществляются по 1 ETH, таким образом, соотнести, куда попали средства из нашего инцидента, практически невозможно.
К счастью, злоумышленник поленился использовать миксер в сети Arbitrum и вывел средства сразу на депозитный адрес биржи. Команда AML Crypto увидела, что этот депозитный адрес также пополнялся на недостающий эквивалент 10 ETH. Отмотав источник средств, мы смогли выявить, что средства спонсировались из Tornado Cash на эквивалент 10 ETH, тем самым связав входы в миксер и выходы.
Шаг 4. Аккумулирование средств и вывод на централизованную биржу
Заключающим шагом в данной цепочке стала связь через мост [26]. Злоумышленник в последний раз сменил сеть перед выводом средств на депозитный адрес биржи. Таким образом, все средства из данного инцидента были выведены на депозитный адрес централизованной биржи [25].
Что делать, если вам кажется, что вас обманывают
Проверьте информацию самостоятельно (для продвинутых пользователей)
Используйте сервисы вроде Whois для проверки веб-сайтов, ищите отзывы о компаниях и людях.
Обратитесь к специалистам
Квалифицированные эксперты помогут вам оценить ситуацию и предпринять необходимые действия.
Сохраняйте все доказательства
Переписки, скриншоты, платежные документы — все это может пригодиться для расследования.
Что делать, если вы уже стали жертвой
Обратитесь к специалистам
Эксперт по крипто расследованиям поможет вам разобраться в ситуации и подскажет, какие шаги предпринять.
Сообщите в полицию
Подготовьте все имеющиеся у вас доказательства (переписку, платежные документы) и обратитесь в правоохранительные органы с заявлением. Специалисты помогут вам составить заявление и проведут расследование.
Результат инцидента
положительный
Большая часть средств возвращены клиенту
Целостная схема обмана: злоумышленники разработали многоступенчатую схему, используя социальную инженерию, фальшивые платформы и продвинутые методы сокрытия средств.
Возможность возврата средств: собранные данные о транзакциях, адресах и взаимодействиях через централизованные биржи дают шанс на возврат похищенных средств при правильной работе с правоохранительными органами. Полученные правоохранителями данные от централизованных сервисов и регистратора доменного имени позволили получить ценные данные о личностях злоумышленников. Эти данные легли в дальнейшее успешное уголовное дело и судебное постановление о взыскании средств.
Необходимость повышения осведомленности: этот случай подчеркивает, что мошенники становятся все более изощренными, объединяя психологические манипуляции с техническими методами отмывания денег.
Возможность возврата средств: собранные данные о транзакциях, адресах и взаимодействиях через централизованные биржи дают шанс на возврат похищенных средств при правильной работе с правоохранительными органами. Полученные правоохранителями данные от централизованных сервисов и регистратора доменного имени позволили получить ценные данные о личностях злоумышленников. Эти данные легли в дальнейшее успешное уголовное дело и судебное постановление о взыскании средств.
Необходимость повышения осведомленности: этот случай подчеркивает, что мошенники становятся все более изощренными, объединяя психологические манипуляции с техническими методами отмывания денег.
Смотрите также
блог
наши решения
о компании
контактный центр
блог
наши решения
о компании
контактный центр