Кейс #5
Вредоносное ПО. Клиппер
С развитием технологий блокчейна и ростом популярности криптовалют мир столкнулся с новыми видами мошенничества, которые используют их технические особенности.
Одной из таких схем является подмена адреса получателя при транзакциях, известная как «криптомошенничество через клипперы или ENS (Ethereum Name Service)».
Суть этой схемы заключается в том, что мошенники внедряют вредоносное ПО (клипперы) или манипулируют доверительными сервисами (ENS) с целью изменить адрес кошелька, на который жертва собирается перевести средства. В результате пользователь, сам того не подозревая, отправляет свои деньги на адрес злоумышленника.
Популярность этой схемы объясняется сочетанием нескольких факторов. Во-первых, высокий уровень доверия к блокчейн-среде, где транзакции считаются безопасными и необратимыми. Во-вторых, большинство пользователей недостаточно осведомлены о возможных угрозах или пренебрегают проверкой информации перед отправкой средств.
И, конечно, привлекательность больших доходов делает такие схемы особенно заманчивыми для мошенников. Эти инциденты иллюстрируют ключевые уязвимости криптовалютных операций и необходимость повышения уровня грамотности среди пользователей.
Популярность этой схемы объясняется сочетанием нескольких факторов. Во-первых, высокий уровень доверия к блокчейн-среде, где транзакции считаются безопасными и необратимыми. Во-вторых, большинство пользователей недостаточно осведомлены о возможных угрозах или пренебрегают проверкой информации перед отправкой средств.
И, конечно, привлекательность больших доходов делает такие схемы особенно заманчивыми для мошенников. Эти инциденты иллюстрируют ключевые уязвимости криптовалютных операций и необходимость повышения уровня грамотности среди пользователей.
Вариации инцидентов с мошенничеством
Мошенничество с подменой адреса является одной из наиболее коварных форм атак в криптовалютной сфере. Злоумышленники постоянно находят новые способы обмана пользователей, используя технические особенности блокчейна и человеческие ошибки.
Рассмотрим основные вариации инцидентов, с которыми могут столкнуться пользователи.
Рассмотрим основные вариации инцидентов, с которыми могут столкнуться пользователи.
1
Клиппер (вредоносное программное обеспечение, подмена буфера обмена)
Клипперы — это вредоносные программы, которые заражают устройства жертв и работают в фоновом режиме. Их задача — мониторить содержимое буфера обмена пользователя. Когда пользователь копирует адрес криптокошелька для перевода, клиппер автоматически заменяет его на адрес злоумышленника. Если жертва не проверит скопированный адрес перед транзакцией, средства безвозвратно отправляются мошенникам.
Подобные атаки особенно опасны из-за незаметности: клиппер не проявляет активности, кроме подмены данных, и часто остается невидимым для антивирусных программ, если они не обновлены.
Клипперы — это вредоносные программы, которые заражают устройства жертв и работают в фоновом режиме. Их задача — мониторить содержимое буфера обмена пользователя. Когда пользователь копирует адрес криптокошелька для перевода, клиппер автоматически заменяет его на адрес злоумышленника. Если жертва не проверит скопированный адрес перед транзакцией, средства безвозвратно отправляются мошенникам.
Подобные атаки особенно опасны из-за незаметности: клиппер не проявляет активности, кроме подмены данных, и часто остается невидимым для антивирусных программ, если они не обновлены.
2
ENS Scam (создание поддельного ENS)
ENS (Ethereum Name Service) — это удобный способ взаимодействия с кошельками, заменяющий длинные адреса криптокошельков на понятные имена, например, wallet.eth. Однако мошенники часто создают ENS-адреса, которые визуально похожи на легитимные, например, с использованием похожих символов или намеренно вводят пользователей в заблуждение.
Пример: легитимный адрес может выглядеть как 0xbac1…y3bd, а злоумышленник создает адрес 0xbac1…y3bd.eth. Жертвы, не заметив различий, отправляют средства на поддельный адрес, что приводит к потере средств. Особенно это актуально в ситуациях, когда ENS-имя рекламируется через фишинговые сайты или поддельные переписки.
ENS (Ethereum Name Service) — это удобный способ взаимодействия с кошельками, заменяющий длинные адреса криптокошельков на понятные имена, например, wallet.eth. Однако мошенники часто создают ENS-адреса, которые визуально похожи на легитимные, например, с использованием похожих символов или намеренно вводят пользователей в заблуждение.
Пример: легитимный адрес может выглядеть как 0xbac1…y3bd, а злоумышленник создает адрес 0xbac1…y3bd.eth. Жертвы, не заметив различий, отправляют средства на поддельный адрес, что приводит к потере средств. Особенно это актуально в ситуациях, когда ENS-имя рекламируется через фишинговые сайты или поддельные переписки.
3
Взлом аккаунтов и подмена сообщений
Мошенники часто прибегают к социальной инженерии и взлому аккаунтов в социальных сетях или мессенджерах. После получения доступа к аккаунту злоумышленники начинают общаться с друзьями или партнерами жертвы от её имени. В процессе общения они предоставляют поддельные адреса для отправки средств, выдавая их за актуальные.
Подобные атаки характерны для групповых переписок, где часто делаются переводы криптовалют между участниками. Пользователь может не проверить предоставленный адрес, полагаясь на доверие к отправителю, и перевести деньги мошенникам.
Мошенники часто прибегают к социальной инженерии и взлому аккаунтов в социальных сетях или мессенджерах. После получения доступа к аккаунту злоумышленники начинают общаться с друзьями или партнерами жертвы от её имени. В процессе общения они предоставляют поддельные адреса для отправки средств, выдавая их за актуальные.
Подобные атаки характерны для групповых переписок, где часто делаются переводы криптовалют между участниками. Пользователь может не проверить предоставленный адрес, полагаясь на доверие к отправителю, и перевести деньги мошенникам.
В компанию AML Crypto обратилась жертва мошенничества, связанного с использованием метода Dust-атаки. Пострадавшая (личность скрыта для защиты персональных данных) рассказала свою историю, предоставив ключевую информацию о событиях, которые привели к потере средств.
Все началось с обычного перевода средств между жертвой и ее постоянным контрагентом, с которым ранее уже происходили успешные транзакции
На протяжении нескольких месяцев они обменивались цифровыми активами, и у пострадавшей не было причин сомневаться в честности своего партнера. Однако последняя попытка перевода закончилась неожиданной проблемой.
Жертва рассказала, что получила просьбу от контрагента перевести определенную сумму. Для удобства она решила не запрашивать у него адрес повторно, а просто использовать тот, который был указан в ее истории транзакций. Она выбрала последний адрес, с которого контрагент ранее отправлял средства, и совершила перевод. Однако спустя некоторое время контрагент заявил, что средства до него не дошли.
Жертва рассказала, что получила просьбу от контрагента перевести определенную сумму. Для удобства она решила не запрашивать у него адрес повторно, а просто использовать тот, который был указан в ее истории транзакций. Она выбрала последний адрес, с которого контрагент ранее отправлял средства, и совершила перевод. Однако спустя некоторое время контрагент заявил, что средства до него не дошли.
В попытке разобраться жертва проверила блокчейн-историю и увидела, что транзакция была успешной: средства были отправлены и получены адресом, который совпадал с ее выбором. Она решила, что контрагент обманывает ее, пытаясь получить дополнительные средства. Но, чтобы убедиться, обратилась за помощью в компанию AML Crypto. При анализе предоставленных данных наша команда выявила, что жертва стала жертвой Dust-атаки.
Dust-атака (Dust Attack) — это вид кибератаки в блокчейне, при которой злоумышленники отправляют на кошелек жертвы небольшую сумму криптовалюты (так называемую «пыль» или dust) с целью либо идентифицировать владельца кошелька, либо ввести в заблуждение пользователя, впоследствии получив доступ к его средствам.
Существуют более изощренные варианты Dust-атаки, в которых злоумышленники создают поддельные токены и прописывают в их смарт-контракте фиктивную информацию о перемещении токенов. В результате злоумышленник может искусственно указать адрес жертвы как отправителя своего токена. Это приведет к тому, что в истории транзакций жертвы появится запись о том, что якобы ее адрес отправил определенное количество токенов на другой адрес.
Такая манипуляция может ввести жертву в заблуждение, поскольку, проверяя свою историю операций, она увидит транзакцию, которую на самом деле не совершала. Подобные действия способны спровоцировать недоверие или путаницу, особенно если жертва недостаточно осведомлена о принципах работы блокчейна и смарт-контрактов.
Существуют более изощренные варианты Dust-атаки, в которых злоумышленники создают поддельные токены и прописывают в их смарт-контракте фиктивную информацию о перемещении токенов. В результате злоумышленник может искусственно указать адрес жертвы как отправителя своего токена. Это приведет к тому, что в истории транзакций жертвы появится запись о том, что якобы ее адрес отправил определенное количество токенов на другой адрес.
Такая манипуляция может ввести жертву в заблуждение, поскольку, проверяя свою историю операций, она увидит транзакцию, которую на самом деле не совершала. Подобные действия способны спровоцировать недоверие или путаницу, особенно если жертва недостаточно осведомлена о принципах работы блокчейна и смарт-контрактов.
В данном инциденте злоумышленники создали поддельный токен и намеренно записали в историю транзакций жертвы фиктивную транзакцию. Эта фальшивая запись была продумана до мелочей: она совпадала с суммой последней реальной транзакции жертвы, а адрес получателя был сгенерирован так, чтобы внешне напоминать настоящий (совпадающие первые и последние символы). Когда жертва решила повторить перевод, она не стала проверять адрес вручную, а просто вспомнила, что ранее отправляла аналогичную сумму на адрес с определенными символами. Увидев совпадение данных в фиктивной транзакции, жертва скопировала поддельный адрес злоумышленника, не подозревая о подмене. Это похоже на ситуацию, когда кто-то кладет фальшивый ключ в ваш карман, который выглядит как ваш настоящий ключ, — и вы, не глядя, пытаетесь открыть им дверь.
Жертва призналась, что впервые слышит о таком методе обмана. Она также выразила сожаление, что не сверила адрес напрямую с контрагентом, полагаясь на свою транзакционную историю. Эта ситуация послужила напоминанием о том, как важно проверять адреса и быть бдительными даже при взаимодействии с надежными контрагентами.
Жертва призналась, что впервые слышит о таком методе обмана. Она также выразила сожаление, что не сверила адрес напрямую с контрагентом, полагаясь на свою транзакционную историю. Эта ситуация послужила напоминанием о том, как важно проверять адреса и быть бдительными даже при взаимодействии с надежными контрагентами.
БЛОКЧЕЙН-РАССЛЕДОВАНИЕ
Часть I: расследование пути отмывания средств злоумышленником
В первой части расследования мы рассмотрим перетекание средств, которые были похищены в рамках данного инцидента.
Для более глубокого анализа действий злоумышленников, связанных с отмыванием средств в блокчейне, рассмотрим многоуровневую схему, которая иллюстрирует связи между адресами жертвы, злоумышленника и централизованными сервисами в блокчейне (граф взаимосвязей):
Команда AML Crypto получила данные о транзакциях потерпевшей стороны, включая адрес, на который были переведены средства для инвестиций в конкретный сервис, с целью проведения блокчейн-расследования.
Шаг 1. Кража средств и распределение по транзитным адресам
На первом этапе злоумышленник получает средства от адреса жертвы [1] на свой адрес [2]. После получения средств он приступает к их распределению по своим транзитным адресам [4], [5], [6], [7], [8]:
Транзитный адрес — это кошелек, принадлежащий той же сущности, с которого начинается процесс кластеризации. Такой адрес характеризуется тем, что объем входящих средств полностью соответствует объему исходящих, в результате чего его баланс всегда остается нулевым (или близок к нулю).
Шаг 2. Злоумышленник запутывает следы
На втором этапе злоумышленник предпринимает действия для сокрытия своих следов, чтобы усложнить отслеживание транзакций без использования специализированных инструментов. В данном случае он использовал адреса [9], [10], [11], [12], [13], [14], [15], [16], [17], [28], которые также выступали в роли транзитных.
В этой статье представлен упрощенный пример того, как злоумышленник запутывает свои следы. Однако на практике могут применяться значительно более сложные схемы отмывания, включающие обмен токенов, переходы между блокчейнами, использование различных сетей и сервисов для анонимизации транзакций. Эти методы делают расследование таких инцидентов значительно более трудоемким и сложным.
В этой статье представлен упрощенный пример того, как злоумышленник запутывает свои следы. Однако на практике могут применяться значительно более сложные схемы отмывания, включающие обмен токенов, переходы между блокчейнами, использование различных сетей и сервисов для анонимизации транзакций. Эти методы делают расследование таких инцидентов значительно более трудоемким и сложным.
Часть средств попала на адрес [21], который является депозитным адресом кошелька @Wallet (криптовалютный кошелек и биржа в Telegram). Мы составили пример запроса к этой бирже и по итогу ответа нам предоставили информацию, что злоумышленник вывел все средства на адрес [25].
Шаг 3. Отмывание похищенных средств через централизованные сервисы
На завершающем этапе злоумышленник перевел все похищенные средства, используя транзитные адреса [22], [23], [25], на депозитные адреса бирж Binance [26] и MEXC [27]. Примечательно, что все украденные активы были консолидированы на двух депозитных адресах этих платформ.
Впоследствии на биржи были направлены запросы на предоставление информации о владельцах аккаунтов, связанных с данными адресами.
Впоследствии на биржи были направлены запросы на предоставление информации о владельцах аккаунтов, связанных с данными адресами.
На графе выделен адрес [24], обозначенный оранжевой областью. Хотя он не связан с текущим инцидентом напрямую и не участвовал в отмывании средств, этот адрес играет важную роль, поскольку связывает адреса [26] и [25]. Это автоматически включает адрес [24] в кластер адресов, связанных с деятельностью злоумышленника. Для Crypto Investigation Expert это предоставляет дополнительную точку для анализа и изучения связей злоумышленника с централизованными сервисами, что может стать важной зацепкой в расследовании.
БЛОКЧЕЙН-РАССЛЕДОВАНИЕ
Часть II: сбор дополнительных зацепок в блокчейне о злоумышленнике
Вторая часть расследования сосредоточилась на фиктивном токене, которым злоумышленник пополнил адрес жертвы [17].
В ходе анализа адреса злоумышленника [11] был обнаружен адрес [8], связанный с созданием поддельных токенов. Процесс выпуска токенов относительно прост для опытных участников рынка и требует лишь небольших затрат на оплату комиссий за взаимодействие со смарт-контрактами. Транзакции, связанные с созданием токенов, были идентифицированы через связи между адресом [8] и другими адресами [1], [6], [7], [9], [10].
Для покрытия комиссий адрес [8] использовал средства, выведенные с централизованных бирж (адреса [2], [3], [4], [5]). Эти связи предоставляют возможность направить официальные запросы на биржи с целью получения данных о владельце аккаунта, который инициировал вывод средств для реализации мошеннической схемы.
Адреса [12], [13], [14], [15], [16] принадлежат неизвестным пользователям, которые, предположительно, также являются жертвами данной схемы, но напрямую не относятся к жертве из описанного инцидента.
рекомендации Для пользователей, которые поняли, что их пытаются обмануть
Остановите транзакцию
Если вы еще не подтвердили перевод, прекратите операцию и убедитесь, что адрес получателя верный. Сравните его с официальным источником или запросите адрес у контрагента повторно.
Проверьте свое устройство
Убедитесь, что ваше устройство не заражено вредоносным ПО (например, клиппером). Используйте антивирусное программное обеспечение и регулярно обновляйте его. Особое внимание уделите программам, имеющим доступ к буферу обмена.
Проконсультируйтесь с экспертами
Если у вас остаются сомнения относительно транзакции, обратитесь за помощью в специализированные компании по блокчейн-расследованиям или к опытным пользователям.
рекомендации Для пользователей, которые уже стали жертвой схемы
Сохраните все данные
Зафиксируйте адреса, связанные с мошеннической транзакцией, хэш транзакции, дату и сумму перевода. Эти данные пригодятся для расследования.
Обратитесь к специалистам по блокчейн-расследованиям
Такие компании, как AML Crypto, могут помочь отследить путь движения средств и определить связанные с мошенником адреса, что увеличивает шансы на возврат средств.
Подача официальных заявлений
Направьте жалобу в правоохранительные органы или регуляторные органы в вашей стране. Приложите все доказательства и объясните ситуацию.
Проверьте свои устройства
Убедитесь, что ваш кошелек, устройство и учетные записи не скомпрометированы. Замените пароли и убедитесь, что приватные ключи и seed-фразы защищены.
Результат инцидента
положительный
Средства возвращены клиенту
Разоблачение схемы обмана: благодаря проведенному расследованию, была раскрыта многоступенчатая схема мошенников, включающая использование социальной инженерии, поддельных платформ и сложных методов сокрытия транзакций через транзитные адреса и централизованные биржи.
Только благодаря инструментарию и базам данных компании AML Crypto, удалось установить связь мошенников с данными биржами. Полицией при помощи нашей компании были составлены квалифицированные запросы, в ответ на которые сервисы предоставили персональные данные злоумышленников.
Идентификация ключевых адресов: в ходе расследования были установлены адреса злоумышленников, а также транзитные и депозитные адреса, связанные с централизованными биржами, что позволило направить официальные запросы для получения данных о владельцах аккаунтов.
Повышение осведомленности: инцидент послужил напоминанием о важности проверки данных при проведении транзакций, повышении кибербезопасности и внимательности пользователей при работе с криптовалютами.
Только благодаря инструментарию и базам данных компании AML Crypto, удалось установить связь мошенников с данными биржами. Полицией при помощи нашей компании были составлены квалифицированные запросы, в ответ на которые сервисы предоставили персональные данные злоумышленников.
Идентификация ключевых адресов: в ходе расследования были установлены адреса злоумышленников, а также транзитные и депозитные адреса, связанные с централизованными биржами, что позволило направить официальные запросы для получения данных о владельцах аккаунтов.
Повышение осведомленности: инцидент послужил напоминанием о важности проверки данных при проведении транзакций, повышении кибербезопасности и внимательности пользователей при работе с криптовалютами.
Смотрите также
блог
наши решения
о компании
контактный центр
блог
наши решения
о компании
контактный центр