Популярні шахрайські схеми з криптою в Telegram

Шахраї в Telegram працюють за дієвими скриптами, щоб увійти в довіру та витягнути з потенційної жертви якомога більше інформації або, якщо поталанить, ще й криптоактиви. Свою справжню мету вони ховають під маскою клієнтоорієнтованого сервісу чи наданням цінних послуг, запевняючи потенційну жертву, що прийшли їй на допомогу.

За цією схемою шахрай з акаунтом, схожим на реальний, під виглядом клієнта, постійно перебуває в офіційному телеграм-чаті служби підтримки будь-якої топової криптовалютної біржі чи торгової платформи і уважно моніторить звернення клієнтів. Користувачі біржі зазвичай починають вирішувати свою проблему саме з такого чату: сповіщають про неспрацювання певного функціоналу, неможливість вивести з гаманця активи чи значну затримку під час виконання певної операції, переказу тощо. Найчастіше адміністратор групи обіцяє розібратись, просить створити тікет у службі підтримки та надати його номер, після чого переходить до інших учасників. 

Саме на цей момент чекає шахрай, який у приватному повідомленні, називаючись працівником служби підтримки чи безпеки, починає пропонувати більш швидкі способи вирішення проблеми, ніж через тікет, який перебуває у черзі (зазвичай з низьким пріоритетом, отже чекати вирішення питання доведеться довго). Зловмисник звертається з акаунта, де є логотип біржі чи платформи, а назва дуже схожа на офіційну назву Telegram-чату, де відбувся діалог з адміністратором, але з додаванням однієї букви чи цифри наприкінці. Користувач, який терміново шукає вихід з проблемної (найчастіше фінансової) ситуації, може сприйняти шахрая за офіційну особу організації, яка щиро намагається йому допомогти.

Зловмисник сповіщає про альтернативний варіант вирішення проблеми і надає посилання, за яким відкривається фішинговий сайт, де окрім персональної інформації необхідно ввести адресу власника гаманця та seed-фразу до нього. На питання «Навіщо вводити таку інформацію?» шахрай стандартно відповідає, що це допоможе вирішити питання чи зможе пришвидшити переказ або операцію виведення активів, додаючи, що не варто хвилюватися — все буде безпечно тощо. 

Досвідченому трейдеру на цьому етапі стає зрозуміло, що перед ним зловмисник, який за допомогою фішингу намагається заволодіти активами з некастодіального гаманця, що використовують на DEX-біржах чи децентралізованих торгових платформах для здійснення операцій. Але новачок чи трейдер-початківець під психологічним тиском може потрапити у цю пастку, надати всю інформацію і через кілька хвилин втратити активи.

Цього разу схема націлена на VIP-клієнтів криптобірж чи торгових платформ, які мають суттєві баланси у криптоактивах. Базу VIP-клієнтів не складно отримати, добре мотивуючи одного з працівників біржі, який завдяки інсайдерському фроду чи доступу до клієнтських реєстрів отримує всю необхідну інформацію та передає її злочинцям. Існує й інший варіант — у будь-який спосіб потрапити до Telegram-групи, де обслуговують VIP-клієнтів, а далі скласти реєстр її учасників.

Криптобіржі зазвичай стягують комісію, зокрема за операції виведення активів з гаманців. Для інвестиційних фондів чи великих трейдерів це значні витрати. Саме цю тему й експлуатують зловмисники для пошуку жертв та викрадення активів, граючи на жадібності.

Шахраї, які добре знаються на індустрії криптовалют, обирають чергову потенційну жертву із вже отриманого списку та запрошують у новостворений Telegram-канал з обслуговування VIP-клієнтів, що брендований і оформлений під офіційний чат біржі. Клієнт, який  спокусився на пропозицію зменшити комісії чи збільшити ліміти, приймає запрошення і відвідує групу. Там його ввічливо просять залишити відгук (який, звісно, «дуже важливий») про різницю у розмірах комісій найбільших криптобірж, пропонуючи ознайомитись з Excel-файлом, у якому міститься порівняльна таблиця з даними.

Внаслідок завантаження та відкриття файлу під назвою «OKX Binance & Huobi VIP fee comparision.xls», в який були інтегровані макрокоманди, на комп’ютері VIP-клієнта активується бекдор-вірус з XOR-шифруванням, який вилучає певні DLL-бібліотеки і надає зловмисникам віддалений доступ до «зараженого» пристрою. А далі, як кажуть фахівці з ІТ-технологій, лише справа техніки. Зловмисники сканують усі розділи жорсткого диску, шукаючи логіни, паролі, seed-фрази, встановлюють клавіатурного шпигуна, підглядають, контролюють процедури верифікації та аутентифікації жертви на криптобіржах. Згодом, коли отримають усю необхідну інформацію, виводять активи.

Останній випадок такої атаки, яка отримала назву DEV-0139, був виявлений компанією Microsoft у жовтні 2022 року та описаний у корпоративному блозі.  

Схема не нова і масово практикувалась на крипторинку у 2017–2019 роках, але й донині ще не втратила своєї актуальності.

Організатори цієї шахрайської схеми створюють окрему групу в Telegram та набирають команду памперів, додаючи до неї недосвідчених трейдерів та новачків, які спокусились швидким та легким прибутком. Потенційних жертв знаходять в інших телеграм-групах чи чатах на криптовалютну тематику, а також завдяки цільовій рекламі. Найчастіше для пампу обирають неліквідні чи маловідомі криптовалюти, які отримали лістинг хоча б на одній криптобіржі.

На наступному етапі організатори починають поширювати «ексклюзивну» інформацію «з перевірених джерел» (часто «інсайдерських») про те, що якась монета незабаром повинна зрости у вартості через партнерство з відомою компанією чи запланований лістинг на топовій біржі. Інформація вкидається через Telegram-канали на тему крипти, профільні групи у соціальних мережах чи проплачених Youtube-блогерів.

Рекламна кампанія супроводжується постійною купівлею обраної криптовалюти і, звісно, штучно створений попит сприяє поступовому зростанню курсу активу. Паралельно учасникам спеціально створеного чату надходить команда купувати, і вони також долучаються до процесу накачування активу. 

Якщо рекламна кампанія була проведена успішно і спрямована на правильну фокус-групу, то темпи накачування криптовалюти збільшуються прямопропорційно до кількості учасників, які повірили інформації і прагнуть миттєво збагатитись. Все це призводить до здорожчання монети.

Фінал цієї гри, як завжди, раптовий та неочікуваний для учасників. Організатори афери синхронно скидають криптовалюту за найвищою ціною, реалізуючи другу частину схеми під назвою Dump, і її вартість швидко падає (іноді вистачає і хвилини). Зазвичай навіть нижче, ніж було до накачування.

Певна частина учасників у телеграм-групі від початку розуміє, що бере участь у спланованій схемі Pump&Dump, але наївно розраховує вчасно продати свої монети, адже організатори обіцяли попередити учасників про дату та час продажу на хаях. Але команда «продавай» зазвичай надходить або занадто пізно (коли монета вже суттєво впала у ціні), або не надходить взагалі. Таким чином, переважна більшість учасників телеграм-групи, створеної для схеми Pump&Dump, залишається у збитках, а організатори — зі значним прибутком. 

Висновок напрошується сам собою. Ніколи не використовуйте на незрозумілих сайтах паролі чи seed-фрази від гаманців (адресу вводити також не варто). Не відкривайте невідомі файли на своєму комп’ютері, навіть за наявності потужного антивірусного пакету з оновленими базами (зловмисники створюють нові віруси, які ще не вдається розпізнавати). Також не варто брати участь у схемах Pump&Dump, адже це призведе до сумних наслідків для усіх учасників, окрім організаторів. Перед тим, як надати чи отримати інформацію від представника біржі або будь-якої торгової платформи, перевіряйте його особу через офіційні канали. 

Дотримуючись цих рекомендацій, можна звести до мінімуму ризик потрапляння у шахрайську пастку та захистити свої активи.