Идеальные фишинг-страницы
В начале недели специалисты из Group-IB обнаружили фишинговую страницу криптовалютного хедж-фонда Numerai (США), где криптовалюту Ethereum можно менять на собственную валюту фонда — токены Numeraire. Оригинальная страница фонда — numer.ai/, а мошенники создали клон — numerai.tech/. Он зарегистрирован в России 9 августа на Reg.ru.
Сайт преступников до последней черточки похож на настоящий Numerai. Фишинг-страницу мошенники распространяли через мессенджер Slack, притворившись сотрудником хедж-фонда. Это мог быть как фейковый аккаунт, так и скомпрометированный аккаунт настоящего сотрудника, считают в Group-IB.
Злоумышленник предлагал купить за имеющуюся у пользователя криптовалюту токены Numeraire и таким образом выманивал приватный ключ. После этого преступник мог спокойно выводить все средства с аккаунта пользователя.
Пока специалистам Group-IB не удалось оценить ущерб, нанесенный этой страничкой. Однако они начали распутывать клубок и нашли другие фишинг-страницы, предположительно — от тех же предприимчивых «авторов» из России.
Украдено более миллиона долларов
Эту сумму злоумышленники заработали на четырех фишинговых страницах, также зарегистрированных в России этим летом. Три из них — клоны криптовалютной биржи OmiseGO (Таиланд): cайты omise-go.net, omise-go.com, omise-omg.com/airdrop/. Они максимально похожи на оригинальный сайт биржи omg.omise.co.
Две фишинг-страницы уже недоступны для просмотра.
Четвертая страничка — копия блокчейн-платформы Enigma Catalyst, которая сейчас находится на этапе pre-ICO. Оригинал — token.enigma.co, клон — enigmatoken.com. Кстати, подробнее об ICO вы можете прочитать вот здесь.
Все эти биржи объединяет одно — они принимают к обмену Ethereum.
Точно по такой же схеме, как и с Numerai, злоумышленники получили private key пользователей бирж и обчистили их счета. На момент публикации в карман к преступникам утекло 1 028 000 долларов (более 60,5 млн рублей).
Средства были выведены на три публичных кошелька. Однако, как отмечает гендиректор Group-IB Илья Сачков, могут обнаружиться новые кошельки и, соответственно, сумма ущерба тоже изменится в большую сторону.
Криптовалюта – глобальная хайповая история, которая всем интересна, но еще не до конца понятна. И мошенники этим пользуются, создавая качественные фишинговые сайты.
Преступники могут быть из России
Но это неточно. Фишинговые сайты зарегистрированы в России плюс-минус в одно и то же время и «хостятся» тоже в России. Но эти факты еще не говорят о том, что к делу причастны знаменитые «русские хакеры», рассуждает Илья Сачков. Все-таки интерфейсы регистраторов и хостинг провайдеров доступны на нескольких языках.