Creepy валюта: почти половина постов в Telegram о криптовалютах — мошеннические
Согласно оценке Angara Security, в 2023 году более 40% материалов в Telegram-каналах, посвященных теме криптовалют, оказались мошенническими.
По мнению экспертов, рост числа таких публикаций в конце прошлого года может быть связан с уходом криптовалютной биржи Binance из России и продажи ее бизнеса российской компании. Кибермошенники стали мимикрировать под преемницу Binance — платформу CommEX — и создавать похожие проекты для вымогательства, а Telegram становится каналом распространения фишинга, который активно осваивают злоумышленники.
«Крипта» садится на телегу
Аналитики Angara Security проанализировали с помощью OSINT-инструментов (open-source intelligence — исследования по открытым источникам) публикации на тему криптовалюты в открытых Telegram-каналах. По их данным, с которыми ознакомился Forbes, всего в 2023 году было выявлено около 22 000 материалов, связанных с криптовалютами, из них почти 9000 были отмечены как подозрительные и впоследствии удалены. «Мошеннические публикации удаляются на основании жалоб пользователей, силами техподдержки Telegram и по заявлениям специалистов, которые занимаются Threat Intelligence, — поясняют в Angara Security. — Часть сообщений удаляют сами преступники, чтобы использовать их для повторных кампаний на других площадках. Несмотря на удаление, эти материалы остаются в архиве Telegram и доступны для изучения».
В большинстве удаленных сообщений авторы предлагали пользователям инвестировать в крипторынок, например, «из 1000 рублей сделать 70 000 рублей», при этом перевод предлагали осуществить на банковскую карту. Для привлечения пользователей на свои ресурсы мошенники использовали агрессивные названия Telegram-каналов: «заработок сейчас», «путь к успеху», «финансовая независимость», «умные инвестиции», «крипто ферма», «крипто бабос», «официальный канал» — указывают эксперты. По их словам, основные типы контента на таких каналах — курсы по обучению заработка на криптовалютах, предложениях о вкладах в криптоактивы, реклама групп и каналов инвесторов, скрытая реклама различных платформ, реклама криптокошельков, скидок и бонусов за регистрацию.
«Мошенники понимают и отслеживают проблемы не только рядовых пользователей, но и компаний, — рассуждает старший эксперт по защите бренда Angara Security Виктория Варламова. — Их привлекают фразами «ваши активы не смогут заморозить…», предлагая юридическим лицам не только регистрировать офшорные компании, но и инвестировать в криптовалюту, чтобы избежать формальностей при легализации бизнеса в иностранных юрисдикциях».
Для некоторых схем мошенники разрабатывают мобильные приложения и сайты, которые используются как площадки для фишинговых атак и скам-страницы. Так, в 2023 году в ru-сегменте зарегистрировано почти 1500 доменов, связанных с инвестициями, 50% из которых — в IV квартале 2023 года. При этом ряд зарегистрированных доменов использовали отсылки к платформам Binance и CommEX. «697 доменов сейчас неактивны — это 47% из всех зарегистрированных за 2023 год. Часть из них заблокировали регистраторы доменов, часть уже продается следующим пользователям, некоторые пустуют без контента», — уточняют в Angara Security.
Варламова напоминает, что криптовалютная биржа Binance прекратила работать в России ближе к конце прошлого года и продала свой бизнес российской компании: «Кибермошенники стали мимикрировать под преемницу Binance — платформу CommEX — и создавать похожие проекты с целью вымогательства».
Из-за ухода Binance с российского рынка часть пользователей этого региона начала переходить на криптобиржу CommEX, и такие изменения привлекли внимание мошенников, согласен руководитель группы анализа и прогнозирования киберугроз Positive Technologies Николай Чурсин: «Это подтверждается появлением мошеннических схем и фишинговых доменов, связанных с этой криптобиржей».
По данным Mediascope, Telegram демонстрирует наибольшие темпы роста по сравнению с другими коммуникационными платформами. По итогам октября 2023 года охват сервиса составил 82,3 млн человек — это на 15% больше, чем в аналогичный период в прошлом году, и на 62% больше, чем осенью 2021-го. При этом за два года аудитория Telegram в России выросла более чем на 30 млн человек.
Попасться на приманку
Криптовалюта всегда была в фокусе у мошенников и киберпреступников, констатируют аналитики. Инвестиционное мошенничество (инвестскам) остается популярной схемой киберпреступников, особенно распространены подобные аферы с криптовалютами, в которых в том числе используют имена известных людей или брендов, говорит ведущий аналитик департамента Digital Risk Protection компании F.A.С.С.T. Евгений Егоров.
Темы, связанные с криптовалютой, по-прежнему вызывают высокий интерес, что, в свою очередь, влияет на рост количества криптоскама и фишинга, считает старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова. «В 2023 году мы наблюдали, что кибермошенники активно использовали Telegram в своих схемах: создавали различные боты по заработку на криптобиржах, подстраивались под новостную повестку», — продолжает она. Интерес мошенников к сфере прослеживается и в увеличении на 20% количества сообщений о продаже или покупке мошеннических схем на эту тематику, обращает внимание Николай Чурсин.
«Появился интерес к этой сфере мошенничества. Кто-то хочет начать этим заниматься — он хочет купить схему. Кто-то знает, что есть интерес к этой теме и как реализовать этот вид мошенничества, — он продает схему», — объясняет он.
«Мы фиксируем рост инцидентов с использованием инструментов, нацеленных на кражу или несанкционированный майнинг криптовалюты. Помимо 30%-ного роста атак троянов-вымогателей, в 2023 году наблюдался рост числа инцидентов с использованием вредоносных криптомайнеров», — делится наблюдениями технический директор компании МТС RED Денис Макрушин.
Фишинг — один из основных инструментов злоумышленников, продолжает Егоров: «Существуют сотни шаблонов сайтов как под разные бренды, так и вымышленные компании, онлайн-платформы, связанные с криптоиндустрией». Другой вариант похищения криптосредств — это, по словам эксперта, уговорить жертву перевести криптовалюту или обычные деньги (для ее покупки) на указанный мошенниками адрес, например, под предлогом приумножения капитала, криптоактива. «На самом деле это перевод в один конец. Также жертва может купить пустышку под видом перспективного токена», — отмечает Егоров.
Для привлечения аудитории на фишинговые и мошеннические ресурсы, Telegram-каналы-злоумышленники применяют множество методов — фейковые трансляции на видеохостингах, сообщения, посты и реклама в социальных сетях, создание фейковых или взлом аккаунтов в соцсетях или «учеток» владельцев каналов в мессенджерах, связанных с криптовалютой, перечисляет Евгений Егоров: «Попасться на такие сайты или каналы можно в том числе через поисковую выдачу или спам-рассылку по электронной почте».
Telegram становится каналом распространения фишинга, который активно осваивают киберпреступники, размышляет Макрушин. «Например, в IV квартале мы фиксировали множественные попытки отправки фишинговых сообщений пользователям этого мессенджера. А в I квартале появились первые случаи использования подделки голосовых сообщений мошенниками с целью ввести пользователя в заблуждение», — говорит он. По мнению эксперта, это доказывает, что мошенники видят перспективы в атаках на пользователей Telegram и будут использовать его еще активнее.
В Telegram на запрос Forbes не ответили.