Крипту крадут миллиардами
По данным команды Atlas VPN, в 2022 г. произошел 301 инцидент, связанный с атаками на blockchain, против 237 годом раннее. Рост составил 27%. Всего злоумышленники украли криптоактивов на более чем $3,5 млрд. По мнению специалиста по безопасности распределенных реестров Positive Technologies Игоря Агиевича, данная оценка адекватна и близка к той, которую приводят другие аналитики, в частности, и .
Главный технологический эксперт "Лаборатории Касперского" Александр Гостев считает, что корректность исследований, связанных со стоимостью блокчейн-активов, довольно сложно оценивать, так как многое зависит от курса, актуального на тот или иной момент: "В случае громких инцидентов или других событий, способствующих информационному хайпу, стоимость криптовалюты взлетает, затем может упасть. Поэтому сумма $3,5 млрд или любая другая оценочная стоимость не означают, что столько заработали злоумышленники. Более корректно оценивать количество атак, смотреть, были ли уязвимости в протоколе либо взлом биржи или других крупных владельцев блокчейн-активов. Если оценивать с такой точки зрения, то мы не видим значительного роста атак. В 2022 г. их было меньше, чем в 2021 г. В первую очередь это связано с обвалом стоимости криптовалют, а также с действиями государственных структур по регулированию этой сферы. На данный момент можно говорить о второй стадии криптозимы - первая была в 2018-2019 гг. В связи с этим интерес злоумышленников к наживе на криптоактивах упал. Более того, мы не прогнозируем рост атак в 2023 г.".
При этом падение основных криптовалют весной 2022 г. незначительно повлияло на динамику рынка, хотя во второй половине года инцидентов было все же меньше. И в целом наибольший "улов" - $1,2 млрд - злоумышленники получили в I квартале. "По мере того, как технология blockchain становится все более распространенной, возможность получения прибыли от взлома этих систем становится еще более значительной. Мы можем ожидать дальнейшего увеличения количества попыток взлома, нацеленных на эти системы ", - такой вывод делают авторы исследования.
Руководитель центра мониторинга и реагирования на инциденты информационной безопасности Group-IB (CERT-GIB 24/7) Ярослав Каргалёв, наоборот, считает, что одна из причин, связанная с ростом количества мошенничества с блокчейн-активами, - нестабильная ситуация на рынке криптовалют: "Некоторые держатели криптоактивов пытаются всеми способами сохранить средства и делают ставку на рискованные или сомнительные операции. Мошенники этим активно пользуются - запускают фиктивные проекты, якобы позволяющие не просто сохранить, но значительно увеличить капитал".
Как отмечают авторы исследования, наиболее результативными были атаки на blockchain-мосты. В ходе 16 инцидентов злоумышленники завладели активами на более чем $1,2 млрд. При этом половина данной суммы украдена в ходе одного эпизода атаки на Ronin Networks. Злоумышленники воспользовались обнаруженной в феврале уязвимостью в службе Ronin Bridge.
Также интенсивными были атаки на сеть криптобиржи Binance (экосистема BSC). В ходе 76 эпизодов злоумышленники завладели $870 млн. Причем в ходе наиболее результативной атаки, произошедшей в октябре 2022 г., похищено $587 млн. На третьем месте были атаки на экосистему криптовалюты Ethereum, однако разрыв с BSC был небольшим.
По оценке Игоря Агиевича, в целом среди методов краж лидерами остаются целенаправленные взломы протоколов: "Этому способствует то, что исходные коды протоколов для анализа доступны всем, в том числе и злоумышленникам. Если говорить о количестве украденных активов из-за взломов, на первом месте взлом кросс-чейн-решений - они же мосты, то есть протоколы взаимодействия между разными блокчейнами: в 2022 г. украденных активов у таких решений стало почти в два раза больше, чем в 2021-м. Также актуальной остается рассылка фишинговых сообщений и мошеннические схемы. Широкое распространение получило мошенничество с эирдропами (airdrop): на электронную почту приходят фейковые сообщения о бесплатной раздаче криптовалют, токенов или NFT. Такой способ раздачи активов за выполнение пользователями определенных действий популярен у криптовалютных стартапов в момент запуска. Злоумышленники, как и всегда, используют актуальную тему в своих целях. Под видом бесплатных NFT-токенов и виртуальных коллекционных предметов они также рассылают вредоносное ПО".
Руководитель отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Константин Мельников обращает внимание, что мошенники используют и такой проверенный инструмент, как вредоносное ПО (ВПО): "Стиллеры (ВПО, направленное на кражу паролей), грабберы (ВПО, направленное на сбор файлов из директорий компьютера) и клипперы (ВПО, направленное на подстановку кошелька мошенника взамен кошелька жертвы при проведении транзакции) никто не отменял, они постоянно обновляются и совершенствуются. Однако стоит отметить, что, помимо неопытных юзеров, существуют и неопытные мошенники, которые оставляют свой цифровой след. Предыдущий год по сравнению с 2020 г. и 2021 г., с учетом востребованности и развития активов, стал более прогрессивным в рамках расследования инцидентов мошеннической активности в данной сфере".
По мнению Ярослава Каргалёва, серьезной проблемой остается скам (продажа малоизвестных токенов), причем такого рода аферы распространены и в России: "Глобальные тренды криптоскама наиболее заметны на примере популярной мошеннической схемы Fake Crypto Giveaway (FCG). Хотя схема с промосайтами двойной выплаты - "волшебными кошельками" - и фейковыми стримами существует уже достаточно давно, за последнее время значительно изменился как масштаб, так и сам подход к ее осуществлению. В 2022 г. Group-IB зафиксировала пятикратный рост размеров мошеннической инфраструктуры для криптоаферы FCG. Рост регистраций доменных имен под мошеннические промосайты составил более чем 355% по сравнению со всем 2021 г. В 2022 г. нам попадались мошеннические объявления, в том числе рассчитанные на русскоязычных пользователей, где мошенники предлагали перевести криптовалюту на благотворительность или помощь беженцам". Также, по мнению эксперта Group-IB, злоумышленники широко используют и ВПО, прежде всего инфостилеры, ориентированные на кражу информации.
Важно отметить, что авторы исследования не включили в перечень инцидентов крах криптобиржи FTX, в ходе которого потеряно $8 млрд. При этом прокурор Манхэттена Дэмиан Уильямс назвал деятельность менеджмента FTX "одной из крупнейших финансовых махинаций в американской истории".
Александр Гостев считает такого рода инциденты главной угрозой для держателей криптоактивов: "На данный момент наибольшую угрозу для пользователей представляют громкие случаи мошенничества с криптовалютой со стороны держателей крупных активов или организаторов криптобизнеса. К примеру, сейчас в США идет дело о потенциальных нарушениях при банкротстве биржи FTX. И это не единственный случай".
"Зафиксирован первый случай успешного взлома криптомата. Атаку провели через интернет: злоумышленники проэксплуатировали уязвимость нулевого дня в устройствах General Bytes, второго по величине производителя криптоматов в мире, - обращает внимание Игорь Агиевич. - Также в 2022 г. явно трендовой была атака, связанная с перенаправлением пользователей на подконтрольный злоумышленнику сервер при переходе на легитимный сайт проекта. При этом даже сертификат доменного имени помечался браузером, как легитимный".
В России мошенники обычно используют схемы, которые применяет традиционная преступность. Директор фонда "За права заемщиков" и координатор платформы "Мошеловка" Евгения Лазарева так охарактеризовала появившуюся в апреле схему, когда злоумышленники под будущие бонусы заманивали доверчивых пользователей пополнять их криптовалютные кошельки: "Это опять же известная схема со времен наперсточников у вокзалов и на рынках из 90-х - чтобы получить условный приз, нужно немножко заплатить. Потом попросят доплатить еще и еще, чтобы увеличить шансы на победу. А потом организаторы растворяются вместе с призом и деньгами жертвы". Мошенники эксплуатировали неудачный проект Павла Дурова с платформой TON, который закрыт в мае 2020 г.
Как отмечает аналитик отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Максим Грязев, мошенники успешно пользуются тем, что ежедневно в сферу криптовалют и цифровых активов приходит много неопытных пользователей, которые начинают вкладывать в бизнес свои средства: "Не имея должного опыта, они натыкаются на банальный скам и теряют свои активы. Основной метод криптомошенников - подключение сторонних сайтов/программ к браузеру, так как криптокошелек в основном - это расширение в браузере. Через подобные сторонние ресурсы преступники могут получить доступ к электронному кошельку юзера и производить с его активами любые действия".
Темы криптовалют активно эксплуатируют создатели финансовых пирамид. Среди выявленных российским Центральным банком компаний, имеющих признаки финансовых пирамид, с середины 2021 г., около 56% используют криптовалютные схемы. Организаторы заманивают новых участников обещаниями сверхвысоких доходов, но используют классическую схему Понци, когда доходы вложивших средства раньше обеспечиваются за счет тех, кто присоединился позже. По итогам первой половины 2022 г., по данным Банка России, рост количества финансовых пирамид был трехкратным. Ущерб от их деятельности, по предварительным данным, составил 10-12 млрд руб.
Надо отметить, что криптопирамиды не являются сугубо российской спецификой. Так, в августе Комиссия по ценным бумагам США обвинила 11 человек в обмане инвесторов при продвижении финансовой пирамиды Forsage на $300 млн. Число пострадавших по всему миру измеряется сотнями тысяч.
Также злоумышленники, в том числе и в России, активно начали осваивать схемы с использованием невзаимозаменяемых токенов (NFT). "Новая тенденция мошенников конца 2022 г. - начала 2023 г. - отправление блокчейн-активов жертве, которые она должна лично принять. После этого злоумышленник получает огромное количество информации о данных пользователя. Так, активно развивается в криптовалюте скам, в большинстве случаев - скам на NFT. Это работает не только в России, но и по всему миру. Например, злоумышленник создает скам-ссылку на покупку NFT-картинки, доверчивый пользователь переходит на нее, вводит данные своего кошелька и теряет активы, - предупреждает Максим Грязев. - Пользуется популярностью и создание фейковых аккаунтов на разных площадках - например, в мессенджере Discrod или соцсети Twitter. Фейк-аккаунты подделывают под какой-то проект или девелопера, а далее через них "счастливчикам" массово рассылают якобы выгодные для них предложения. Выполняя указания мошенников, юзеры сами дают доступ к своим кошелькам. Кстати, с появившейся в Twitter возможностью купить галочку, люди активно начали создавать фейки с названиями громких проектов и вбрасывать недостоверную информацию из серии "купи картинку - заработай миллион". На этой схеме злоумышленники неплохо заработали в середине 2022 г.".
Как показало исследование "Криптовалюты и криптобиржи. Майнинг: судебная практика и ключевые аспекты", которое провела компания RTM Group по итогам анализа дел, рассмотренных российскими судами в 2021 г., количество разбирательств, связанных с майнингом, криптобиржами и криптовалютой, достигло 1531 против 1086 годом раннее. Более 60% этих разбирательств связано с уголовными делами. Как отмечается в исследовании, наиболее часто криптовалюты фигурировали в процессах по преступлениям, связанным с наркотиками, легализацией доходов, полученных преступным путем, а также организацией азартных игр. Кроме того, довольно широко распространенно мошенничество с использованием криптовалют. По оценке вице-президента Ассоциации банков России Анатолия Козлачкова, до суда доходит около 50 такого рода дел за год.
https://www.comnews.ru/content/220715/2022-06-15/2022-w24/kripta-vse-chasche-kriminalnykh-svodkakh
В 2022 г. инвестиции в криптоактивы стали использовать в своих целях и телефонные мошенники. "Сценарии атак изменились в соответствии с актуальной информационной повесткой. Это прежде всего санкции, ограничение доступа банков к платежной системе SWIFT и различные предложения об инвестициях в криптовалюту для сохранения денег. Как и прежде, мошенники целятся в обычных граждан, у которых есть счет в банке, используя их естественное желание сберечь накопления в условиях инфляции и нестабильной международной обстановки", - такими видит изменения в сценариях работы аферистов директор ООО "Антифишинг" Сергей Волдохин. При этом криптовалюты, как отметил директор по развитию направления "Кибербезопасность для населения" "РТК-Солар" Олег Седов, телефонные мошенники используют для вывода украденных у российских граждан денежных средств, в том числе и криптовалюты.
Однако, по мнению Александра Гостева, в России запрещен оборот криптовалюты внутри страны, и именно за ее пределами россияне составляют довольно значительную долю владельцев криптовалюты: "В связи с этим характерный момент заключается в том, что пострадавший пользователь вряд ли будет обращаться в правоохранительные органы РФ и защиту, вероятнее всего, будет искать в других странах у зарубежных адвокатов. Но все эти случаи не афишируются".
По оценке Ярослава Каргалёва, для краж криптоактивов активно используется фишинг, и имеет место явная тенденция к росту, как в России, так и в мире: "Мы видим рост фишинговых ресурсов, нацеленных на кражу криптовалютных кошельков. По нашей статистике, в 2022 г. 4,6% от общего количества фишинговых сайтов были нацелены на криптокошельки, а в середине 2021 г. они составляли только 1,4%. Все больше стран легализуют или запускают свои собственные цифровые валюты, что приводит к еще большему их проникновению в жизнь людей. Мошенники будут этим пользоваться. Если ничего кардинально не изменится, то в ближайшие месяцы мы будем сталкиваться с фишинговыми атаками, модифицированными под хищение криптовалют как в России, так и в мире".
"Можно предположить, что криптовалютные банкоматы останутся мишенью для киберпреступников в 2023 г.: возможность удаленного взлома без необходимости иметь физический доступ выглядит для злоумышленников довольно заманчиво, - такой прогноз на ближайшее будущее дает Игорь Агиевич. - В 2023 г. возможно и увеличение количества случаев взлома децентрализованных бирж. Децентрализованные биржи (DEX) не имеют единого органа управления как такового. Они не хранят денежные средства и персональные данные пользователей на своих серверах и выступают только платформой для поиска совпадений по заявкам на покупку или продажу активов. Недавний крах биржи FTX, второй по величине в мире, вызвал значительный отток пользователей с других централизованных платформ - это традиционные биржи, имеющие руководство, которое несет ответственность за конфиденциальные данные пользователей, хранит историю торгов, контролирует работу биржи и единолично принимает все решения о развитии проекта. Например, таких как Binance. Криптовалюту активно переводят на DeFi-платформы, где пользователи могут обменивать токены, используя ликвидность децентрализованной криптобиржи. А злоумышленники, как известно, всегда следуют за потенциальными жертвами и деньгами".
По оценке Максима Грязева, в ближайшие месяцы тенденция с воровством блокчейн-активов будет продолжаться, но статистика должна упасть, потому что те, кто хранит большое количество средств в криптовалюте, начали активно использовать "холодные кошельки" - флешки с криптовалютой. В любом случае, скам никуда не исчезнет, а мошенники будут придумывать новые способы обогащения.
