Из этого количества обращений в компанию, 321 заявка принадлежала пользователям из Китая, еще 146 жертв – граждане других регионов мира. Команда SlowMist провела анализ полученных сообщений с жалобами на кражи, при этом не были учтены инциденты, поступившие по другим каналам. По результатам мониторинга причин разворовывания криптоактивов было установлено, что злоумышленники чаще всего пользовались методами фишинга, применяя утечку закрытых ключей и мошенничество.

В SlowMist установили, что большинство пользователей из числа пострадавших имели привычку сберегать закрытые ключи в облачных сервисах, например, многие хранили их в документах Google, где аналогичным образом сберегались и мнемонические фразы для доступа к кошельку. Еще часть пользователей отправляли для сохранения данных входа своим доверенным лицам или друзьям, пользуясь для этого открытыми каналами связи через мессенджеры. Таким образом, они собирались создать резервные копии. Однако именно подобные действия наиболее доступны для взломов и открывают возможности виртуальным мошенникам к совершению умышленных хищений.

Кроме того, нередки были случаи скама, когда потенциальной жертве присылались сообщения якобы от имени сервиса, в которых содержалось условие продления работы при подаче личной информации. Иногда злоумышленники представлялись менеджерами компании и просили пользователей предоставить данные, которые используются для доступа к криптоактивам личного кошелька.

Эксперты подчеркивают, что среди киберпреступников набирает актуальность еще один технологичный способ выуживания активов у пользователей. Они создают поддельные криптокошельки. Через них уже осуществляется утечка закрытых ключей.

И хотя это в принципе известный способ совершения кибератак на средства клиентов, но он остается актуальным, и преступники довольно часто им пользуются. Одна из причин сохранения для них такой возможности – скачивание пользователями приложений из источников, не вызывающих доверия. Это, в свою очередь, продиктовано сетевыми ограничениями для сервиса GooglePay либо другими объективными причинами.

Специалисты SlowMist смогли проверить и изучить часто используемые функции поддельных криптокошельков на уровне бэкенда, куда включаются управленческие опции пользователей, активов и депозитов.

Они признают, что мошенники применяют довольно технологичные методы и продвинутые схемы. Это указывает на довольно профессиональный уровень киберпреступников.

Модернизация фишинга и мошенничества

Анализ разных направлений показал, что именно скамерам принадлежит авторство 80% комментариев к постам относительно распространенных криптопроектов в сети Х.

В мессенджере Telegram тоже было обнаружено много недобросовестных деятелей. Там создаются многочисленные аккаунты и группы, предлагающие продажи Х-аккаунтов с уже добавленными подписчиками, накрученными постами и комментариями и с разными датами создания паблика. Так злоумышленники могут свободно подобрать необходимые предложения для своих потребностей.

Большинство страниц в соцсетях полностью идентичны оригиналам по оформлению и активности. К примеру, специалистам SlowMist попалась страница аккаунта Optimizm, и за исключением названия все на ней ничем не отличалось от подлинной страницы реального Optimism.

Пользуясь такими технологичными возможностями, а также некоторыми инструментами и средствами продвижения мошенники легко вводят в заблуждение доверчивых пользователей и неосторожных посетителей фейковых аккаунтов, групп или страниц. Остается только дождаться, когда те перейдут по фишинговой ссылке и украсть их личные финансовые данные.

SlowMist получила за квартал 467 сообщений о кражах криптовалют