Салют, Хабр!
В крипте полно скама – это неоспоримый факт и уже практически аксиома. Обман на каждом шагу: тебя пытаются «нагреть» в настолько неожиданных местах, что диву даёшься. Когда мы с MediaMetriqa только начинали свой путь в нише крипты, было ощущение, будто идем не по какой-нибудь инвестиционной дорожке, где основные риски уходят корнями в скилл рационального управления капиталом, а по минному полю. Минному полю с людьми, живущими по правилу «Налюби ближнего своего, иначе придет третий и налюбит вас обоих».
Но время шло, опыт копился, и большинство мошеннических схем стали очевидны. Отфильтровывались без заморочек на автопилоте. Короче, мы расслабились и… одного из участников нашей команды соскамили.
Соскамили настолько красиво, что не могу об этом не рассказать :-)
Как чаще всего выглядит обман в крипте
Небольшое лирическое отступление для тех, кто не в теме.
Обычно криптанов обманывают МАКСИМАЛЬНО ТУПО и всё это рассчитано исключительно на неопытных новичков. Обещают какие-нибудь сверх-доходности или секретные супер-связки, благодаря которым ты начнешь зарабатывать шальные деньги. Или затаскивают в токен, который растет каждый день на 100%+, но его невозможно продать.
Проще говоря, манипулируют ФОМО (синдром упущенной выгоды) и жадностью.
Ну а дальше жертва либо сама переводит деньги, либо подключает кошелек по ссылке мошенников, подписывает транзакцию и, тем самым, отдает скамерам полный доступ.
Вариаций много, но смысл почти всегда плюс-минус такой. Однако в нашем случае было совершенно иначе. До такой степени, что у паренька из нашей команды, которого соскамили, даже подозрений не возникло.
Сейчас распишу по шагам, что произошло.
Шаг 1. Мошенники представились потенциальными клиентами
Для удобства и наглядности назовем нашего героя – Лёха.
Лёха работает не только с криптой: его основная работа – маркетинг. Разумеется, к нему время от времени обращаются потенциальные клиенты для решения тех или иных задач. Кто фрилансит или продвигает личный бренд – тому наверняка знакомо.
Вам пишут, дают вводные, объясняют, что хотят получить и т.д. Обсуждения, вопросы, созвоны, сотрудничество – стандартная схема.
Ровно по такой схеме и пошли скамеры: написала девочка, представилась личной ассистенткой директора небольшой строительной компании, начала объяснять, что нужно, интересоваться подробностями, прайсом, сроками. Внешне – абсолютно стандартная рабочая переписка.
При этом:
девочка назвала конкретную компанию, которая билась в Гугле и Авито;
сайт компании был с нормальной историей, а не свежесостряпанный фейк;
компания находилась в соседнем от жертвы городе.
«Ассистентка» отвечала на вопросы, записывала голосовые и вела себя именно так, как вела бы реальная ассистентка директора компании, которой нужно найти подрядчика и закрыть вопросы по маркетингу.
Даже параноик не счел бы такое подозрительным.
Шаг 2. Вместо классических обещаний богатства – пригласили на встречу в Zoom
Тоже вполне нормальное явление, когда обсуждаешь с заказчиком детали предстоящей работы.
Всё снова выглядело логично и естественно: «ассистентка» сказала, что теперь надо пообщаться с директором – он и вводных даст больше, и какие-то нюансы прояснит лучше, и на вопросы ответит точнее, и условия согласовывать нужно именно с ним, ведь он принимает решения.
Встречу назначили на вторник, на 18:00. При этом девочка сделала акцент, что важно не опаздывать, ибо директор – человек крайне пунктуальный и для него соблюдение сроков и договоренностей – очень весомый триггер.
Шаг 3. Чудеса социальной инженерии: жертву ведут чётко по таймингам
В назначенный день, за 15 минут до начала встречи, у Лёхи уточнили, всё ли в силе. Получив положительный ответ – пообещали прислать ссылку на конференцию в Zoom ближе ко времени, о котором договаривались (18:00).
Ссылку прислали ровно в 17:59.
Ссылка была не фейковая – она реально перекинула в официальное приложение Zoom. Однако приложение сказало, что конференция недоступна.
В этот момент «ассистентка» спросила, всё ли в порядке, почему не заходите. Лёха объяснил, что, возможно, ошиблись с настройками конфы – его не пускает. На что девочка ответила: «Так вы, наверное, не авторизованы – авторизуйтесь в браузере».
Сейчас большинство из вас подумает, что Лёхе дали другую ссылку, либо изменили старое сообщение, вставив туда фишинговую ссылку, но нет – Лёха в крипте далеко не первый день и на такое не повелся бы (хотя, многие в спешке не стали бы разбираться, а просто кликнули на левую ссылку).
Всё было гораааздо прикольнее.
Шаг 4. Скам без взлома и кражи данных
Лёха открыл ссылку на встречу в браузере, ибо ситуации, когда Zoom разлогинен или приложение по какой-то причине глючит и не пускает в конфу – ни разу не редкость.
Выбрал авторизацию через Google, жамкнул свою учетку и получил пуш на телефон с подтверждением входа (да, попался он именно здесь, но об этом позже). Подтвердил вход и его тут же перебросило в официальное приложение Зум. Он подключился к конфе и…
Шаг 5. Пока мошенники крадут твою крипту – им нужно, чтобы ты был чем-то занят
…и началась конфа. С той самой «ассистенткой» и директором.
Длилась конференция около часа: обсуждали текущую ситуацию в компании, чего хотят достичь, чего ждут от маркетинга и т.д. Абсолютно стандартная конфа с потенциальным клиентом. Много инфы, много кейсов и примеров – не придраться.
В конце попрощались, договорились о дате и времени следующего созвона, наметили план действий для каждой из сторон. Всё было до такой степени натурально, что пропажу крипты Лёха обнаружил только на следующий день: вывели с биржи (Bybit, где авторизация как раз через Google) около 3 тысяч долларов. Деньги не последние, не весь депозит, но неприятно.
Сперва пропажа даже не ассоциировалась с тем, как именно и из-за кого именно это произошло на самом деле, но мы начали разбирать кейс. После того как Лёха обнаружил в списке авторизованных устройств Гугла одно «левое» и абсолютно ему незнакомое устройство, время авторизации которого точно совпадало со временем начала конференции – все встало на свои места.
Остался всего один вопрос: как это произошло с технической точки зрения? Как мошенники могли получить доступ к аккаунту, не взламывая его?
«Под капотом»: как мошенники получили доступ к аккаунту Google
1. Скорее всего, на Лёху наткнулись в каком-нибудь из крипточатов, а после, прочитав описание профиля, смекнули, что в портфолио наверняка есть и гугловский email, через который сейчас чуть ли не каждый первый авторизуется на криптобиржах.
Сочинили реалистичную легенду, взяли реальные данные компании (вероятность, что жертва туда позвонит – околонулевая), начали обрабатывать.
2. Доступ к аккаунту получили через манипуляцию процессом подтверждения входа.
Конфу настроили так, чтобы доступ был только для авторизованных пользователей – это гарантирует, что Zoom потребует вход. Юзер нажимает ссылку – Zoom сообщает, что требуется авторизация. Юзер нажимает «Войти через Google».
В этот же момент злоумышленник открывает страницу входа Google на своем устройстве и вводит email жертвы.
Google фиксирует попытку входа с нового устройства и требует подтверждение.
На телефон владельца аккаунта приходит уведомление: подтвердите вход с нового устройства. Пользователь ожидает вход в Zoom, поэтому запрос выглядит логично и он его подтверждает.
Бинго!
3. Даже после того, как мошенники получили доступ к аккаунту – у Лёхи не возникло подозрений, ведь его сразу же перебросило в конференцию.
Но!
Запрос на вход был отправлен с неизвестного устройства, а устройство жертвы – доверенное, для него подтверждение не нужно. Именно поэтому в аккаунт вошли оба одновременно. Это и есть самая красивая часть. Мошенники в этой схеме настолько искусно попадают в тайминги, что хоть аплодируй стоя.
4. Ну а дальше – дело техники. Пока один из злоумышленников отвлекает жертву – второй обчищает её закрома.
Именно поэтому с Лёхой продолжили активно и реалистично общаться даже после того, как получили доступ к аккаунту. Чтобы он не заметил сообщений на email о входе с нового устройства, добавлении нового кошелька для вывода крипты, и так далее.
Считается ли это дырой в безопасности
С точки зрения алгоритмов и кода это нельзя назвать уязвимостью, ведь нет факта взлома – только социальная инженерия с последующим подтверждением входа в аккаунт самим владельцем аккаунта. Однако в более широком контексте – в контексте модели безопасности – это общепризнанное слабое место. В Google это неоднократно признавали и вроде как даже пытались что-то придумать, чтобы стало лучше (спойлер: пока ничего толкового не вышло).
Систему продолжают использовать в том виде, в каком она есть, ибо это удобно большинству пользователей.
А как же Google Authenticator, разве он не спасёт от скама?
По идее, спасет. Но есть нюанс: у Лёхи на бирже, с которой вывели деньги, была активирована 2FA через Google Authenticator. Это, как вы понимаете, не помогло.
Почему?
Вот тут, мы считаем, присутствует серьезный косяк Гугла. Он не предупреждает, что синхронизация в Authenticator по умолчанию включена, а значит, при получении доступа к вашему аккаунту, мошенники получат доступ и к ключам для 2FA.
О таких нюансах надо оповещать громко и на самом видном месте, а не мелким шрифтом где-нибудь на задворках раздела FAQ.
Как не стать жертвой таких хитрых мошеннических схем в крипте
Самое очевидное – не хранить крипту там, где можно авторизоваться через публичные общедоступные сервисы. В холодных кошельках тоже иногда проскакивают свои «приколы», но, поверьте, они всё равно в разы, а то и в десятки раз, надежнее.
Если всё-таки биржи и вход через Google + 2FA Authenticator – обязательно отключить синхронизацию в приложении аутентификатора.
Также на биржах обязательно включайте опцию вывода только на кошельки из адресной книги + вывод на новые адреса не ранее, чем через 24 часа. А вот «белый список», вывод на адреса которого проходит без подтверждения – включать категорически не стоит. Это лишь упростит задачу мошенников, если они получат доступ к вашему аккаунту.
Ну и конечно, будьте максимально внимательны и не подтверждайте пуш-уведомления на вход, пока трижды их не проверите. Неважно, в какой вы ситуации. Неважно, кто вас торопит. Важно лишь то, что это ваш аккаунт, ваша безопасность и ваши деньги.
А еще, чтобы обезопасить себя и не стать жертвой мошенников – подписывайтесь в Телеге на наш с парнями канал MediaMetriqa. Оставили там подробный материал о распространенных скам-схемах в крипте и о том, как в них не попасться. Кому интересно – вэлкам. Там и с Лёхой, если повезет, сможете пообщаться :-)
Всем спасибо за прочтение, лайки и комментарии. Всех обнял!
