7 мошеннических схем с криптовалютой — как обезопасить себя!

В этой статье мы бы хотели обсудить вопросы безопасности и поделиться с вами сведениями, об уловках, которые используют мошенники в криптовалютах в надежде добраться до Ваших средств. Покажем вам 7 распрастранных мошеннические схемы с криптовалютой!

Вряд ли можно встретить человека, который бы в обычном мире ни разу не сталкивался с мошенниками — различного рода хитрости, звонки по телефону, смс о заблокированных банковских картах и многое другое. Все это с целью заполучить денежные средства жертвы.

Ни для кого не секрет, что в кризис поток денежных средств у людей сокращается, одни ищут способ заработать, пытаясь больше и честно работать, другие — выгодно проинвестировать оставшиеся средства и третьи — подловить и выманить деньги у первых двух.

Мы не будем обсуждать в этой статье разные финансовые пирамиды и стандартные случаи присущие обычной финансовой системе. В отличии от банков — криптовалюты позволяют быть непосредственным владельцем средств, как бумажные деньги у вас в кошельке, а значит украсть их несколько сложнее. К слову, о криптовалютных кошельках — это касается именно некастодиальных кошельков, где ключами и seed-фразой владеет сам пользователь. Детально тему кошельков мы уже разбирали в статье “Биткоин кошельки”.

И так, выходит, что единственный способ добраться мошенникам до ваших кровных битков — это выманить у вас seed-фразу от кошелька. Давайте рассмотрим самые популярные уловки мошенников.

Фейковый саппорт сервиса

Данный способ самый простой для реализации мошенничества, ведь достаточно легко сделать аккаунт пользователя в Telegram или другом мессенджере, который будет похож как две капли воды с аккаунтом администратора группы. Такой фейк-пользователь имеет ту же аватарку, никнейм, описание в bio и даже такой же Username, но с небольшим отличием.

Как все происходит: клиент сервиса сталкиваясь с трудностью или проблемой пишет в общий чат сервиса, мошенник перечитывая сообщения в чате, в этот же момент с фейк-пользователя пишет клиенту в личные сообщения под видом администратора и якобы с целью помочь. Под предлогом помощи, различного рода “верификаций”, “активаций” и т.п. злодей выманивает у пользователя его seed-фразу или приватный ключ, затем благополучно выводит средства с кошелька. Также мошенники могут предлагать разные платные уникальные функции, сервисы и др., которых на самом деле не существует.

Такой способ в первую очередь рассчитан на неопытность и невнимательность пользователя. И действительно, определить подлинность аккаунта в сложный момент на эмоциях практически невозможно. Однако, нужно помнить, что в сервисах связанных со средствами пользователя администрация никогда не напишет первой, не попросит seed-фразу или приватный ключ от кошелька, тем более через открытые и общедоступные каналы связи.

Например, в Trustee Wallet и Trustee Plus мы организовали персональную поддержку пользователя, найти которую можно в самом приложении. Поддерживать связь с пользователем также можно через Push-уведомления в самом приложении, которые отправляются персонально в случае возникновения внештатных ситуаций.

Фишинг

Это наиболее часто встречающийся вид мошенничества. Тут в ход идут всевозможные средства, начиная от смс и email-рассылок и заканчивая соц. сетями. Основная цель — привести пользователя на сайт-копию, чтобы тот оставил там свои данные для авторизации от официального сайта.

История в целом повторяется как и с фейк-пользователем поддержки, только в данном случае копируется полностью сайт сервиса, где отличается лишь доменное имя, но очень незначительно. Полученные данные злоумышленник использует для доступа к средствам на официальном сайте под вашим видом.

Современные технологии позволяют злоумышленнику узнать не только логин и пароль, но и куда больше информации:

• Полное имя жертвы;
• Номер телефона;
• Адрес электронной почты;
• Код 2FA;
• IP (включая геолокацию);
• Браузер, который использует жертва.
• Такой набор информации о жертве позволяет обвести вокруг пальца даже сам сервис (криптовалютные биржи, онлайн кошельки и т.п.) и его службу поддержки.

Наиболее громкие случае с фишингом в криптовалютах были связаны с централизованными сервисами, однако, не отличились и кошелек MEW (myetherwallet.com), а также децентрализированная биржа EtherDelta (etherdelta.com), когда для этих сервисов были подменены доменные имена. Поэтому тщательно проверяйте доменное имя сервиса перед тем как вводить свои данные для авторизации.

В таких случаях сервисы для хранения криптовалют в виде приложения, например, как Trustee Wallet, имеют очевидные преимущества, однако, и для них хакеры придумали уловки, их мы рассмотрим ниже.

Бонусы и Эйрдропы

Как мы уже говорили выше — именно в кризис люди больше всего подвержены недостатку финансовых средств, а значит вариант предложить бонус на “халяву” может сработать… И он работает!

Бесплатные раздачи, бонусы, внезапные выигрыши “замыливают” глаз и пользователь сам не замечает как передает мошеннику свою seed-фразу от кошелька или приватный ключ. Конечно, в данном случае мошенник должен хорошо подготовиться, зачастую это создание фейковых сайтов, профилей в соц. сетях или форм с подвохом.

Приведем пример, как пытались скомпрометировать данные пользователей Trustee Wallet.

Под видом фейк-страницы Trustee “тэгают” пользователя обещая немалый бонус, который необходимо забрать заполнив форму по ссылке.

Проходим по ссылке и получаем следующую форму.

Как видим, сайт похож на официальный — корпоративные цвета шапка сайта, дизайн, однако, нас просят ввести seed-фразу от кошелька. Естественно, стоит ввести в это поле ваш seed и вы мгновенно лишитесь всех средств, что были на кошельке.

Важно отметить, что ни при каких условиях нельзя передавать свою seed-фразу третьим лицам, в том числе и в службу поддержки. Особенности и способы хранения seed-фразы мы уже детально рассматривали в этой статье.

Вирусы, приложения-воры

Выше мы уже говорили, что использовать приложения-кошельки безопаснее чем онлайн решения, так как не нужно каждый раз вводить адрес сайта в браузере. Приложение устанавливается один раз, ярлык всегда под рукой и ошибиться невозможно.

Поэтому хакеры нашли другой способ, как “развести” пользователя — скрипт, который спокойно дремлет на вашем мобильном устройстве, ПК или в браузере до тех пор, пока не обнаружит в действиях пользователя ввод (обычно, это ctrl+c, ctrl+v) адреса кошелька в каком-нибудь сервисе: биржа, обменник и т.п. В этот момент запускается алгоритм, который в буфере обмена подменяет адрес пользователя на “свой”. Обычно, такая подмена не замечается — адреса длинные, состоят из букв и цифр и частично схожи друг с другом (особенно у Ethereum). В спешке невнимательный юзер отправляет свою криптовалюту на кошелек мошенника без задней мысли. Кража обнаруживается лишь некоторое время спустя, когда транзакция уже попала в сеть или даже подтвердилась. Поскольку криптовалюта децентрализована, не имеет центрального органа управления и ее транзакции необратимы, то что-либо предпринимать в таких ситуациях поздно. Для противодействия подобным программам необходимо всегда сверять адреса после вставки, регулярно проверять свои гаджеты антивирусными программами и вообще, тщательно следить за цифровой гигиеной.

Хуже дело обстоит с кражей seed-фраз. Скрытое приложение-вор делает снимок экрана в момент, когда пользователь заполняет поле ввода seed-фразы. Данный снимок приложение отсылает хакеру, внедрившему “вора” в девайс пользователя. Все! Seed-фраза скомпрометирована, мошенник выждет момент и “вычистит” ваши балансы под 0.

Криптопыль

Криптопылью называются малые доли криптовалюты (сатоши, gwei и т.д.). Злодеи переводят их на адреса активных кошельков, а затем отслеживают передвижения. Ни биткоин, ни эфир не является приватной криптовалютой, т.е. их блокчейны как открытая книга — все транзакции доступны в блокчейн-обозревателях (эксплорерах). Это позволяет отследить абсолютно все передвижения монет и тем самым получить цифровой след пользователя — те сведения, которые могут быть использованы для его идентификации и получения доступа к активам.

Когда пользователь установлен, в ход идут фишинг, брутфорс, мошенничество или откровенное вымогательство.

Криптоджекинг. Скрытый криптовалютный майнинг

Как таковой прямой кражи криптовалют не происходит, однако, таким методом  хакеры, используют вычислительные мощности пользователей (процессоры и видеокарты) для майнинга криптовалют. Такой метод постепенно сходит на нет, так как это становится нерентабельно из-за возрастающей сложности криптовалютных сетей. Тем не менее, мошенники до сих пор на этом зарабатывают деньги.
Криптоджекинг может быть реализован как в виде незаметной интеграции майнера в операционную систему пользователя, так и в виде кода, встроенного в сайт, который пользователь посещает. 

Как организовать защиту средств от мошенников

Мы рассмотрели наиболее часто встречающиеся способы похищения средств у людей, как видно, большинство из них нацелены на неопытность и невнимательность пользователя.

В редких случаях мошенники бьют точечно, куда выгоднее организовать масштабную атаку и охватить как можно больше пользователей, ведь до первого случая редко кто задумывается о безопасности своих средств.

Мы рекомендуем учиться на чужих ошибках, поэтому будьте предельно внимательны и осторожны, не торопитесь!

Выполняйте ряд простых правил:

1. Принимайте решения тогда, когда изучены все возможные материалы, ресурсы и есть полная уверенность в своих действиях. Это касается не только кошельков, бирж, но и участия в различных бонусных программах, эйрдропах, ICO.
2. Используйте только лицензионное программное обеспечение (антивирусы, персональные межсетевые экраны, VPN и т.п.), а не его бесплатными копиями с торрента. Это важно, так как уязвимости в ПО могут стоить вам гораздо больше, чем цена лицензионного антивируса или брандмауэра.
3. Храните активы на “холодных” криптокошельках! Не держите их на биржах. Оставляйте на “горячих” кошельках только то, чем активно оперируете или не боитесь потерять.
4. Не авторизуйтесь на незнакомых устройствах. Это касается не только криптокошельков, но и любых других сервисов и даже соцсетей.
5. Будьте частью криптосообщества. Читайте отраслевые новости, отслеживайте обновления ПО, следите за анонсами компаний, кошельков и бирж, которыми вы пользуетесь.
6. Не используйте один и тот же пароль для доступа к разным сервисам.
7. Не забывайте, что в финансах должен быть порядок, разумная осторожность и хладнокровный расчет.
8. Мы отметили основные правила, которые помогут вам не только сохранить, но и приумножить свои накопления.

Если Вы совсем новичок в криптовалютной сфере и не обладаете достаточными познаниями или навыками в обращении с приватными ключами, но имеете цель безопасно инвестировать в криптовалюты, торговать ими и с минимальными затратами выводить их на банковскую карту, то в этом случае Вам следует обратить внимание на платформу цифровых финансов Trustee Plus.

Криптовалютный кошелек Trustee Plus не только обеспечит высочайший уровень защиты средств, но и убережет Вас от ошибок, необдуманных действий и комиссионных переплат. В нем Вы сможете легко и непринужденно управлять своим криптовалютным портфелем, совершать обмены, покупать и продавать активы не утруждая себя поисками обменников в интернете, а значит в значительно меньшей мере будете подвержены возможным фишинговым атакам и обманам различных фейковых помощников.