7 шахрайських схем з криптовалютою і як вберегтись

У цій статті ми хотіли б обговорити питання безпеки та поділитися з вами відомостями  про шахрайські  схем з криптовалютою і як вберегтись від них.

Навряд чи можна зустріти людину, яка б у звичайному світі жодного разу не стикалася з шахраями — різноманітні хитрощі, дзвінки по телефону, смс про заблоковані банківські картки та багато іншого. Все це з метою отримати кошти жертви.

Ні для кого не секрет, що в кризу потік коштів у людей скорочується, одні шукають спосіб заробити, намагаючись більше і чесно працювати, інші — вигідно проінвестувати кошти, що залишилися, і треті — підловити і виманити гроші у перших двох.

Ми не обговорюватимемо в цій статті різні фінансові піраміди та стандартні випадки, притаманні звичайній фінансовій системі. На відміну від банків, криптовалюти дозволяють бути безпосереднім власником коштів, як паперові гроші у вас у гаманці, а отже вкрасти їх дещо складніше. До речі, про криптовалютні гаманці – це стосується саме некастодіальних гаманців, де ключами та seed-фразою володіє сам користувач. Детально тему гаманців ми вже розбирали у статті “Біткоїн гаманці”.

Отже, виходить, що єдиний спосіб шахраїв дістатися до ваших кровних Біткоїнів – це виманити у вас seed-фразу від гаманця. Давайте розглянемо їхні найпопулярніші хитрощі.

Фейковий саппорт сервісу

Цей спосіб є найпростішим для реалізації шахрайства, адже досить легко зробити обліковий запис користувача в Telegram або іншому месенджері, який буде схожий як дві краплі води з обліковим записом адміністратора групи. Такий фейк-користувач має ту ж аватарку, нікнейм, опис у bio і навіть такий же username, але з невеликою відмінністю.

Як все відбувається: клієнт сервісу стикаючись із труднощами або проблемою пише в загальний чат сервісу, шахрай перечитуючи повідомлення в чаті, у цей же момент з фейкового акаунту пише клієнту в особисті повідомлення під виглядом адміністратора і нібито з метою допомогти. Під приводом допомоги, різноманітних “верифікацій”, “активацій” тощо лиходій виманює у користувача його seed-фразу або приватний ключ, потім із легкістю виводить кошти з гаманця. Також шахраї можуть пропонувати різні платні унікальні функції, сервіси тощо, яких насправді не існує.

Такий спосіб насамперед розрахований на недосвідченість та неуважність користувача. Визначити справжність акаунта в складний момент на емоціях практично неможливо. Однак потрібно пам’ятати, що в сервісах, пов’язаних із коштами користувача, адміністрація ніколи не напише першою, не попросить seed-фразу або приватний ключ від гаманця, тим більше через відкриті та загальнодоступні канали зв’язку.

Наприклад, у Trustee Wallet та Trustee Plus ми організували персональну підтримку користувача, знайти яку можна у самих застосунках. Підтримувати зв’язок з користувачем також можна через push-сповіщення у них, які надсилаються персонально у разі виникнення позаштатних ситуацій.

Фішинг

Це найпоширеніший вид шахрайства. Тут у хід йдуть різноманітні засоби, починаючи від sms та email-розсилок і закінчуючи соцмережами. Основна мета – привести користувача на сайт-копію, щоб той залишив свої дані для авторизації від офіційного сайту.

Історія в цілому повторюється як і з фейк-користувачем підтримки, тільки в такому випадку повністю копіюється сайт сервісу, де відрізняється лише доменне ім’я, але з дуже незначними відмінностями від справжнього. Отримані дані зловмисник використовує для доступу до коштів на офіційному сайті під вашим виглядом.

Сучасні технології дозволяють зловмиснику дізнатися не тільки логін і пароль, а й набагато більше інформації:

• Повне ім’я жертви;
• Номер телефону;
• Адресу електронної пошти;
• Код 2FA;
• IP (включно з геолокацією);
• Браузер, який використовує жертва.

Такий набір інформації про жертву дозволяє обвести навколо пальця навіть сам сервіс (криптовалютні біржі, онлайн гаманці тощо) і його службу підтримки.

Найбільш гучні випадки з фішингом у криптовалютах були пов’язані з централізованими сервісами, проте не відзначилися і гаманець MEW (myetherwallet.com), а також децентралізована біржа EtherDelta (etherdelta.com), коли для цих сервісів були підмінені доменні імена. Тому ретельно перевіряйте доменне ім’я сервісу, перш ніж вводити свої дані для авторизації.

У таких випадках сервіси для зберігання криптовалют у вигляді застосунку, наприклад, як Trustee Wallet, мають очевидні переваги, однак і для них хакери придумали хитрощі, котрі ми розглянемо нижче.

Бонуси і ейрдропи

Як ми вже говорили вище — саме в кризу люди найбільше схильні до браку фінансових коштів, а отже варіант запропонувати бонус задарма може спрацювати… І він працює!

Безкоштовні роздачі, бонуси, раптові виграші “замилюють” око і користувач сам не помічає, як передає шахраю свою seed-фразу від гаманця або приватний ключ. Звичайно у цьому випадку шахрай повинен добре підготуватися – найчастіше це створення фейкових сайтів, профілів у соцмережах або форм з підступом.

Наведемо приклад, як намагалися скомпрометувати дані користувачів Trustee Wallet.

Під виглядом фейк-сторінки Trustee “тегають” користувача, обіцяючи чималий бонус, який необхідно забрати, заповнивши форму за посиланням.

Переходимо за посиланням та отримуємо наступну форму.

Як бачимо, сайт схожий на офіційний – корпоративні кольори, шапка сайту, дизайн, проте нас просять ввести seed-фразу від гаманця. Звичайно варто тільки ввести в це поле ваш seed і ви миттєво втратите всі кошти, що були на гаманці.

Важливо, що за жодних умов не можна передавати свою seed-фразу третім особам, у тому числі й у службу підтримки. Особливості та способи зберігання seed-фрази ми вже детально розглядали у цій статті.

Віруси, програми-злодії

Вище ми вже говорили, що використовувати мобільні гаманці безпечніше за онлайн рішення, тому що не потрібно щоразу вводити адресу сайту в браузері. Застосунок встановлюється один раз, ярлик завжди під рукою і помилитись неможливо.

Тому хакери знайшли інший спосіб, як “розвести” користувача – скрипт, який спокійно спить на вашому мобільному пристрої, ПК або в браузері до тих пір, поки не виявить в діях користувача введення (зазвичай це ctrl+c, ctrl+v) адреси гаманця у якомусь сервісі: біржа, обмінник тощо. У цей момент запускається алгоритм, який у буфері обміну замінює адресу користувача на “свою”. Як правило, така заміна залишається непоміченою  – адреси довгі, складаються з букв і цифр і частково схожі одна з одною (особливо Ethereum). У поспіху неуважний користувач відправляє свою криптовалюту на гаманець шахрая без задньої думки. Крадіжка виявляється лише через деякий час, коли транзакція вже потрапила в мережу або навіть підтвердилася. Оскільки криптовалюта децентралізована, не має центрального органу управління та її транзакції незворотні, щось робити в таких ситуаціях пізно. Для протидії подібним програмам необхідно завжди звіряти адреси після вставки, регулярно перевіряти свої гаджети антивірусними програмами та взагалі ретельно стежити за цифровою гігієною.

Гірша справа з крадіжкою seed-фраз. Прихована програма-злодій робить знімок екрана в момент, коли користувач заповнює поле введення seed-фрази. Даний знімок застосунок надсилає хакеру, що впровадив “злодія” в девайс користувача. Все! Seed-фраза скомпрометована, шахрай зачекає вдалого моменту і “вичистить” ваші баланси під 0.

Криптопил

Криптопилом називаються малі частки криптовалюти (сатоші, gwei і т.д.). Злодії переказують їх на адреси активних гаманців, а потім відстежують пересування. Ні Біткоїн, ні Ефір не є приватними  криптовалютами, тобто їх блокчейни як відкрита книга – всі транзакції доступні в блокчейн-браузерах (експлорерах). Це дозволяє відстежити абсолютно всі пересування монет і тим самим отримати цифровий слід користувача – відомості, які можуть бути використані для його ідентифікації та отримання доступу до активів.

Коли користувач встановлений, у хід йдуть фішинг, брутфорс, шахрайство чи відверте вимагання

Криптоджекінг. Прихований криптовалютний майнінг

Як такої прямої крадіжки криптовалют не відбувається, однак таким методом хакери використовують обчислювальні потужності користувачів (процесори та відеокарти) для майнінгу криптовалют. Такий метод поступово зникає, оскільки це стає нерентабельним через зростаючу складність криптовалютних мереж. Проте шахраї досі на цьому заробляють гроші.

Криптоджекінг може бути реалізований як у вигляді непомітної інтеграції майнера в операційну систему користувача, так і у вигляді коду, що вбудований у сайт, який користувач відвідує.

Як організувати захист коштів від шахраїв

Ми розглянули способи викрадення коштів у людей, які зустрічаються найчастіше. Як бачимо, більшість з них націлені на недосвідченість і неуважність користувача.

У поодиноких випадках шахраї б’ють точково  куди вигідніше організувати масштабну атаку і охопити якнайбільше користувачів, адже до першого випадку рідко хтось замислюється про безпеку своїх коштів.

Ми рекомендуємо вчитися на чужих помилках, тому будьте дуже уважні та обережні, не поспішайте!

Виконуйте низку простих правил:

1. Приймайте рішення тоді, коли вивчено всі можливі матеріали, ресурси і є повна впевненість у своїх діях. Це стосується не лише гаманців, бірж, а й участі у різних бонусних програмах, ейрдропах, ICO.
2.  Використовуйте лише ліцензійне програмне забезпечення (антивіруси, персональні міжмережеві екрани, VPN тощо), а не безкоштовні копії з торенту. Це важливо, оскільки вразливості в ПЗ можуть коштувати набагато більше, ніж ціна ліцензійного антивірусу або брандмауера.
3. Зберігайте активи на холодних криптогаманцях! Не тримайте їх на біржах. Залишайте на гарячих гаманцях тільки те, чим активно оперуєте або не боїтеся втратити.
4. Не авторизуйтеся на незнайомих пристроях. Це стосується не лише криптогаманців, а й будь-яких інших сервісів і навіть соцмереж.
5. Будьте частиною криптоспільноти. Читайте галузеві новини, відстежуйте оновлення програмного забезпечення, стежте за анонсами компаній, гаманців та бірж, якими ви користуєтеся.
6. Не використовуйте той самий пароль для доступу до різних сервісів.
7. Не забувайте, що у фінансах має бути порядок, розумна обережність та холоднокровний розрахунок.

Ми відзначили основні правила, які допоможуть вам не лише зберегти, а й примножити свої накопичення.

Якщо ви зовсім новачок у криптовалютній сфері і не маєте достатніх знань або навичок у поводженні з приватними ключами, але маєте на меті безпечно інвестувати в криптовалюти, торгувати ними та з мінімальними витратами виводити їх на банківську картку, то в цьому випадку вам слід звернути увагу на платформу цифрових фінансів Trustee Plus.

Криптовалютний гаманець Trustee Plus не тільки забезпечить найвищий рівень захисту коштів, а й захистить вас від помилок, необдуманих дій та комісійних переплат. У ньому ви зможете легко і невимушено керувати своїм криптовалютним портфелем, здійснювати обміни, купувати і продавати активи, не обтяжуючи себе пошуками обмінників в інтернеті, а значить до можливих фішингових атак і обманів різних фейкових помічників схильність знизиться ледь не до нуля.