Wiadomości
- 17 maja 2023
- wyświetleń: 599
4 miliony USD skradzione w kampanii wykorzystującej fałszywe adresy URL
Materiał partnera:
Miłośnicy transakcji kryptowalutowych bardzo często wskazują bezpieczeństwo jako jedną z ich najważniejszych zalet. Okazuje się jednak, że rzeczywistość wcale nie jest tak różowa, jak mogłoby się wydawać. Kryptoinwestorzy również padają ofiarami oszustw i przestępstw finansowych, a ich skutki są nawet poważniejsze niż w przypadku tradycyjnych transakcji.
Inwestorzy kryptowalutowi cenią sobie anonimowość i nieodwracalność transakcji przeprowadzanych w blockchainie. Fakt: jeśli żaden bank ani rząd nie ma kontroli nad naszymi pieniędzmi - to my i tylko my decydujemy, co się z nimi dzieje.
Problem z transakcjami w krypto polega na tym, że ich anonimowość i nieodwracalność może zadziałać na niekorzyść nieuważnego inwestora. Tak też stało się i całkiem niedawno: jak podaje konto Scam Sniffer na Twitterze, użytkownicy stracili łącznie około 4 milionów dolarów na skutek kampanii phishingowej targetującej właścicieli kryptoportfeli.
Jeśli nie wiesz, co to jest phishing, to już wyjaśniamy. W skrócie: oszustwo phishingowe polega na podszywaniu się pod kogoś innego w celu osiągnięcia zysku, którym najczęściej są poufne dane ofiary. Phishing najczęściej dotyczy maili i wiadomości tekstowych, ale tym razem sprawa prezentuje się nieco inaczej.
Przestępcy biorący na celownik kryptoinwestorów posłużyli się systemem reklamowym od Google, czyli Google Ads. W systemie tym reklamodawca płaci Google, by jego linki wyświetlały się na początku listy wyników wyszukiwania pojawiających się po wpisaniu danej frazy.
Metoda wymaga więc pewnej inwestycji. Oszuści skorzystali z płatnego systemu reklamowego, by promować swoje fałszywe linki udające odnośniki do zaufanych witryn, takich jak Zapper, Orbiter Finance czy Lido. System sprawdzania reklam stosowany przez Google został natomiast sprytnie ominięty przez użycie paru technik, takich jak na przykład zapobieganie debugowaniu.
Wielu internautów nie sprawdza dokładnie, w co klika - szczególnie gdy ma do czynienia z linkami sponsorowanymi od Google. Wyszukiwarka Google cieszy się w końcu renomą i zaufaniem. Mało kto podejrzewa zatem, że proponowane przez nią odnośniki mogą stanowić zagrożenie.
Oszuści w omawianym przypadku wykorzystali to zaufanie, a ich fałszywe odnośniki przekierowywały ofiary do witryn wykradających dane kont i portfeli. Użytkownik, który wprowadził swój login i hasło na podrobionej stronie, mógł pożegnać się ze swoimi zasobami, które zostawały przesyłane na konta przestępców. Anonimowość i nieodwracalność transakcji sprawiają natomiast, że środków nie można odzyskać.
Opisana wyżej kampania to oczywiście tylko wierzchołek góry lodowej, jeśli chodzi o oszustwa socjotechniczne związane z branżą kryptowalut. Większość tych oszustw opierała się na tradycyjnych metodach, przede wszystkim fałszywych konkursach, rozdaniach nagród czy przekierowaniach do podrobionych portfeli krypto. Niektórzy przestępcy udawali też inwestorów i doradców - szukali ofiar w mediach społecznościowych i nakłaniali ich do powierzania sobie środków.
Jak wspomnieliśmy na początku artykułu: transakcje kryptowalutowe są z reguły anonimowe i nieodwracalne. Oznacza to, że jeśli przekażemy komuś swoje zasoby, raczej ich już nie odzyskamy.
Problem z transakcjami w krypto polega na tym, że ich anonimowość i nieodwracalność może zadziałać na niekorzyść nieuważnego inwestora. Tak też stało się i całkiem niedawno: jak podaje konto Scam Sniffer na Twitterze, użytkownicy stracili łącznie około 4 milionów dolarów na skutek kampanii phishingowej targetującej właścicieli kryptoportfeli.
Miliony dolarów skradzione w kampanii wykorzystującej Google Ads
Jeśli nie wiesz, co to jest phishing, to już wyjaśniamy. W skrócie: oszustwo phishingowe polega na podszywaniu się pod kogoś innego w celu osiągnięcia zysku, którym najczęściej są poufne dane ofiary. Phishing najczęściej dotyczy maili i wiadomości tekstowych, ale tym razem sprawa prezentuje się nieco inaczej.
Przestępcy biorący na celownik kryptoinwestorów posłużyli się systemem reklamowym od Google, czyli Google Ads. W systemie tym reklamodawca płaci Google, by jego linki wyświetlały się na początku listy wyników wyszukiwania pojawiających się po wpisaniu danej frazy.
Metoda wymaga więc pewnej inwestycji. Oszuści skorzystali z płatnego systemu reklamowego, by promować swoje fałszywe linki udające odnośniki do zaufanych witryn, takich jak Zapper, Orbiter Finance czy Lido. System sprawdzania reklam stosowany przez Google został natomiast sprytnie ominięty przez użycie paru technik, takich jak na przykład zapobieganie debugowaniu.
Wielu internautów nie sprawdza dokładnie, w co klika - szczególnie gdy ma do czynienia z linkami sponsorowanymi od Google. Wyszukiwarka Google cieszy się w końcu renomą i zaufaniem. Mało kto podejrzewa zatem, że proponowane przez nią odnośniki mogą stanowić zagrożenie.
Oszuści w omawianym przypadku wykorzystali to zaufanie, a ich fałszywe odnośniki przekierowywały ofiary do witryn wykradających dane kont i portfeli. Użytkownik, który wprowadził swój login i hasło na podrobionej stronie, mógł pożegnać się ze swoimi zasobami, które zostawały przesyłane na konta przestępców. Anonimowość i nieodwracalność transakcji sprawiają natomiast, że środków nie można odzyskać.
Oszuści coraz chętniej spoglądają na właścicieli portfeli krypto
Opisana wyżej kampania to oczywiście tylko wierzchołek góry lodowej, jeśli chodzi o oszustwa socjotechniczne związane z branżą kryptowalut. Większość tych oszustw opierała się na tradycyjnych metodach, przede wszystkim fałszywych konkursach, rozdaniach nagród czy przekierowaniach do podrobionych portfeli krypto. Niektórzy przestępcy udawali też inwestorów i doradców - szukali ofiar w mediach społecznościowych i nakłaniali ich do powierzania sobie środków.
Jak wspomnieliśmy na początku artykułu: transakcje kryptowalutowe są z reguły anonimowe i nieodwracalne. Oznacza to, że jeśli przekażemy komuś swoje zasoby, raczej ich już nie odzyskamy.
Jak zabezpieczać się przed oszustwami?
- Nie klikaj ślepo w odnośniki. Dotyczy to zarówno linków przesyłanych mailami czy w wiadomościach prywatnych, jak i nawet tych pozornie bezpiecznych, np. reklam Google. Zawsze sprawdzaj adresy URL witryn.
- Czytaj, zanim zainwestujesz. Każdy nowy projekt inwestycyjny to potencjalna próba oszustwa. Sprawdzaj, kto za nim stoi. Przeglądaj platformy społecznościowe i bądź wyczulony na wszystko, co wygląda podejrzanie lub zbyt dobrze, by mogło być prawdziwe.
- Nie udostępniaj nikomu danych swoich portfeli. Zachowaj swoje loginy i hasła tylko dla siebie. Nie podawaj ich nawet rzekomym doradcom czy pośrednikom.
- Edukuj się. Trzymaj rękę na pulsie i czytaj o najnowszych przypadkach oszustw. Śledź konta i witryny poświęcone wyłapywaniu przestępców. Dzięki temu poznasz aktualnie stosowane przez oszustów metody i dowiesz się, komu nie warto ufać.