О том, что российские пользователи криптовалютной биржи Binance стали получать рассылку с вирусом, ворующим пароли, рассказал руководитель Центра кибербезопасности компании F.A.C.C.T. (бывшего российского подразделения Group-IB) Ярослав Каргалев. По словам специалиста, мошенническую рассылку зафиксировали вечером 27 августа. Это случилось на следующий день после того, как Binance запретила россиянам торги в иностранной валюте.
В фишинговых письмах пользователям предлагают скачать специальную программу для обхода нового ограничения — однако по факту эта программа является вирусом. «Для загрузки приложения пользователю предлагается перейти по уникальной ссылке на файлообменник, где находится zip-архив с вредоносным программным обеспечением (ПО), обладающим функционалом стилера», — рассказал Каргалев.
Специалисты по кибербезопасности называют стилерами тип вредоносного ПО, одна из главных задач которого — перехват и передача злоумышленникам логинов и паролей от разных сервисов. Среди прочего стилеры нередко воруют данные от криптокошельков, необходимые для авторизации.
«Стилеры на сегодняшний день являются массовой угрозой, и инциденты с ними могут иметь критические последствия для компаний. Дело в том, что скомпрометированная учетная запись не только приводит к утечке корпоративных данных, но может являться начальным вектором для более сложной, комплексной хакерской атаки», — подчеркнул специалист.
После того как против российских банков были введены санкции, на криптобиржи потянулись обычные люди, у которых осталась необходимость переводить деньги за рубеж. А введение ограничения на совершение валютных переводов со стороны Binance дало мошенникам новый информационной повод для проведения атаки со стилером, разъясняет в беседе с «Известиями» главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.
— Если бы ограничения ввели против жителей другой страны, то объектом атаки стали бы они, — объясняет эксперт. — Как говорится, здесь ничего личного — просто бизнес.
По словам Овчинникова, пользователи криптобирж и ранее подвергались различным кибератакам. Причем порой эти атаки были таргетированными, то есть целенаправленными и сложными, адресатами которых были конкретные люди. Встречались порой и веерные, массовые атаки. Управляющий RTM Group, эксперт в области кибербезопасности и права в IT Евгений Царев напоминает, что первый крупный взлом с кражей биткоинов произошел на японской бирже Mt. Gox в 2011 году — тогда было похищено 2609 биткоинов (примерно $8,7 млн), из-за того что хакер завладел административными правами в результате фишинга.
У той же биржи в 2014 году было похищено $390 млн. У китайской биржи Bter в 2015 году украли более 7 тыс. биткоинов ($1,75 млн). Не удалось избежать взлома и криптобирже Binance — крупный инцидент, в результате которого было потеряныо 7 тыс. биткоинов ($40,5 млн), произошел 7 мая 2019 года. Царев отмечает, что на сегодняшний день известно о десятках инцидентов с криптобиржами, которые произошли в течение нескольких лет.
— Стоит отметить: в связи с тем что пользователей криптобирж меньше, чем владельцев банковских карт, подобные атаки не становились широко известными, — отмечает Дмитрий Овчинников. — Однако в профессиональной среде и на специализированных форумах информация о кражах и атаках появляется регулярно.
По словам backend-разработчика и руководителя продукта факультета программирования университета «Синергия» Николая Щербатенко, сегодня для проведения атак на пользователей криптобирж злоумышленники применяют самые разные приемы. В частности, хакеры пускают в ход инструменты фишинга, в том числе e-mail-рассылки, а также сообщения в соцсетях и мессенджерах. Порой потенциальных жертв обзванивают и выходят на них в различных приложениях, включая приложения для знакомств.
— Киберпреступники также могут использовать чаты GPT, нейронные сети и разные Telegram-боты, — говорит собеседник «Известий». — Дело в том, что при формировании ответа на запрос со стороны нейронной сети она может предоставить пользователю хакерскую ссылку, поскольку ссылки в ней не валидируются.
Согласно данным Евгения Царева, 70% инцидентов, связанных с криптобиржами, происходит из-за реализации схем социальной инженерии, 20% — из-за социальной инженерии, дополненной вредоносным ПО, а 5% — из-за использования только вредоносного ПО. Кроме того, еще 5% инцидентов приходится на действия сотрудников криптобирж.
Как отмечает Дмитрий Овчинников, в целом кибератаки против владельцев криптовалют выполнить сложнее, чем против обладателей традиционных банковских счетов — однако и возможный куш может быть намного выше. Кроме того, большинство пользователей, включая преступников, считает, что криптовалюта полностью анонимна — а значит, ее можно спокойно похищать.
— На самом деле это не так: каждую транзакцию можно отследить, — говорит эксперт. — Однако в связи с тем что во многих странах оборот криптовалюты никак не регламентируется, и с возбуждением уголовного дела по факту хищения всё становится сложнее.
По словам Овчинникова, многие владельцы криптокошельков вообще не могут доказать законность криптодоходов или не платили налоги с игры на бирже, а потому просто не будут обращаться с фактом кражи к правоохранительным органам. В свою очередь, Евгений Царев указывает на то, что похищенную криптовалюту существенно проще отмыть, чем традиционные акции и пакеты финансовых инструментов. Это тоже делает ее лишь привлекательнее в глазах преступников.
Как отмечают специалисты, несмотря на многочисленные риски со стороны киберпреступников, у пользователей криптобирж из России сегодня есть способы защитить себя. Так, Николай Щербатенко советует по возможности переводить активы на российские криптовалютные кошельки. Пока их не так много, но весьма вероятно, что они будут активно развиваться вместе с приходом цифрового рубля. А вот доверять иностранным компаниям, работающим с криптовалютой, напротив, не стоит, поскольку они блокируют счета россиян.
— Во-вторых, следует повышать свою цифровую грамотность, — говорит собеседник «Известий». — Важно читать все инструкции, которые, как правило, написаны на английском, и стараться в них разобраться. Там зачастую даются правила работы с конкретными криптобиржами.
Кроме того, по словам Щербатенко, важно использовать только официальные приложения криптобирж, скачанные с App Store или Play Market, — они менее уязвимы для киберпреступников. Аккуратность необходима и в работе с десктопными приложениями. Наконец, важно проявлять повышенное внимание, если вы делитесь с кем-либо своими контактными данными. К примеру, личный e-mail можно оставлять только на той криптобирже, которой вы пользуетесь, — тогда сообщения будут приходить только оттуда.
Если же злоумышленники всё же сумели похитить данные от криптокошелька, то вернуть средства будет непросто. Как отмечает Евгений Царев, криптобиржи нередко предлагают разные форматы страховок, но они зачастую работают не в пользу пользователей.
— При атаке хакеров нужно связываться с технической поддержкой и рассказывать, по какой ссылке вы перешли, а также другие подробности произошедшего, — заключает эксперт. — Это поможет криптобирже отследить тот путь, по которому могли уйти деньги. Но поможет ли это вам вернуть средства — большой вопрос.
Дмитрий Булгаков