Как не стать жертвой криптоскама?

Шалом! Сначала небольшой дисклеймер.

Всё, что здесь написано основывается на опыте расследований и противодейстия разного рода мошенничествам. Я не считаю, что этот текст является истиной последней инстанции. Это просто мнение человека который поварился в этой теме и сделал определенные выводы.

Вообще все виды скама можно разделить на две категории: нацеленные на конкретную личность и на группу лиц. Ко второй относятся всякие щиткоины, ICO, ханипоты и прочее

Я же больше расскажу про скам нацеленный на личность, где людей разводят с помощью методов социальной инженерии. Сначала сами схемы, потом перейдем к распознаванию и противодействию. Если вы уже разбираетесь в схемах, то можете переходить ко второй части статьи.

Итак, первая тема — схемы арбитража криптовалюты. Все происходит очень просто: с вами знакомится человек, который разбирается в торговле криптовалюты. Он говорит, что занимается арбитражом, например с помощью вилок цен на разных обменниках. Ему, якобы, просто не хватает бюджета заниматься таким в полную силу, так что он просит вас перевести ему крипту, чтобы он вам после своих операций вернул с процентами. Естественно, первые несколько раз он действительно возвращает вам всё с процентами, но как только вы отправите крупную сумму, то деньги «застрянут» в обменнике, а аккаунт «хорошего человека» самоустранится.

Весь смысл этого скама по сути в злоупотреблении доверии, бороться с таким технически сложно. Так что в качестве совета могу привести немного переиначеную цитату своей знакомой, которая занималась противодействием влияния деструктивных сект: «Хорошего человека отличить легко: ему наплевать на вас и ваши деньги».

Вторая схема: дрейнеры. Это обычный код JavaScript на сайте, который при подключении кошелька просит подписать невинную транзакцию, которая переводит все средства на вашем кошельке на адрес мошенника. Собственно, сам сценарий незамысловат: мошенник предлагает вам выгодно обменять валюту, но перед этим, например хочет убедиться в чистоте ваших средств. Для этого он скидывает сервис для автоматической проверки в который надо подключить ваш кошелек. После подключения кошелька и подписи транзакции, естественно происходит непоправимое.

Выявить такой скам гораздо проще. Достаточно определить время регистрации домена и найти настоящий сайт, под который мимикрирует наш клиент. Это мы подробно рассмотрим во второй части.

Иногда случается и забавное: бездарные мошенники не замечают, что их скрипт отбивает в браузерную консоль по сути предупреждение о скаме

Третья схема: путаница в точках и запятых.

Это звучит как полная дикость, но это реально работает. Многие люди путаются в точках и запятых интерфейса и «возвращают» мошеннику то, что он отправил «по ошибке».

Чтобы избежать такого нужно смотреть цену в долларах: там меньше сотых быть не может. Большинство обозревателей блокчейна показывают сумму транзакции по текущему курсу, если нажать на хэш транзакции.

Четвертая схема: транзакции с маленькой комиссией. Такое может случиться только в сетях, где пользователь сам выбирает сумму сумму комиссии (чаще всего Bitcoin). Суть схемы в том, что во время обмена вы отправляете деньги мошеннику, например в фиате до того как транзакция подтвердится и будет внесена в блок.

Транзакция с минимальной комиссией может ожидать подтверждения много часов, так что у мошенника будет достаточно времени чтобы отправить новую транзакцию из того-же UTXO с нормальной комиссией и перебить старую.

Комиссию майнеру можно посмотреть через любой обозреватель блокчейна, например blockchain.com. На скрине можете наблюдать как поставив высокую (69 sat/vByte) комиссию человек отдал 95% своих средств майнеру. Низкой комиссией можно считать значение до 10 sat/vByte. Никогда не отправляйте средства до первого подтверждения и появления в блоке.

Итак, теперь вторая часть. Как со всем этим бороться? ​

Начнем с выявления фейков. В 90% случаев скамеры пишут с фейковых телеграм аккаунтов (такой можно купить рублей за 10).

1. Проверяем дату создания аккаунта.

Если есть никнейм, то копируем его и вставляем в бота @Creationdatesbot. Он выдаст нам дату и дополнительную информацию.

Но есть проблема: никнейма может и не быть. В таком случае надо пройти путем сильных, скачав клиент Kotatogram и посмотрев там ID пользователя. После этого повторяем предыдущий пункт, но уже с ID, а не ником. Kotatogram имеет открытый исходный код, так что он полностью безопасен. https://kotatogram.github.io/

2. Проверяем дату загрузки аватарки

Через десктоп-приложение открываем аватарки и смотрим даты в левом нижнем углу, все очень просто. Если все они загружены за малый промежуток времени, то очевидно аккаунт фейковый.

3. Лицо на фотографиях.

Чаще всего мошенники ставят на аватарки лица настоящих людей. И этих людей можно попробовать найти. Лучший бесплатный инструмент для таких целей: https://search4faces.com/. Он отлично ищет лица по аватаркам ВК и Одноклассникам.

Сразу же тут приведу полный список инструментов для поиска по лицу:

https://www.google.com/ Только функция «найти оригинал», по политике компании отсутствует распознавание лиц, но найти такую-же картинку вполне может

https://yandex.ru/images Распознавание лиц работает, подходит для поиска лиц вне соц. сетей

https://findclone.ru/ Платный, но ищет лучше чем search4faces, поскольку в базе содержатся не только аватарки, а вообще все фотографии с лицами со страниц ВК. (не работает с конфиденциальных браузеров типа Brave)

https://facecheck.id/ Лучший бесплатный инструмент по зарубежному сегменту, по моим наблюдениям отлично ищет аватарки Github.

https://pimeyes.com/en Платный и нельзя оплатить по российской карте, но это лучший инструмент по этой теме, ищет лица по всему интернету

4. Ищем интересы и чаты аккаунта

По моему опыту расследований мошенники чаще всего сидят в локальных чатах для иммигранов. Для поиска публичных чатов в телеграмме нету бесплатных инструментов, но все они дешевые и легко оплачиваются.

Первый инструмент: @TgScanRobot

Второй инструмент: @ibhld_bot (Insight). Есть бесплатный пробный период, но показывает только интересы. Конкретные чаты доступны только при балансе >1000 руб

Третий: @telesint_bot (TeleSint). Сразу дается три бесплатных запроса. У этого сервиса, наверное самая большая база чатов.

В найденных чатах можно легко найти сообщения конкретного человека. Нажимаем на обычный поиск и находим силует человека. Потом внимательно смотрим что он пишет в публичных чатах. Если там странные сообщения с «продажей» всяких схем по заработку, то не трудно догадаться кто перед нами

Порой мошенник даже не пишет ничего в публичных чатах, чтобы не «светится». Я советую вам обращать особое внимание на наличие человека именно в локальных чатах разных стран. Зачастую мошенники ничего не пишут, а просто выискивают подходящую жертву и вся их активность происходит уже в личке.

4. Пробуем поискать по никнейму

Люди часто используют один и тот же ник во многих соц. сетях. Если человек не скрывает свой телеграм-аккаунт, то можно попробовать найти все его социальные сети. Для этого существует отличный инструмент Maigret. Его можно использовать как и через Python-скрипт, так и Telegram-бот. https://github.com/soxoj/maigret. @maigret_osint_bot.

Если вы найдете множество других аккаунтов того же человека, значит перед вами настоящий, а не фейковый аккаунт

На этом закончим с разведкой в телеграме и перейдем к следующей теме
​

Установление владельца домена​

Сразу скажу, что тема достаточно сложная. Нам знать кто конкретно стоит за сайтом не обязательно, достаточно просто понять фишинговый он или нет.
​

1. Гуглим домен​

Очевидно и невероятно: заходим в гугл и под кавычками вбиваем домен который нам скинули, например «alphaexchangecoin.com»

С большой долей вероятности уже на этом этапе мы получим результат. Если ничего не нашли, то идем дальше.

2. Информация из whois-протокола

Протокол whois позволяет узнать регистрационные данные домена. Там могут быть указаны данные компании или физлица, которые стоят за сайтом, но может быть и не указано ничего. В любом случае посмотреть стоит. Я рекомендую пользоваться сервисом https://dnslytics.com/. Чаще всего мы увидим такую картину: все закрыто настройками приватности

Но иногда везет и может быть указан, например номер телефона

+3544212434

Сам по себе он вряд ли приведет к мошеннику, но зато он дает нам поле для дальнейшего исследования: гуглим под кавычками

Внимательно следите за тем, что находите:

ул. Пушкина, д. Колотушкина
В Москве не существует улицы Ленина :)

Через этот протокол также можно узнать дату регистрации домена. Стоит ли говорить, что доверять домену зарегистрированному неделю назад как минимум глупо?

3. Ищем контакты и юридическую информацию

Чтобы придать сайту серьезности мошенники часто добавляют юридическую информацию и разного рода лицензии на свой сайт. Естественно, вся эта информация к ним никакого отношения не имеет, зато имеет к вполне легальным сервисам. Эти сервисы надо найти: лезем в подвал сайта и ищем там политику конфиденциальности и контакты. Если такой графы нет — сразу же закрываем сайт. Как минимум он незаконно собирает ваши персональные данные.

Находим там, например почту и гуглим её под кавычками: "[email protected]«. Как результат можем получить интересную картину:

Три разных сайта указывают одну и ту же почту в качестве своего контакта. Надо ли говорить все эти сайты мошеннические?

Самое главное что нужно запомнить:
​

1. Бесплатный сыр только в мышеловке. Никто не собирается вам помогать.​
2. Первые операции с мошенниками зачастую действительно приносят прибыль, им нужно втереться в доверие. Сохраняйте бдительность все время что вы общаетесь с незнакомыми людьми. Они вам не друзья.​
3. Постарайтесь как можно быстрее установить личность человека, который вам пишет. Хотя бы удостоверьтесь, что аккаунт не завели месяц назад.​
4. Внимательно анализируйте сайты, про которые вам говорят незнакомые люди.​

Если вы все-таки попались на скам
Тут я приведу лишь краткую выжимку

1. Сразу же удалите свежие approval от лица вашего адреса. Сделать это можно например тут. Это не позволит мошеннику вывести те средства, что он ещё не успел украсть
2. Сообщите о мошенничестве сюда, сюда и сюда.
3. Поставьте уведомления на транзакции с адреса мошенника и отслеживайте их ход. Рано или поздно ему нужно будет перевести их в фиат через централизованную биржу. Не медля пишите бирже через которую скамер пытается обналичить крипту, у вас не так много времени, но это единственный шанс, что вывод заморозят до выявления обстоятельств. Уведомления на адрес вы можете поставить тут. Отслеживать ход средств советую через blockchair, он поддерживает большинство блокчейнов. Определить биржу можно с помощью breadcrumbs (заведите аккаунт заранее) или например etherscan для EVM-совместимых сетей.

Тёмный Берег — Читает вся твоя синагога! А ест халу и дует шофар в моей курилке.

Strimer’s Weekdays — Канал контентщика Тёмного Берега.