Group-IB заблокировала 3125 фейковых групп и 158 фишинговых ресурсов блокчейн-платформы Waves Platform

В январе несколько сотен пользователей Facebook по всему миру получили уведомление, что их имена отметили на странице, якобы принадлежащей блокчейн-платформе Waves Platform. В сообщениях, написанных, как под копирку, говорились, что им невероятно повезло — они стали победителями конкурса и получат бонус в 20 монет Waves и 1 Ethereum. Тут же — ссылка, по которой надо перейти, чтобы получить приз — около $ 1200. Никакого бонуса на самом деле не было — это была масштабная фишинговая атака.

Долгое время интернет-мошенники использовали фишинг в соцсетях для получения данных банковских карт, логинов и паролей онлайн-кабинетов клиентов банков, но последнее время под ударом оказались проекты, выходящие на ICO, трейдеры, крипто-энтузиасты и другие владельцы криптовалют. Выбирают тех, у кого много френдов или большое влияние на аудиторию. По данным Group-IB, на долю фишинга приходится более 50% всех криптоатак, крупная фишинговая группировка похищает от $30,000 до $1,500,000 в месяц.

Одна из схем выглядит так. Мошенники создают в Facebook страницы-клоны популярных криптосообществ, полностью используя название бренда (отличие может быть в одной букве или знаке). В случае с Waves появлялись страницы-клоны WavesPlatform или Waves Walled Security, на которых были упомянуты реальные люди и их фотографии. Посты примерно такие:

В итоге, когда заинтересованный пользователь заходит на фишинговый сайт, и вписывает свой уникальный идентификатор типа пароль SEED, то с его кошелька выводят деньги.

Эти сообщения — наглядный пример использования социальной инженерии. Подобные вирусные рассылки с обещанием подарков, бонусов — в соцсетях довольно распространенное явление. Под влиянием «халявы» и лайков френдов — подобные вирусные посты активно шерят коллеги, друзья и знакомые — человек переходит на фишинговый сайт, где вводит персональную информацию, данные банковской карты, пароли, ключи от кошельков итд.

Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется «cпуфинг» (англ. spoofing — обман, мистификация). Летом 2017 года, чтобы нагнать траффик, мошенники уже отработанную схему “подарка” с использованием брендов известных авиакомпаний: “Lufthansa дарит два билета!”. Отличие было в том, что в случае с Waves пользователь не должен был отвечать на вопросы и лично репостить сообщение — все это происходило в автоматическом режиме без его участия. Ежедневно создавались десятки фейковых аккаунтов Waves.

В январе 2018 года после волны фишинговых атак в соцсетях представители Waves, обеспокоившись безопасностью своего комьюнити, обратились в Group-IB. Group-IB заблокировала 158 фишинговых ресурса, 3125 фейковых групп и аккаунтов в социальных сетях. Большинство фишинговых ресурсов заблокированы в течение 24 часов.

Тотальную зачистку “страниц-клонов” заметили и сами мошенники. После того, как Group-IB стала защищать Waves Platform, жулики сменили тактику и сами стали использовать еще одно объявление, предупреждающее о мошенничестве:

В ближайшее время, по нашим прогнозам, мошеннические фишинг-схемы с использованием крипто-брендов будут усложняться. Уровень подготовки к фишинговым атакам также будет расти, все большее распространение получит автоматизация фишинга и использование готовых фишинг-наборов (Phishing-kits), в частности, для атак на ICO. «Поскольку мы уже не первый год видим подобные атаки, инструменты и схемы в других отраслях, прежде всего, в финансовом секторе, мы способны эффективно отбивать такие атаки и в криптоиндустрии. Тем не менее, не лишним будет напомнить основные правила безопасности.

Руслан Юсуфов

Директор специальных проектов Group-IB