Салют, Хабр!

В крипте полно скама – это неоспоримый факт и уже практически аксиома. Обман на каждом шагу: тебя пытаются «нагреть» в настолько неожиданных местах, что диву даёшься. Когда мы с MediaMetriqa только начинали свой путь в нише крипты, было ощущение, будто идем не по какой-нибудь инвестиционной дорожке, где основные риски уходят корнями в скилл рационального управления капиталом, а по минному полю. Минному полю с людьми, живущими по правилу «Налюби ближнего своего, иначе придет третий и налюбит вас обоих».

Но время шло, опыт копился, и большинство мошеннических схем стали очевидны. Отфильтровывались без заморочек на автопилоте. Короче, мы расслабились и… одного из участников нашей команды соскамили.

Соскамили настолько красиво, что не могу об этом не рассказать :-) 

Как чаще всего выглядит обман в крипте

Небольшое лирическое отступление для тех, кто не в теме.

Обычно криптанов обманывают МАКСИМАЛЬНО ТУПО и всё это рассчитано исключительно на неопытных новичков. Обещают какие-нибудь сверх-доходности или секретные супер-связки, благодаря которым ты начнешь зарабатывать шальные деньги. Или затаскивают в токен, который  растет каждый день на 100%+, но его невозможно продать.

Проще говоря, манипулируют ФОМО (синдром упущенной выгоды) и жадностью.

Ну а дальше жертва либо сама переводит деньги, либо подключает кошелек по ссылке мошенников, подписывает транзакцию и, тем самым, отдает скамерам полный доступ.

Вариаций много, но смысл почти всегда плюс-минус такой. Однако в нашем случае было совершенно иначе. До такой степени, что у паренька из нашей команды, которого соскамили, даже подозрений не возникло.

Сейчас распишу по шагам, что произошло.

Шаг 1. Мошенники представились потенциальными клиентами

Для удобства и наглядности назовем нашего героя – Лёха.

Лёха работает не только с криптой: его основная работа – маркетинг. Разумеется, к нему время от времени обращаются потенциальные клиенты для решения тех или иных задач. Кто фрилансит или продвигает личный бренд – тому наверняка знакомо.

Вам пишут, дают вводные, объясняют, что хотят получить и т.д. Обсуждения, вопросы, созвоны, сотрудничество – стандартная схема.

Ровно по такой схеме и пошли скамеры: написала девочка, представилась личной ассистенткой директора небольшой строительной компании, начала объяснять, что нужно, интересоваться подробностями, прайсом, сроками. Внешне – абсолютно стандартная рабочая переписка.

При этом:

• девочка назвала конкретную компанию, которая билась в Гугле и Авито;

• сайт компании был с нормальной историей, а не свежесостряпанный фейк;

• компания находилась в соседнем от жертвы городе.

«Ассистентка» отвечала на вопросы, записывала голосовые и вела себя именно так, как вела бы реальная ассистентка директора компании, которой нужно найти подрядчика и закрыть вопросы по маркетингу.

Даже параноик не счел бы такое подозрительным.

Шаг 2. Вместо классических обещаний богатства – пригласили на встречу в Zoom

Тоже вполне нормальное явление, когда обсуждаешь с заказчиком детали предстоящей работы.

Всё снова выглядело логично и естественно: «ассистентка» сказала, что теперь надо пообщаться с директором – он и вводных даст больше, и какие-то нюансы прояснит лучше, и на вопросы ответит точнее, и условия согласовывать нужно именно с ним, ведь он принимает решения.

Встречу назначили на вторник, на 18:00. При этом девочка сделала акцент, что важно не опаздывать, ибо директор – человек крайне пунктуальный и для него соблюдение сроков и договоренностей – очень весомый триггер.

Шаг 3. Чудеса социальной инженерии: жертву ведут чётко по таймингам

В назначенный день, за 15 минут до начала встречи, у Лёхи уточнили, всё ли в силе. Получив положительный ответ – пообещали прислать ссылку на конференцию в Zoom ближе ко времени, о котором договаривались (18:00).

Ссылку прислали ровно в 17:59.

Ссылка была не фейковая – она реально перекинула в официальное приложение Zoom. Однако приложение сказало, что конференция недоступна.

В этот момент «ассистентка» спросила, всё ли в порядке, почему не заходите. Лёха объяснил, что, возможно, ошиблись с настройками конфы – его не пускает. На что девочка ответила: «Так вы, наверное, не авторизованы – авторизуйтесь в браузере».

Сейчас большинство из вас подумает, что Лёхе дали другую ссылку, либо изменили старое сообщение, вставив туда фишинговую ссылку, но нет – Лёха в крипте далеко не первый день и на такое не повелся бы (хотя, многие в спешке не стали бы разбираться, а просто кликнули на левую ссылку).

Всё было гораааздо прикольнее.

Шаг 4. Скам без взлома и кражи данных

Лёха открыл ссылку на встречу в браузере, ибо ситуации, когда Zoom разлогинен или приложение по какой-то причине глючит и не пускает в конфу – ни разу не редкость.

Выбрал авторизацию через Google, жамкнул свою учетку и получил пуш на телефон с подтверждением входа (да, попался он именно здесь, но об этом позже). Подтвердил вход и его тут же перебросило в официальное приложение Зум. Он подключился к конфе и…

Шаг 5. Пока мошенники крадут твою крипту – им нужно, чтобы ты был чем-то занят

…и началась конфа. С той самой «ассистенткой» и директором.

Длилась конференция около часа: обсуждали текущую ситуацию в компании, чего хотят достичь, чего ждут от маркетинга и т.д. Абсолютно стандартная конфа с потенциальным клиентом. Много инфы, много кейсов и примеров – не придраться.

В конце попрощались, договорились о дате и времени следующего созвона, наметили план действий для каждой из сторон. Всё было до такой степени натурально, что пропажу крипты Лёха обнаружил только на следующий день: вывели с биржи (Bybit, где авторизация как раз через Google) около 3 тысяч долларов. Деньги не последние, не весь депозит, но неприятно.

Сперва пропажа даже не ассоциировалась с тем, как именно и из-за кого именно это произошло на самом деле, но мы начали разбирать кейс. После того как Лёха обнаружил в списке авторизованных устройств Гугла одно «левое» и абсолютно ему незнакомое устройство, время авторизации которого точно совпадало со временем начала конференции – все встало на свои места.

Остался всего один вопрос: как это произошло с технической точки зрения? Как мошенники могли получить доступ к аккаунту, не взламывая его?

«Под капотом»: как мошенники получили доступ к аккаунту Google

1. Скорее всего, на Лёху наткнулись в каком-нибудь из крипточатов, а после, прочитав описание профиля, смекнули, что в портфолио наверняка есть и гугловский email, через который сейчас чуть ли не каждый первый авторизуется на криптобиржах.

Сочинили реалистичную легенду, взяли реальные данные компании (вероятность, что жертва туда позвонит – околонулевая), начали обрабатывать.

2. Доступ к аккаунту получили через манипуляцию процессом подтверждения входа.

Конфу настроили так, чтобы доступ был только для авторизованных пользователей – это гарантирует, что Zoom потребует вход. Юзер нажимает ссылку – Zoom сообщает, что требуется авторизация. Юзер нажимает «Войти через Google».

В этот же момент злоумышленник открывает страницу входа Google на своем устройстве и вводит email жертвы.

Google фиксирует попытку входа с нового устройства и требует подтверждение.

На телефон владельца аккаунта приходит уведомление: подтвердите вход с нового устройства. Пользователь ожидает вход в Zoom, поэтому запрос выглядит логично и он его подтверждает.

Бинго!

3. Даже после того, как мошенники получили доступ к аккаунту – у Лёхи не возникло подозрений, ведь его сразу же перебросило в конференцию.

Но!

Запрос на вход был отправлен с неизвестного устройства, а устройство жертвы – доверенное, для него подтверждение не нужно. Именно поэтому в аккаунт вошли оба одновременно. Это и есть самая красивая часть. Мошенники в этой схеме настолько искусно попадают в тайминги, что хоть аплодируй стоя.

4. Ну а дальше – дело техники. Пока один из злоумышленников отвлекает жертву – второй обчищает её закрома.

Именно поэтому с Лёхой продолжили активно и реалистично общаться даже после того, как получили доступ к аккаунту. Чтобы он не заметил сообщений на email о входе с нового устройства, добавлении нового кошелька для вывода крипты, и так далее.

Считается ли это дырой в безопасности 

С точки зрения алгоритмов и кода это нельзя назвать уязвимостью, ведь нет факта взлома – только социальная инженерия с последующим подтверждением входа в аккаунт самим владельцем аккаунта. Однако в более широком контексте – в контексте модели безопасности – это общепризнанное слабое место. В Google это неоднократно признавали и вроде как даже пытались что-то придумать, чтобы стало лучше (спойлер: пока ничего толкового не вышло).

Систему продолжают использовать в том виде, в каком она есть, ибо это удобно большинству пользователей.

А как же Google Authenticator, разве он не спасёт от скама?

По идее, спасет. Но есть нюанс: у Лёхи на бирже, с которой вывели деньги, была активирована 2FA через Google Authenticator. Это, как вы понимаете, не помогло.

Почему?

Вот тут, мы считаем, присутствует серьезный косяк Гугла. Он не предупреждает, что синхронизация в Authenticator по умолчанию включена, а значит, при получении доступа к вашему аккаунту, мошенники получат доступ и к ключам для 2FA.

О таких нюансах надо оповещать громко и на самом видном месте, а не мелким шрифтом где-нибудь на задворках раздела FAQ.

Как не стать жертвой таких хитрых мошеннических схем в крипте

Самое очевидное – не хранить крипту там, где можно авторизоваться через публичные общедоступные сервисы. В холодных кошельках тоже иногда проскакивают свои «приколы», но, поверьте, они всё равно в разы, а то и в десятки раз, надежнее.

Если всё-таки биржи и вход через Google + 2FA Authenticator – обязательно отключить синхронизацию в приложении аутентификатора.

Также на биржах обязательно включайте опцию вывода только на кошельки из адресной книги + вывод на новые адреса не ранее, чем через 24 часа. А вот «белый список», вывод на адреса которого проходит без подтверждения – включать категорически не стоит. Это лишь упростит задачу мошенников, если они получат доступ к вашему аккаунту.

Ну и конечно, будьте максимально внимательны и не подтверждайте пуш-уведомления на вход, пока трижды их не проверите. Неважно, в какой вы ситуации. Неважно, кто вас торопит. Важно лишь то, что это ваш аккаунт, ваша безопасность и ваши деньги.

А еще, чтобы обезопасить себя и не стать жертвой мошенников – подписывайтесь в Телеге на наш с парнями канал MediaMetriqa. Оставили там подробный материал о распространенных скам-схемах в крипте и о том, как в них не попасться. Кому интересно – вэлкам. Там и с Лёхой, если повезет, сможете пообщаться :-)

Всем спасибо за прочтение, лайки и комментарии. Всех обнял!