Как мошенники воруют криптовалюту у пользователей «Твиттера» | Блог Касперского

Мошенники пытаются украсть криптовалюту, рассылая в «Твиттере» сообщения с логином и паролем якобы для доступа к чужому кошельку

Лучший способ не попадаться на удочку мошенников — всегда мыслить критически или даже скептически.

Вот, скажем, что бы вы сделали, если бы в «Твиттере» в личных сообщениях вам прислали логин и пароль от аккаунта на некой криптоплатформе с просьбой помочь вывести оттуда деньги?

Правильное действие — проигнорировали бы такое сообщение. Но неужели оно никак не может быть настоящим? Вдруг на вас и впрямь свалилось неожиданное богатство? Давайте вместе разберемся, что именно тут не так, и перечислим все «красные флаги», тем более что подобная мошенническая кампания была недавно обнаружена экспертами «Лаборатории Касперского».

Для начала посмотрим, собственно, на скриншот сообщения:

Ура! Вы богаты! Хотя постойте-ка…

Итак, неизвестный пользователь «Твиттера» прислал вам учетные данные для доступа к аккаунту некоего Адама на какой-то криптоплатформе, где якобы хранится шестизначная сумма в криптовалюте. От вас требуется «помощь с управлением» — видимо, нужно помочь вывести эту сумму.

Если зайти на указанный сайт и ввести логин с паролем, то, как это ни удивительно, они сработают — и вы попадете в личный кабинет, где действительно отображается сумма, близкая к указанной. Впрочем, мы еще не разобрались, в чем же тут мошенничество.

Пока мы шли на сайт, Адам разбогател еще на $90 000

Мыслим критически и ищем «красные флаги»

Начнем с основ: если бы у вас оказалась сумма в несколько сотен тысяч долларов, стали бы вы просить абсолютно незнакомого человека помочь ей распорядиться? Нет? И никто бы в здравом уме не стал! Этого аргумента, в принципе, достаточно для того, чтобы сразу записать данное сообщение — и весь нигерийский спам вместе с ним — в категорию «мошенничество», удалить его и забыть.

Но мы хотим изучить все «красные флаги», так что найдем повод продолжить, — предположим, какая-то удивительная ситуация вынудила человека прибегнуть к помощи кого-то совсем незнакомого, и выбор пал на вас. Что еще не так?

Во-первых, познакомимся поближе с нашим неизвестным доброжелателем. У его аккаунта в «Твиттере» ровно ноль подписчиков, и сам он подписан на столько же других аккаунтов — и это отчетливый «красный флаг», ведь люди заводят аккаунты в соцсетях, чтобы общаться и подписываться на других.

Какой популярный аккаунт у нашего доброжелателя!

Во-вторых, наш контрагент не общителен: мы попробовали вступить с ним в переписку, но за неделю он так и не удосужился нам ответить. Это тоже «красный флаг», с большой вероятностью указывающий на то, что пришедшее сообщение — массовая рассылка, а значит, такой же логин и пароль получили еще десятки, сотни или тысячи человек. Как думаете, сколько из них им воспользовалось?

В-третьих — маленький «красный флажок», но почему бы не придраться к деталям, — логин пользователя криптовалютного сайта и его пароль указывают на кого-то с именем Adam (кстати, пароль у Адама откровенно слабый), тогда как ник и имя пользователя в «Твиттере», пришедшего к нам с просьбой, ничего общего с Адамом не имеют. Это что же, наш контрагент хочет подрядить нас опустошить краденый аккаунт с криптовалютой и сделать соучастником преступления?! (На самом деле никакой криптовалюты в привязке к этому аккаунту вообще не существует, но об этом чуть позже.)

Наконец, еще один «красный флаг» разглядят эксперты — в адрес сайта, на котором якобы находится криптовалюта, вставлен пробел. Так мошенники пытаются обойти защитные технологии в почте, на которую вам придет уведомление о новом сообщении в «Твиттере».

Ну а при переходе на сайт «красные флаги» взмывают один за другим: дизайн очень простенький, сайт явно «сделан на коленке», и, если вбить в поиске Google его доменное имя, то обнаружатся исключительно упоминания о мошенничестве. Настоящая, пусть даже малоизвестная криптобиржа, наверняка бы имела какие-то отзывы в СМИ или на тематических форумах. Их нет — вероятно, перед нами подделка.

А главный «красный флаг», раскрывающий всю суть этого мошенничества, ждет нас впереди, при попытке вывести средства.

Мошенническая схема с платным выводом криптовалюты

Оказывается, чтобы вывести средства за пределы платформы, нужен еще один пароль — Trade key, которого нам никто не предоставил. Но можно перевести деньги в пределах самой платформы — для этого нужно создать новый аккаунт, подключить для него VIP-статус и перекинуть на него денежки Адама. Оттуда-то мы уже без проблем их выведем, ведь у нас будут все нужные пароли, не так ли?

Почувствуй себя VIP-обманутым

Для подключения VIP-статуса необходимо пополнить счет своего нового аккаунта, указав платежные данные вашего криптокошелька. Если это сделать, то вывести с платформы все равно ничего не получится, зато с вашего кошелька с использованием любезно предоставленных вами данных выведут все, что там есть.

Сама же платформа — просто фишинговый сайт, и никакой криптовалютой там и не пахнет. Для недавней кампании мошенники создали несколько подобных сайтов и рассылали пары «логин-пароль» для них с разных аккаунтов в «Твиттере».

Что касается «криптоплатформы», то подозрительных моментов тут два. Во-первых, при работе с криптовалютой транзакции никогда не осуществляются методом «укажи данные своего кошелька» — наоборот, вам дают платежный адрес, на который вы из интерфейса своего кошелька можете перевести необходимую сумму. Во-вторых, ни одна нормальная финансовая система для работы с уже имеющимися там деньгами не просит использовать для оплаты сторонние средства. Взять комиссию за перевод — пожалуйста, но требовать заплатить, условно, одной картой, чтобы вывести деньги с другой, — это откровенно подозрительно.

И мы уж даже не говорим про плохой английский и кривую верстку — вечных спутников фишинговых сайтов.

Как не попасться в мошеннические сети

Чтобы не попадаться на мошеннические схемы, нужно понимать, как они работают, и уметь замечать все нестыковки. Ради этого мы и разбирали все «красные флаги» в схеме с неожиданно свалившимся криптобогатством.

Вопросы, которые стоит задать себе при виде любого заманчивого предложения:

• Почему человек обращается с предложением ко мне (к незнакомцу), а не к кому-то из знакомых?
• Не бот ли это?
• Не подозрительно ли то, что он мне не отвечает?
• Не выглядит ли сообщение подозрительным (скажем, нет ли в доменном имени, упомянутом в сообщении, умышленно поставленного пробела, чтобы обмануть почтовые фильтры)?
• Что за сайт, на который мне предлагают перейти? Что о нем пишут в Интернете?
• Вызывают ли дизайн и пользовательский интерфейс сайта доверие (понятно, что у половины сайтов в Интернете — не вызывают, но вы же не совершаете на них финансовых операций, не правда ли)?
• Выглядит ли предлагаемая последовательность действий логичной?
• Нормально ли то, что для проведения операций с деньгами, которые уже есть на платформе, мне нужно заплатить из сторонних источников?
• Не пытаются ли меня поторопить, чтобы я потерял бдительность?
• Не слишком ли это хорошо, чтобы быть правдой?

Отвечая себе на них, вы будете лучше понимать, что происходит, и не потеряете голову из-за кажущейся настолько близкой возможности разбогатеть.

Такое изобилие «красных флагов», как в данном случае, однозначно говорит о том, что перед вами мошенничество. Но осторожность стоит проявлять всегда, если вы заметили хотя бы один из них. Даже если такое сообщение пришло бы не от случайного пользователя, а от кого-то из ваших друзей, все равно стоит быть максимально бдительным: не взломали ли этого друга?

Впрочем, мошенники живут за счет того, что, несмотря на бдительность, люди остаются людьми и порой все-таки покупаются на особо умелые схемы. Так что лучше подстелить соломки и пользоваться надежным защитным решением, которое сможет распознать подозрительные ссылки и заблокировать доступ на мошеннические сайты.

Ну и почитайте наш блогпост о том, как защититься от фишинга, — это в целом очень полезный навык, который наверняка защитит вас от самых разных неприятностей.

10.01.2023