Выманить сид-фразу у владельца криптокошелька можно разными способами. Прислать ему поддельное письмо, подделать сайт криптовалютного сервиса, подсунуть вредоносное ПО. Но почти все эти схемы объединяет одно — социальная инженерия.
В контексте информационной безопасности — это манипулирование жертвой с целью вынудить ее сделать то, что нужно мошеннику. И очень часто кроме социальной инженерии ничего не требуется. Как это вообще работает и почему?
Без лишних сложностей
В большинстве случаев социальная инженерия используется как часть сложных многоэтапных атак. Но иногда схемы могут быть настолько простыми, что использовать их может мошенник любого калибра. Главное — уметь красиво «лить в уши». Вот пара способов, в которых злоумышленники практически не утруждают себя технической стороной аферы.
Развод в почте
Не создается поддельных сайтов, никого не просят никуда переходить. Все происходит в переписке. Жертва получает письмо от службы поддержки криптобиржи, кошелька или DeFi-проекта. В письме рассказывают одну из стандартных историй. Например, что учетная запись была взломана и для ее восстановления нужно срочно что-то сделать. Например, сгенерировать новую сид-фразу. «Сотрудник техподдержки» будет очень любезен и предложит сгенерировать ее за жертву. Для этого ему нужно всего-то получить старую.
Удобные сервисы
Страх потери активов — главный, но не единственный рычаг давления. Мошенники могут сыграть на желании людей упростить решение разных задач. Так, один из наших пользователей натолкнулся в поиске на сайт-агрегатор, обещавший подключение к любым DeX- и NFT-платформам через WalletConnect. Кажется, что штука довольно удобная, но только подключиться не получается: после нескольких попыток сканирования QR-кода сервис сообщает, что на стороне пользователя возникла проблема, а чтобы все заработало, нужно ввести приватный ключ или сид-фразу. От роковой ошибки спасло только то, что в Tangem Wallet сид-фразы нет.
Поэтому не стоит доверять всему, что появляется в выдаче поисковых систем. А незнакомые сервисы стоит проверить хотя бы с помощью WHOIS-сервиса: если домен был зарегистрирован недавно, а срок регистрации небольшой, то, скорее всего, вы на мошенническом ресурсе.
Ложные друзья
Кроме простых разводов, которые не требуют особых трат и навыков, злоумышленники используют социальную инженерию в довольно сложных схемах. В них мошенники не пугают, не угрожают, а используют чужой авторитет для привлечения внимания к своим ресурсам. Там жертва либо потеряет деньги, либо останется без криптовалюты, либо лишится сид-фразы. Возможен любой вариант.
Давление авторитетом
Популярный способ завоевать доверие — использование образа инфлюенсера. Злоумышленник выбирает в качестве приманки известного персонажа и от его лица начинает расхваливать некий успешный продукт. Для этого он запускает рекламу в популярных социальных сетях и видеохостингах. Да, модераторы пытаются бороться с таким контентом, но их усилий явно недостаточно.
Еще в 2020 году Стив Возняк подал в суд на YouTube. Соучредитель Apple был возмущен тем, что его образ использовался в мошеннической рекламе. К слову, он проиграл. С тех пор мало что изменилось: три года спустя все на том же YouTube появляются рекламные вставки с Илоном Маском, призывающим вкладываться в криптовалютные проекты.
Существует и более дорогой способ использовать чужую известность — заказ рекламных интеграций у популярных блогеров. Злоумышленники просто покупают рекламу несуществующего проекта, а сам блогер даже не подозревает, что становится частью развода. Мошенникам остается ждать, когда на сайт их проекта потекут посетители.
Недобрый друг
Есть еще один способ втереться в доверие с помощью социальных сетей. Мошенники создают аккаунты в соцсетях и ведут их от лица несуществующего эксперта. Они публикуют посты, фотографии, пытаются добавиться к предполагаемым жертвам в друзья, вступают в тематические сообщества.
В общем, стремятся создать впечатление, что аккаунт ведет настоящий человек. А когда необходимая база подписчиков собрана, мошенник делает подписчикам крайне «выгодное» предложение. Например, установить кошелек, зарегистрироваться в проекте, принять участие в аирдропе.
Большая часть мошенников не прорабатывает легенду детально. Часто они просто покупают «живые» аккаунты в социальных сетях ($2–20 в зависимости от качества), вступают в тематические группы и начинают рассылать сообщения пользователям. Обычно такие аккаунты плохо проработаны: в них мало информации и почти нет публикаций.
Угон мессенджеров
И конечно, всегда остается старый добрый вариант со взломанными аккаунтами. Мошенники приобретают (или взламывают сами) аккаунты в мессенджерах или социальных сетях и от лица реально существующего человека начинают общаться с людьми из его контакт-листа.
Как уберечь себя и свои средства?
Самый действенный механизм, который в большинстве случаев используют мошенники, — страх. Когда речь идет о деньгах, то рациональный страх превращается в тот самый экзистенциальный ужас. Ни больше ни меньше.
Психологи объясняют это так: деньги — основа существования, и их потеря ассоциируется практически со смертью. Рациональное отключается, уступая место инстинктам, требующим сделать все, чтобы обеспечить выживание. Поэтому когда вам пишут, что ваши средства под угрозой, нужно взять паузу и критически обдумать ситуацию.
Вряд ли мы скажем что-то новое, но повторить будет не лишним: никому и никогда не сообщайте свой приватный ключ или сид-фразу. А средства держите на холодном кошельке, для работы с которым она не требуется. Например, таком, как Tangem Wallet.
