Наиболее эффективным способом кражи криптовалюты и токенов ICO-проектов является фишинг — получение доступа к конфиденциальным данным через фальшивые сайты. Такие данные приводит в своем новом исследовании Group-IB. Больше всего фальшивых копий оказалось у сайта одного из самых популярных Ethereum-кошельков — MyEtherWallet. Зачастую распространение фишинговых атак связано с человеческим фактором. И для сокращения их воздействия эксперты советуют инвесторам действовать без спешки, чтобы не терять контроль за передачей информации.
Фото: Евгений Павленко, Коммерсантъ / купить фото
Основной целью атак киберпреступников на критовалютном рынке являются ICO (Initial Coin Offering, первичное размещение токенов). А наиболее часто используемым инструментом для такого рода краж — фишинговые атаки. Такой вывод делают в своем новом исследовании специалисты международной компании по предотвращению киберпреступлений Group-IB (есть в распоряжении “Ъ”). Наибольшая активность хакеров на этом сегменте рынка наблюдалась в период со второго квартала 2016 года по первый квартал 2017 года. По данным Group-IB, при помощи фишинга за рассмотренный период было украдено около $115 млн. В целом 56% всех потерянных на ICO средств приходится на кражу с использованием фишинга.
Фишинг — вид мошенничества с использованием почтовых рассылок, сообщений на форумах и СМС. Жертва идет по ссылке на фишинговый сайт, домен которого очень похож на настоящий, и ввести свои приватные данные. Используя их, преступники крадут средства жертвы. Крупнейшая кража криптовалюты в результате фишинговой атаки произошла в 2015 году с биржи Bitstamp — около 19 тыс. биткойнов (порядка $5 млн по тогдашнему курсу).
Как правило, фишинг используется для кражи приватных ключей (особых кодов) от криптовалютных кошельков. Перейдя по поддельной ссылке на сайт псевдо-ICO, владелец криптовалюты вводит свой код доступа в форму, который в этот момент становится известен преступнику. Другой вариант — отправка запроса на перевод средств. Жертва пытается совершить перевод на фальшивом сайте, используя конфиденциальные данные, которые также компрометируются.
По данным агрегатора Etherscamdb.info, на начало 2018 года в сети насчитывался 2581 фишинговый сайт, являющийся «клоном» ICO-проектов на платформе Ethereum. Из них наибольшее число — 2214 — составляли фишинговые копии сайта криптовалютного кошелька MyEtherWallet (MEW, сайт MyEtherWallet.com). «MEW — один из самых популярных в мире кошельков для хранения криптовалюты Ethereum и токенов на его основе. Поэтому он и подвергается наибольшему числу фишинговых атак»,— поясняет руководитель направления безопасности блокчейн-проектов Group-IB Александр Лазаренко. Так, с начала 2018 года MEW пережил уже две серьезные кибератаки. Последняя из них произошла в начале июля. Тогда был скомпрометирован популярный VPN-сервис Hola, что создало опасность взлома криптокошельков у всех, кто пользовался этим плагином. Ранее, в апреле, были взломаны DNS-серверы MyEtherWallet, что позволило злоумышленникам перенаправить пользователей MEW на фальшивый сайт и украсть их приватные данные.
По словам участников криптовалютного рынка, широкое распространение фишинговых атак связано с человеческим фактором. «Когда люди инвестируют в спешке, они не склонны тратить время на контроль за информацией. Поэтому часто не проверяют легитимность почтовых и доменных адресов»,— сетует Александр Лазаренко. «Отличие в одной букве в доменном имени может стоить вам всех активов. Нужно быть внимательнее и не переходить по подозрительным ссылкам»,— отмечает представитель криптобанка Wirex Роман Забуга.
Как аналитики оценили влияние кибератак на курсы криптовалют
Хакеры проводят атаки на криптовалютные биржи не только с целью кражи денег, но и чтобы повлиять на курсы криптовалют, утверждают в Positive Technologies. Вероятность таких атак, по мнению аналитиков, выросла после запуска торгов фьючерсами на биткойн в декабре 2017 года. Пока основной целью атак все же остается вывод криптовалюты с взломанных кошельков, уверены участники рынка.