Как преступники обчищают ваши крипто-кошельки?

by @money_hacker
Как преступники обчищают ваши крипто-кошельки?

Желтые и синие причудливые фигуры заполняют экран, охватывающий всю стену в лаборатории Imperial College London. Формы появляются из ничего, тут же пускаясь в лишь им знакомые странные пляски. Эта визуализация гипнотизирует и, кажется, не имеет логической подоплеки, но как только вы понимаете за чем наблюдаете, она тут же обретает смысл. Блокчейн биткоина растет и развивается, словно живой организм.

«Здесь вы можете наблюдать, что кто-то переводит биткоины тысяче других людей, — заявляет Уильям Кноттенбельт, исследователь Imperial College, указывая на оборванный синий круг. Затем он обращает внимание на другую любопытную группу форм. — А это, скорее всего, майнинг-пул, выплачивающий вознаграждения майнерам».

«О, а эта структура очень интересна, — восклицает Кноттенбельт, демонстрируя несколько крупных синих кружков, соединенных друг с другом перекрестным штрихом желтых линий. — Возможно, это живое свидетельство киберпреступления».

Неанонимная анонимность

Новейшие средства криминальной экспертизы позволяют властям следить за деньгами через блокчейн-сети, которые оказались гораздо менее приватными, чем надеялись их основатели. Подобно тому, как камеры с замкнутым контуром превратили грабителей банков из знаменитых преступников в легкую добычу, исследователи надеются, что их достижения могут превратить анонимных воров в известных заключенных и сделать криптовалютный мир безопасным даже для людей, не очень хорошо разбирающихся в IT.

Дело в том, что единственным, что связывает вас с учетной записью в Bitcoin, Ethereum, NEM или с тысячей других криптовалютных систем, является адрес, представляющий собой случайный набор цифр и букв. Между тем у вас может быть столько адресов, сколько вы пожелаете, а очевидного способа связать их вместе или определить их владельцев пока нет. Более того, деньги на этих счетах могут быть переданы без посредников и через международные границы так же легко, как отправка электронной почты. Именно это и затрудняет работу правоохранительных органов.

«Вместо того, чтобы встретить вас на темной автостоянке, чтобы отнять у вас чемодан с деньгами, я могу спокойно сидеть с ноутбуком на балконе в Монако», — говорит Джеффри Робинсон, автор 30 книг о финансовых преступлениях, включая «BitCon: Обнаженная правда о биткоине».

В исследовании 2018 года, проведенном аналитическим центром по санкциям и незаконным финансовым махинациям, сообщается о пятикратном увеличении числа крупномасштабных незаконных операций, совершенных в блокчейне биткоина в период с 2013 по 2016 год. Анализируя историю более 500,000 биткоинов, они выявили 102 преступных субъекта, включая dark-web маркетплейсы, финансовые пирамиды и злоумышленников-вымогателей.

Криминал уходит в крипту

95% всех отмытых коинов, выявленных в ходе исследования, были получены с девяти даркнет площадок, среди которых — Silk Road, Silk Road 2.0, Agora и AlphaBay. Это известные онлайн-рынки, на которых человек может покупать запрещенные товары, такие как наркотики и оружие, а также оплачивать услуги проституток и заказные убийства. «Вы даже можете купить юридическую консультацию, — негодует Робинсон. — Там есть адвокаты, которые за определенное количество биткоинов могут дать исчерпывающие рекомендации о том, как не попасться на отмывании тех же биткоинов».

Есть и другие виды организованной преступности. Например, хакеры принимают биткоины в качестве оплаты за ddos-атаки и распространение тех или иных вирусных программ.

И все же из-за того, что все транзакции биткоина есть в публичном доступе, сомнительные операции вполне можно отследить. Любой пользователь может загрузить всю историю транзакций в виде блокчейна, который весит около 160 ГБ, и изучить ее. Еще для этих целей можно использовать веб-сайты Blockchain.info или Block Explorer.

Именно такой анализ помог раскрыть один крупный грабеж. В 2014 году Mt.Gox, самая крупная биткоин-биржа в мире на тот момент, была взломана неизвестными ворами, укравшими 850,000 биткоинов.

«Команда Mt.Gox не понимала, сколько биткоинов они должны людям и сколько биткоинов у них есть», — говорит Джонатан Левин, возглавлявший расследование. Левин и его команда в конечном итоге обнаружили украденную криптовалюту — след привел на биржу BTC-e.

Хотя они не смогли вернуть большую часть недостающих монет, «это исследование дало нам идею разработать инструмент, который могли бы использовать другие люди», — говорит Левин. Его компания Chainalysis создает инструменты для биткоин-компаний, желающих лучше понять потребности своих клиентов, а также для правоохранительных органов, ищущих преступников. После открытия Chainalysis другие компании, такие как Block Seer и Elliptic, начали предлагать схожие услуги.

По словам Тома Робинсона, соучредителя и главы IT-отдела Elliptic, большинство криптобирж используют программное обеспечение для мониторинга транзакций. Сервис проверяет, имеют ли криптовалюты отношение к кошелькам вымогателей, darkweb маркетплейсам или украденным средствам. Elliptic уже помог представить доказательства по нескольким уголовным делам. Например, в деле о покупке в даркнете запчастей для автоматов AR-15, а также в деле о наркоторговле.

Робинсон не называет своих клиентов, но с помощью USAspending.gov легко установить, что это Управление по контролю за наркотиками США, Налоговая служба США, ФБР, иммиграционная служба и таможня. Chainalysis работает с теми же структурами, а также с финансовыми регуляторами, такими как SEC. Chainalysis также утверждает, что Europol и более половины полицейских сил в Европе используют их программное обеспечение.

Вообще, интерес Казначейства США к блокчейну говорит о том, что крипто-преступность не ограничивается кражами и торговлей на черных рынках. Мошенничество и уклонение от уплаты налогов уже осуществляются с помощью криптовалюты. «Это будет интересный экономический год, — отмечает Джеффри Робинсон. — Впервые в США криптобиржи будут облагаться налогом. На наших глазах творится история».

Большая часть техник, на которые опираются компании, отслеживающие транзакции в блокчейне, изобретены Сарой Мейкледжон в Калифорнийском университете в 2013 году. Основная идея проста. Изучая активность блокчейна, вы можете обнаружить учетные записи, которые принадлежат одному и тому же биткоин-кошельку и, следовательно, контролируются одним и тем же объектом. Этот процесс называется кластеризацией. Когда несколько учетных записей связаны с одним и тем же владельцем, вы можете попытаться выяснить, кем он является.

Связывание учетных записей биткоинов с оффлайновым миром возможно, потому что информация имеет тенденцию просачиваться. Интересно, что регулируемые государством криптобиржи в США и Европе требуют от клиентов соблюдать политику KYC и AML, в рамках которой пользователи должны идентифицировать свою личность. Кроме этого, некоторые пользователи настолько небрежны, что публикуют свои приватные адреса на онлайн-форумах. «Люди забывают, что блокчейн — это всего лишь половина уравнения», — напоминает Кноттенбелт.

Chainalysis и Elliptic уже используют машинное обучение, чтобы автоматизировать кластеризацию. Возможно, что даже обычные полицейские скоро будут использовать ИИ. Визуализация данных Imperial College — это следующий шаг к этому. Сине-желтая флуктуация, которую заметил Кноттенбелт, оказалась мошеннической сетью, последовательностью транзакций, проведенных как раз для того, чтобы усложнить треккинг отдельных монет. Представьте, что вы кинули монету в банку, наполненную похожими монетами, потом встряхнули ее, после чего снова достали их: сумма не меняется, но трудно сказать, какую именно монету вы бросили. Эффект почти такой же, как если бы вы переводили деньги через банк на Каймановых островах, где существуют законы о секретности в отношении банковского дела.

На шаг впереди

Однако частые смены адресов не всегда являются признаком преступной деятельности. «Зачастую некоторые просто делают это по соображениям конфиденциальности, — говорит Кноттенбелт. В любом случае, для преступников есть способы замести следы и получше. Поскольку ограничения анонимности для владельцев биткоина становятся все более очевидными, люди переходят на новые криптовалюты, такие как Zcash и Monero, почти ничего не сообщающие о транзакциях, записанных на их блокчейне.

Так, Zcash использует так называемое «доказательство нулевого знания» для проверки транзакций. Это математический способ подтвердить, что транзакция имела место, не раскрывая никакой информации о том, кто был вовлечен или сколько средств было передано.

А Monero фактически является большой сетью. Когда вы хотите передать монеты, ваш адрес смешивается с кучей других, чтобы никто не мог сказать, какой из них тратил деньги. Zcash и Monero, безусловно, пока стараются сохранять приватность своих клиентов. Но это не значит, что и на нечистых на руку владельцев этих криптовалют не найдется управа. Неосторожное поведение пользователей, к примеру, размещение вашего адреса на форумах, как и в случае с биткоином, оставляет яркий след, ведущий непосредственно к вам.

Более того, Monero дает пользователям возможность выполнять транзакции без смешения монет. Это позволяет аналитикам выявить все транзакции, включающие эти монеты. Малте Мезер из Университета Принстона и его коллеги считают, что 62% транзакций Monero уязвимы для этого метода треккинга.

Но самой большой головной болью для правоохранительных органов являются нерегулируемые биржи, с помощью которых преступники могут стереть следы своих краж. Кроме того, многие биржи вообще не хотят мириться с госрегулированием: например, Shapeshift обещают никогда не запрашивать идентификацию у своих пользователей.

Исследователь криптовалютной безопасности Росс Андерсон из Университета Кембриджа уверен, что такие обменники процветают отчасти потому, что законы неэффективны. «Проблема борьбы с отмыванием денег в целом объясняется тем, что никто не заинтересован в том, чтобы это делалось правильно, — заявляет он. — Если говорить о фиатных активах, то это невыгодно ни банкам, ни их клиентам. Так обстоят дела во всем мире. Так почему крипто-обменники должны чем-то отличаться?»

Между тем банки и финансовые компании экспериментируют с использованием криптовалют для создания платежных систем. Но в то же время эти технологии поддерживают следующее поколение незаконной деятельности, предоставляя новые способы кражи, шантажа, совершения мошенничества и нарушения международных санкций.

Тем не менее, в конечном итоге, по оптимистичному мнению большинства экспертов, все вернется на круги своя: старая добрая полицейская разведка будет делать то, что она делает лучше всего. А, значит, и истории о доблестных следователях и хитрых преступниках никуда не денутся.

Самое большое киберограбление в истории

Но пока что киберпреступники все еще на шаг впереди. Несмотря на то, что аналитики теперь могут наблюдать кражи криптовалюты в блокчейн-сетях, которые происходят почти в реальном времени, они не могут связать их с реальным миром достаточно быстро, чтобы остановить даже самые крупные кибераферы.

Самое большое киберограбление произошло в 3 часа ночи по японскому времени в январе текущего года. Кто-то увел 523 миллиона токенов NEM с биржи Coincheck. Никто не поднял тревогу до обеда, и мошенники получили восьмичасовую фору.

Выяснилось, что средства были похищены из кошелька, подключенного к интернету. «Это похоже на то, как если бы вы оставили карту в банкомате с указанным на ней PIN-кодом», — считает Александра Тинсман, директор по связям NEM Foundation. Все 523 миллиона украденных монет были отправлены сначала через одну учетную запись, затем были разделены между несколькими другими.

Чтобы остановить воров и предотвратить отмывание украденных монет, команда NEM пометила эти монеты оповещением для бирж. На следующий день после взлома в NEM смогли определить адреса 11 учетных записей, на которых оказались похищенные средства. Каждый из них был помечен тегом «matchingheck_stolen_funds_do_not_accept_trades: owner_of_this_account_is_hacker». Но поскольку они не знали, кто именно владеет учетными записями, то удалось лишь заблокировать вывод монет.

Потеряв возможность вывести украденное из сети NEM в фиатную валюту, воры начали перемещать их внутри сети. Все эти движения были заметны в публичном блокчейне. Немного монет было обнаружено в Канаде, а некоторые из них вернулись в Японию. Но даже несмотря на то, что в NEM не отводили глаз от своих меток, воры все же ушли. Доподлинно известно, что по крайней мере половина средств была обналичена, а в марте команда NEM заявила, что отказывается от преследования воров.

И если сейчас преступникам удалось скрыться, то в будущем технологии все же позволят поймать мошенников. По мере совершенствования методов судебной экспертизы и инструментов ранее пропущенные доказательства будут доступны так же, как сейчас доступны для криминалистического анализа следы ДНК.

*************************************************************************

Money Hacker - ПОДПИШИСЬ!
April 26, 2018