vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Благодаря игре Hamster Kombat майнить криптовалюту начали даже дети. На август 2024 года 300 миллионов человек — это в два раза больше населения России. Неопытные пользователи быстро увлекаются криптовалютой и идут с вопросами в тематические телеграм-чаты, где под видом дружелюбных экспертов их встречают мошенники.
Мы часто обсуждаем новые фишинговые атаки с коллегами из ИБ-отделов крупных компаний. Обычно к нам приходят за рекомендациями или описанием мошеннических схем, но в этот раз нам предложили вместе провести расследование и подыграть одному из таких криптомошенников на Binance. Кто же от такого откажется?
Рассказываем, как работает новая схема фишинга на криптобиржах, как мы вычислили мошенника и сколько потратили денег. В конце дадим советы, как защитить свой кошелек и не попасться на злоумышленников на биржах.
Чтобы сохранить анонимность, будем называть коллегу другим именем и изменим некоторые детали истории.
Как-то раз у эксперта ИБ финансовой организации Саши возникли сложности с доступом на одну из криптобирж. Он пошел в профильный телеграм-чат и заметил, что там много вопросов от новичков, пришедших из игры Hamster Kombat. А еще в первый же день наткнулся на мошенников.
Если вдруг вы не знаете, что такое Hamster Kombat
Это игра в Телеграме, где участники управляют виртуальным хомяком в роли директора криптобиржи. Игроки зарабатывают монеты, кликая на экран. Еще игра выпускает ежедневные шифры в виде азбуки Морзе — если его разгадать и правильно «натапать», можно получить миллион монет.
Создатели обещают, что виртуальные монеты в будущем можно будет обменять на цифровые токены, а затем на другие криптовалюты. На официальную страницу игры в Телеграме подписаны 53 миллиона человек.
Саша задумался — что, если разработчики игры не просто создали очередной таймкиллер, а нечаянно открыли портал в мир криптофишинга для 300 миллионов людей, большая часть из которых придут на биржу с нулевыми знаниями о криптовалюте.
Что провоцирует людей поддаваться мошенникам
Смотрите сами: приложение играет на чувстве жадности, подталкивает приглашать друзей, ежедневно подкармливает азарт с помощью шифров, при этом максимально упрощая процесс «заработка» — все это неплохие условия для снижения критики. В какой-то момент «хомяка» кажется мало, и человек идет в чаты за советом опытных криптоинвесторов. И верит им.
Мошенники «приходят на помощь» новичкам под видом знатоков
Когда Саша задал в телеграм-чате биржи вопрос о доступе, ему ответили 20 человек. Из них самым подозрительным оказался один. Его зовут Никита, он живет в Москве, часто летает в Дубай, любит кататься на сапах и зарабатывать миллионы на крипте. По крайней мере, он так рассказывал в пространных голосовых сообщениях.Никита действительно помог Саше с доступом на биржу, но при этом настойчиво заманивал зарегистрироваться на Binance. Якобы его хороший друг из США — премиальный участник Binance — может участвовать в эйрдропах еще до начала торговли токена на бирже. По словам Никиты, на этом можно спокойно зарабатывать тысячи долларов — в доказательство он присылал правдоподобные скриншоты из кошелька.
Какая польза от этого Никите? Легенда гласит, что от каждого нового заведенного инвестора он получает реферальные выплаты — поэтому он так заинтересован.
Итак, что нужно для участия:
- кошелек на Binance Smart Chain;
- возможность постоянно вкладывать от 50 долларов в виде USDT;
- немного Binance Coin (BN
для транзакций; - электронная почта в Gmail (позже объясним, почему другие ящики не подходят).
Никита великодушно помог Саше зарегистрироваться на бирже и настроить криптокошелек Trust Wallet
На этом моменте к игре подключаемся мы и начинаем разворачивать схему.
Схема развода на бирже Binance
Никита подключил Сашу к закрытому эйрдропу нового токена на Binance.US и сказал ждать письма от биржи.Теперь разбираем схему мошенников по шагам.
Шаг 1. Отправка фишингового письма
Фишинговое письмо имитирует приглашение от Binance
В мобильном приложении все выглядит убедительно: адрес совпадает с адресом, рекомендованным для добавления в белые списки на .
В браузере можно увидеть подозрительный хост в поле отправителя в формате Oxqhnfrmeuyyp58.click.
Фишинговое письмо спокойно проходит почтовые фильтры
Даже у Gmail — одной из самых больших почтовых систем — есть проблемы в безопасности.
Лог письма от Никиты
Для автоматизации рассылок мошенники используют вредоносный SaaS-сервис . Они разворачивают свой почтовый сервер, настраивают SPF-запись и спокойно проходят DMARC-защиту Gmail — письма попадают не в спам, а во входящие. При таких настройках в поле отправителя отображается легитимный адрес.
Шаг 2. Подключение смарт-контракта
В письме расписана схема подключения смарт-контракта и авторизации в Binance Verify DeFi.
По инструкции мы добавили токены в кошелек и пошли на сайт подтверждаться по вредоносной ссылке:
Авторизоваться нужно с помощью кошелька, идем:
Выбираем Trust Wallet или WalletConnect и подключаемся через криптокошелек.
Получаем уведомление о подключении смарт-контракта и подписываемся на скам.
Подтверждаем!
Успех! Только что мы отдали мошенникам полный доступ к нашему кошельку.
Мы не удержались и выяснили IP-адрес Никиты. Результат — в главе «Итог расследования».
Шаг 3. Угон токенов
С кошелька списываются USDT и начисляются два новых токена и эйрдропа — реальный и фейковый.
Во время эйрдропа Саша получал одинаковые письма после каждого списания, три основных пункта в них:
- уведомление о повышении аллокации — якобы она гарантирует больший процент вознаграждения с каждого нового пополнения USDT;
- запрос на Token Approval — этой функцией пользователь другому контракту управлять токенами в кошельке. Мошенники таким способом получают возможность без подтверждения списывать токены с кошелька жертвы.
- инструкция, как внести еще деньги, и информация о новом размере процента вознаграждения — это мотивируют жертву вкладывать в платформу больше денег и пополнять кошелек до завершения эйрдропа.
Затем токены уходят на откуда, достигнув определенных сумм, мошенники отправляют деньги дальше:
Но это еще не все.
Шаг 4. Блокировка аккаунта и вымогание денег
Когда у Никиты в кошельке оказалось достаточно денег, он заманил Сашу на финальный эйрдроп — после него аккаунт Саши заблокировали.На почту приходит письмо, где говорится, что Binance подверг операции сомнению, и для подтверждения аккаунта и вывода средств необходимо пополнить кошелек на 2000 USDT.
Фишинговое письмо о блокировке
Все это время Саша искал жертв подобных схем и нашел одного из них в чате биржи Bybit. Это был работник почтовой службы, который искал быстрый заработок. Он попался на очередного «Никиту» — пополнил кошелек на 100 долларов и удачно поучаствовал в эйрдропе. Потом взял максимальный кредит, который одобрил банк, вложился в новый эйрдроп и после его завершения получил письмо о блокировке аккаунта. Дальше второй кредит для разблокировки и новая блокировка. А потом горькое осознание.
Класть на счет 2000 USDT мы, конечно, не стали. Саша сослался на задержку зарплаты и в целом разочарование в крипте, чем сильно разозлил Никиту. Мошенник закончил разговор фразой «ну и живи в бедности».
Как закрыть мошенникам доступ к кошельку Binance Smart Chain
Если посмотреть историю транзакций по токенам в кошельке, можно найти смарт-контракты, которые дают другим людям доступ к вашему кошельку:
Нажмите на кнопку View on block explorer, чтобы перейти на сайт — здесь хранится вся информация о транзакции.
На сайте транзакция будет выглядеть так:
По ссылке можно посмотреть, кому и что вы разрешали, и отменить разрешения.
Если в кошельке этих данных нет, их можно найти на странице .
1. Введите свой номер кошелька и нажмите на кнопку поиска.
2. Привяжите свой кошелек через QR-код к сайту по кнопке Connect to Web3.
3. Запустите операцию отмены через кнопку Revoke и подтвердите ее в кошельке.
Мы проделали все это с аккаунтом Саши и отозвали разрешения. Было рискованно, но в итоге на расследование мы потратили 0 долларов.
Итог расследования
Через какое-то время аккаунт Никиты заметил автоматический мониторинг Binance и пометил его смарт-контракт как фишинговый. Но ничего не мешает ему зарегистрироваться еще раз и продолжить разводить людей.
Сам мошенник оказался совсем не из Москвы и даже не из Дубая.
Создатели игры Hamster Kombat , что их миссия — привлечь в игру 1 миллиард пользователей. Учитывая простоту входа в криптосообщества через игру в Телеграме, можно только представить, сколько еще жертв столкнутся с «дружелюбными экспертами» в чатах и потеряют сотни тысяч рублей.
В своих постах разработчики обращаются к игрокам «дорогие CEO» — этим они создают ложное ощущение успешности и статусности у простых людей. Это же ощущение подкрепляют и мошенники, закидывая новичков историями о богатой жизни, перспективе навсегда уйти из найма и обеспечить семью.
Чек-лист: как защититься от мошенничества на криптобиржах
- Не доверяйте незнакомым людям, которые необоснованно заинтересованы в вашем успехе. Если вам говорят о легких схемах заработка, богатых знакомых, у которых «все получилось» и постоянно подталкивают пополнить кошелек на новую сумму — скорее всего, перед вами мошенник.
- Не доверяйте «эксклюзивным» активностям на бирже. Вам предлагают участие в закрытых эйрдропах или акциях «для своих», особенно если для этого требуется ввести личные данные или дать доступ к кошельку.
- Проверяйте источники писем. Фишинговые письма могут выглядеть как официальные, но если развернуть письмо в веб-версии, всегда можно увидеть подозрительные следы: название хоста из набора букв и цифр или отличающиеся доменные имена на один символ.
- Проверяйте разрешения на доступ к токенам. Регулярно проверяйте и отзывайте разрешения на доступ к вашим токенам на сайтах вроде .
- Будьте внимательны к запросам на пополнение кошелька. Никогда не отправляйте деньги в ответ на запросы, связанные с блокировкой аккаунта или подтверждением транзакций, которые пришли из непроверенных источников.
