Старые песни о главном и pig butchering

489a849804034ccf8ae9b068bec66fb6.jpg

Наша работа — брать бабло у клиента из кармана и класть в наш карман.
— Это да. Но если вы заодно и клиенту поможете заработать, это выгодно для каждого, правда ведь?
— Нет. Первое правило Уолл-стрит: никто, будь ты хоть грёбаный Уоррен Баффет или Джимми Баффет, никто не знает, пойдут ли акции вверх, вниз, вбок или кругами, никто и особенно брокеры, это все хумера, знаешь что такое хумера?
— Да, химера, то есть фантом.
— Да химера-хумера, хумер его поймет, что это, пыль в глаза. Этого ничего нет, ни в природе, нигде, это не материя, этого нет в таблице Менделеева, это грёбаные сказки. Понял?

Забавно, но факт, как спустя многие годы мы наступаем на одни и те же грабли. И когда всё-таки наступит тот момент, когда эти сельскохозяйственные инструменты закончатся на нашем пути? Или мы, по крайней мере, начнём их замечать?

Как я уже не раз упоминал в своих статьях, меня всегда интересовали истории, хоть как-то связанные с безопасностью. Не знаю, как так получилось, но де-факто так и есть. Я, конечно, долго, а в конкретной ситуации длинно, могу рассуждать по этому поводу, но навряд ли кого-то это заинтересует. Тем более хабр — не совсем то место, где это было бы уместно.

Итак, о чём это я? Ах да, информационная безопасность. Одним из интересных аспектов проблем безопасности (причём не только информационной) всегда был и остаётся вопрос социальной инженерии. По большей части моё знакомство с этим термином произошло относительно давно, и насколько я помню, впервые я увидел это словосочетание в каком-то самопальном переводе книги Стивена Леви. Однако если этот термин рассмотреть пристальнее, то его корни уходят куда глубже. На мой немного предвзятый взгляд, более яркой иллюстрации навыков социальной инженерии, чем в незабвенных шедеврах звёзд советской журналистики о похождениях «идейного борца за денежные знаки», не существует.

Через несколько лет после прочтения «героев компьютерной революции» мне попалось «искусство обмана» Митника и Саймона тоже в достаточно отвратном переводе. Это потом, уже где-то в 2005, был издан более или менее приличный русскоязычный вариант. Сейчас не буду приводить каких-то цитат из прочитанного, но помню, что необычно было читать про поиск в мусоре каких-то «бумажек» с записанными паролями к учёткам или про наивные телефонные разводы. И всё это так и осталось бы забавными историями давно минувших дней, если бы идентичные методы не работали и сегодня. Опять же, в который раз история учит только тому, что ничему не учит, и всё свежепридуманное — это хорошо забытое «старое».

Конечно, сегодня над пассажем «мифического» сотрудника службы безопасности банка о срочном сообщении трёх «совершенно ничего не значащих» цифр, выгравированных на «спине» банковской карты, может не посмеяться только человек, последние 15 лет находившийся на необитаемом острове. Тем не менее не перестаю удивляться тому, что несмотря на это «четыреста сравнительно честных способов отъёма денег» продолжают работать спустя десятки лет.

Одно остаётся неизменным: как только появляется какой-то новый финансовый инструмент, к нему в обязательном порядке начинают «приклеиваться» всё те же старые методы «почти честного отъёма денег». И как ни крутилась, и как ни старалась, лошадка ушла… всё равно возвращаемся к тому же. Не стали исключением из общего правила и криптовалюты. Что самое печальное — найти человека, который бы о них не слышал, намного труднее, чем отыскать того, кто может хотя бы в самых общих чертах о них рассказать. А ведь информации о них до чёрта. Может, как раз в этом заключается проблема успешных скам-схем, эксплуатирующих человеческую лень, невежество и алчность?

Вообще, схемы мошенничества по варианту pig butchering в сети не новость, однако в этом году они заиграли новыми красками с лёгкими оттенками искусственного интеллекта. Ещё в 2021 году многие компании из сферы информационной безопасности «звонили в колокола», и достаточно растиражированной стала история CryptoRom, мошеннической группировки, атаковавшей пользователей через различные социальные сервисы знакомств типа Tinder. Компания Sophos вскрыла факты мошеннических схем, начинавшихся с романтических и ни к чему не обязывающих переписок. В дальнейшем пользователей «разводили» на минимальные вложения в фиктивную торговлю криптой, а затем и на более серьёзные финансовые вливания в этот процесс, после чего современные последователи известного «турецкоподданного» гражданина исчезали с горизонта, оставляя горе-инвесторов без штанов. Немного странно, что похожая тема появилась и схлопнулась в России ещё раньше. Не могу сказать, сколько разных вариантов «разводов» в сфере крипты состоялось, но масштаб и последствия пирамиды Finiko уже внушают. Sophos назвали схему мошенничества «Sha zhu pan», что несёт как раз такой же смысл, что и pig butchering. Отличительными чертами аферы стали сосредоточенность на фиктивной торговле криптой и заманивание целей посредством притворного романтического интереса к ним через социальные сервисы и мессенджеры.

Мошенничества подобного рода проводятся сложноструктурированными организациями, в состав которых обязательно входит команда айтишников, ответственная за предоставление мобильных и веб-приложений, достаточно убедительных для обмана жертв. Хотя в начале появления таковых, процессы привлечения пользователей были достаточно примитивны и не выходили за рамки самостоятельной установки сторонних приложений, со временем фиктивные торговые платформы начали с относительной лёгкостью проходить процедуры одобрения в магазинах Google Play и App Store.

Так вот, как я уже упоминал выше, у таких скам-схем открылось второе дыхание благодаря сегодняшнему хайпу генеративных искусственных моделей типа ChatGPT или Google Bard, способных к ведению более реалистичных и убедительных диалогов. Да, механизм практически никак не изменился, и первоначальное знакомство с жертвой происходит через социальные приложения (например, Tandem). В дальнейшем общение переносится в мессенджер и плавно переходит на инвестиции в крипту, а далее всё как по методичке для начинающих «пикаро». Использование генеративных инструментов не только делает общение более убедительным, но и снижает «рабочую» нагрузку на мошенников, взаимодействующих с несколькими жертвами одновременно. Так или иначе, финал сей пьесы, до ужаса предсказуем. Жертвы разочаровываются или у них заканчиваются ресурсы, которые они могли бы использовать в попытках вернуть уже вложенные средства.

По традиции, сообщений о подобных мошенничествах с использованием приложений из официальных магазинов приложений намного больше от пользователей продукции Apple, чем от пользователей Android (скорее всего, подобный дисбаланс связан с более высокой платёжеспособностью первых). Однако большинство скам-приложений ориентированы на обе платформы. Также одним из признаков такого приложения является его «липовое» предназначение. Многие из них в своих описаниях утверждают, что предназначены для совсем других целей, начиная от простейших рекомендательных систем и заканчивая приложениями из области health-care.

Конечно, поскольку такие приложения размещаются в официальных магазинах, мошенникам не требуется никакой социальной инженерии, кроме как заставить жертву перейти по ссылке в магазин приложений. У многих пострадавших пользователей даже возникли проблемы с объяснением деятельности приложений местным правоохранительным органам.

Крипто-мошенничество стало доминирующей формой схем незаконного обогащения за последние три года, но один из вариантов растёт особенно быстрыми темпами: фиктивный «майнинг ликвидности». Также наблюдается активный рост числа криптофишинговых сайтов, которые подключаются к криптовалютным кошелькам, одновременно выдавая себя за компании, связанные с криптотрейдингом.

В ходе исследований новой волны мошенничества были выявлены множественные случаи «разводов», напрямую связанных с майнингом ликвидности. Как и в случае с другими формами мошенничества pig butchering, рост которых наблюдается в последнее время, жертву изначально заманивают через переписку в приложениях для знакомств.

Даже после кражи криптовалюты мошенники продолжают преследовать жертву, приманивая призрачными надеждами на возврат своих средств внесением в схему ещё большего количества криптовалюты. В таких случаях на помощь мошенникам часто приходили возможности современного генеративного искусственного интеллекта для создания правдоподобных сообщений, отправляемых для восстановления соединения с целью.

Отслеживание кошельков и адресов, засветившихся в скам-схемах, позволило обнаружить ещё не наследившие в этом деле ресурсы. Создана целая инфраструктура почти честного отъёма крипты. Исследователи из Sophos обнаружили более десятка мошеннических сайтов, на которых размещалось одно и то же фальшивое приложение децентрализованных финансов, нацеленное на пользователей Trust Wallet. В течение пяти месяцев из кошельков жертв было извлечено криптовалют на миллионы долларов, причём пик активности пришелся на июнь-август этого года.

Понятно, что мошенничество такого рода не требует наличия вредоносного программного обеспечения на устройстве цели и не предполагает никакого взлома. Только сайты и социальная инженерия для убеждения жертвы к подключению своего кошелька к смарт-контракту Ethereum, который даёт разрешение на опустошение кошелька. В результате подобные мошенничества чрезвычайно сложно предотвратить программно. Мошеннические кошельки и домены выявляются и заносятся в чёрные списки по мере их обнаружения, однако новые сайты и кошельки развёртываются практически моментально, напоминая лернейскую гидру. Криптовалюту, украденную с помощью таких схем, практически невозможно вернуть.

Мошенничества с майнингом ликвидности используют сложность приложений децентрализованного финансирования (DeFi) для торговли криптовалютой, таких как децентрализованные биржи (DEX) и автоматические маркет-мейкеры (AAM), чтобы запутать и обмануть. Наивным «буратинам» обещают регулярный доход с высокими нормами прибыли за инвестиции в «пул ликвидности».

Реальные пулы ликвидности позволяют DEX и AAM осуществлять сделки между различными типами криптовалют без необходимости искать конкретного покупателя. Пул заимствует криптовалюту из кошельков тех, кто присоединился к смарт-контракту на краткосрочной основе, чтобы облегчить торговлю, а затем возвращает криптовалюту по мере ребалансировки вместе с процентом комиссии, взимаемой за сделку с участниками пула, в зависимости от размера доли в пуле. Теоретически, независимо от того, каким образом развивается криптоторговля, участники пула получают прибыль, то есть если оператор не «вытянет коврик», разрывая контракт и забирая всю криптовалюту себе. Несмотря на то, что наиболее надёжные схемы привлечения инвестиций налажены в США, большинство вскрытых афер с миллиардными суммами там и реализованы.

Чтобы присоединиться к пулу, потенциальному участнику необходимо связать свой кошелёк с контрактом, при этом содержимое кошельков остаётся доступным их владельцам и может быть извлечено в любое время для других целей. Таким образом, чтобы обеспечить некоторую стабильность пула, операторы предлагают дополнительные вознаграждения за размещение средств в обмен на токены. Фальшивые пулы используют смарт-контракты, предоставляющие мошенникам полный доступ к кошелькам своих жертв. На начальных этапах в целевые кошельки даже вносятся некоторые суммы в крипте для создания иллюзии прибыли, хотя встречались и варианты с внесением поддельных криптовалют, не имеющих никакой ценности. Сайты, используемые для привязки кошельков в этих целях, отображают данные, обещающие ежедневные выплаты и показывающие растущую, но фальшивую прибыль жертвы.

В итоге из кошелька жертвы выметается всё до пенни, далее мошенники продолжают попытки развести жертву ещё на несколько монет, и, что самое непонятное — им это частенько удаётся. Правда, любые дополнительные средства, помещённые в кошелёк, связанный мошенническим контрактом, также будут украдены.

Поскольку мошенники используют законные криптовалютные приложения с высокой репутацией, а их вредоносные инструменты запускаются в контексте доверенных приложений, они имеют гораздо более высокую вероятность завоевать доверие потенциальных жертв. Манипуляции балансом кошельков пользователей, а не банальная демонстрация фальшивой прибыли на фронтенде «липового» торгового приложения, легче позволяет вводить в заблуждение, особенно если пользователи не имеют никакого представления о том, как должен осуществляться майнинг ликвидности. Контракты, используемые мошенниками, дают полный контроль над содержимым кошельков. Однако эта ситуация работает в обе стороны: существует вероятность того, что цели, зная о том, как работают смарт-контракты, способны разорвать их и вовремя соскочить с «прибылью», которая была депонирована в их кошельки. Эти потери для мошенников вполне оправданы, так как объём криптовалют, которую эти мошенники украдут у тех, кто не успел сорваться с крючка, делает такой риск приемлемой стоимостью ведения такого бизнеса.

Только в США, по данным ФБР, в 2022 году убытки от такого рода инвестиционных мошенничеств составили 3,31 миллиарда долларов.

Расследования мошенничеств специалистами по анализу угроз в сфере криптовалют продолжают выявлять домены, на которых размещаются поддельные сайты пулов ликвидности. Несмотря на чёрные списки и другие меры защиты, аферы с криптой постоянно развиваются. В любом случае важно оставаться начеку и не вестись на молочные реки с кисельными берегами, чтобы вовремя распознавать подобные угрозы. Проблема в том, что большинство жертв таких схем являются одинокими эмоционально уязвимыми людьми, ищущими каких-то социальных контактов. Однако платформы для поиска потенциальных жертв не ограничиваются приложениями для знакомств, зарегистрированы случаи использования других сервисов — от Facebook и LinkedIn до AirBnB.

Одним из самых явных признаков аферы является попытка перевода общения под разными предлогами в мессенджеры. Другим являются «холодные» случайные контакты, якобы ошибочно отправленные респондентам, которые спустя короткое время мутируют в предложения дружбы и опять же перевод общения в прямую связь через популярные мессенджеры.

Нет сомнений, что преступление всегда остаётся преступным вне зависимости от контекста его совершения, но преступления, за которыми виден интеллект, в некотором роде достойны уважения, а порой вызывают восхищение. В информационной сфере большая часть преступных дел несёт на себе некий интеллектуальный отпечаток, однако порой меня поражает несуразность некоторых из них. В любом случае даже «сравнительно честные способы отъёма денег» являются всего лишь способами отъёма денег, и, как следствие, преступны. Сколько бы мы ни восхищались подвигами «друзей мистера Оушена» и подобными им от цифрового мира, они всё-таки преступники.

НЛО прилетело и оставило здесь промокод для читателей нашего блога:
-15% на заказ любого VDS (кроме тарифа Прогрев) — HABRFIRSTVDS.

© Habrahabr.ru