НовостиЭкономикаКурсы

Мошенники начали пользоваться уходом криптобиржи Binance из России

4 октября 2023,источник: Forbes

Мошенники решили заработать на новостях об уходе Binance из России. Так, в Рунете появились первые предложения фейковых токенов торговой криптоплощадки CommEX — покупателя российского бизнеса Binance. Это распространенная схема кибермошенничества, в результате которой злоумышленники завладевают криптоактивами доверчивых пользователей в обмен на пустышку.

Источник: Reuters

Кроме того, в сети нашлись прототипы будущих фишинговых страниц правопреемника Binance, а также «неофициальные аккаунты» биржи в соцсетях. Это предвестники масштабных скам-кампаний, которые попытаются заработать на миграции клиентов с Binance на CommEX, считают опрошенные Forbes эксперты в области кибербезопасности.

Крупнейшая криптовалютная площадка Binance заявила об окончательном уходе из России неделю назад. Однако кибермошенники уже пытаются на этом заработать. «За первые пять дней было создано несколько фейковых групп в Telegram, восемь фейковых токенов, причем у одного был $130 000 суточный объем торгов, и, конечно, начался классический скам на P2P-маркетплейсе», — рассказал Forbes гендиректор CommEX (покупателя российского бизнеса Binance) по развитию региона и СНГ Антон Торопцев.

Первые псевдотокены

В сети действительно появилась первая реклама фейковых токенов криптобиржи CommEx, говорят эксперты российского разработчика технологий по борьбе с киберпреступлениями Fight Against Cybercrime Technologies (F.A.C.C.T.). Например, реклама токенов CMX, выдающих себя за официальные токены CommEX, была опубликована в Telegram-канале «Эрудит Данилов». Канал был создан в августе 2023 года, но у него уже есть большое количество подписчиков — более 26 500 пользователей. «В этом канале 2 октября появился пост с призывом покупать якобы официальный токен CMX», — рассказывает ведущий аналитик департамента Digital Risk Protection компании F.A.С. С.T. Евгений Егоров. В частности, в посте утверждается, что именно в токене CMX будет храниться крупный пул ликвидности CommEX.

Выпуск криптобиржами токенов для поддержки своей экосистемы на крипторынке распространен. Пионером такой практики стала Binance, которая в 2017 году предложила своим клиентам в рамках первичного размещения токен BNB по цене 1 ETH (эфир) за 2700 BNB и 1 BTC (биткоин) за 20 0000 BNB. Покупка токена биржи не предоставляла его владельцам прав на прибыль Binance и не считалась инвестицией в ее бизнес. Вместо этого Binance предложила держателям своего токена использовать его наряду с биткоином и эфиром для оплаты товаров и услуг, экономить при оплате им на комиссиях самой биржи и ее партнеров, получать доходность, вкладывая BNB в проекты BNB Chain — собственного блокчейна экосистемы Binance.

Когда Binance заявила об окончательном уходе из России, основатель криптобиржи Чанпэн Чжао в своих соцсетях пообещал 25%-ную скидку по комиссионным сборам на CommEX для российских владельцев BNB.

Этим и решили воспользоваться мошенники. В рекламном посте утверждается, что именно в токене CMX будет храниться крупный пул ликвидности CommEX. «Механика такая: скамер выпускает токен CMX, выдавая его за официальный токен CommEX, и предлагает его купить в связке с известным токеном — BNB. В итоге скамер получает BNB, а жертва — пустышку», — говорит Егоров. По его словам, канал был отмечен пометкой scam, а в описании канала появилось предупреждение о поступивших на него жалобах.

На данный момент биржа не имеет собственного токена, говорится в официальном комьюнити CommEX: «Проекты, которые названы так же, как проект CommEX, например CMX, являются мошенниками». По словам Торопцева, CMX — не единственные фейковые токены. Помимо них были созданы фейковые токены СOMMEX и COMM. Биржа не имеет отношения к ним и другим токенам, размещенным от ее имени на централизованных и нецентрализованных биржах.

Страницы для невнимательных

Еще одна распространенная на криптовалютном рынке схема мошенничества — использование доменов, схожих по названию с официальным. Специалисты компании Positive Technologies и «Лаборатории Касперского» обнаружили сразу несколько таких доменов — с названиями, похожими на CommEX. На них сейчас нет активности, но впоследствии они могут быть использованы в мошеннических целях как фишинговые страницы, считает директор департамента аналитики информационной безопасности Positive Technologies Евгений Гнедин.

Перенаправление на сторонний известный ресурс — это один из признаков «заглушки» фишинговой страницы, рассказывает эксперт. Обнаруженные страницы, по его словам, обладают таким признаком.

«Например, был обнаружен домен commex.top, зарегистрированный 27 сентября 2023 года, который не соответствует официальному сайту компании commex.com, хоть и ссылается на него. Такой сайт также может оказаться мошенническим и в дальнейшем на нем может располагаться фишинговая страница», — говорит Гнедин.

Кроме того, Positive Technologies обнаружила неофициальные аккаунты CommEX в соцсетях. Например, в Telegram появились каналы и группы, в которых обсуждают криптобиржу CommEX, некоторые из них позиционируют себя как официальные каналы, хотя на сайте CommEX информации о таких страницах нет. «Есть группы, которые раньше использовались совсем для другой тематики общения, никак не связанной с криптовалютой или биржами. Сейчас они изменили название и заставку на связанную с криптобиржей. В этих каналах и группах пока что не наблюдается каких-либо активностей, связанных с мошенничеством, но описанные выше признаки могут быть свидетельством подготовки мошенников к активным действиям», — говорит Гнедин.

Фишинговый ресурс, который обнаружила «Лаборатория Касперского», мимикрирует под платформу CommEX. «Он сверстан качественно и на первый взгляд почти не отличается от оригинала. Однако в его доменном имени содержится опечатка: злоумышленники поменяли несколько букв так, чтобы пользователи сразу не заметили подделку. К тому же единственная рабочая кнопка в интерфейсе фальшивой страницы — это connect wallet. Иными словами, вместо регистрации или ввода логина пользователю сразу предлагают привязать к платформе криптокошелек. Если человек привяжет криптокошелек на этом ресурсе, он рискует дать доступ к нему злоумышленникам», — рассказывает старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова. Судя по открытым данным, зарегистрирован домен в конце сентября. «Поэтому не исключено, что злоумышленники в данном случае эксплуатируют новостную повестку», — добавляет она.

«Лаборатория Касперского» напоминает о еще одном признаке фишинговой страницы, на который стоит обратить внимание пользователям. Это неработающие кнопки: злоумышленники зачастую не копируют сайт целиком, а создают одну или несколько поддельных страниц.

В официальном комьюнити CommEX предупреждает, что не имеет никакого отношения к проектам со схожими названиями.

Что будет дальше

Мошенники довольно часто используют актуальную новостную повестку, особенно это заметно в криптомире, говорит представитель F.A.C.C.T. Новость о грядущем уходе Binance и последующей миграции российского сегмента пользователей на CommEX вместе с заведенными на площадку активами — новая почва для их креатива. По словам пресс-службы F.A.C.C.T., в связи с уходом Binance можно ждать появления и других мошеннических схем, которые могут обыгрывать уход Binance из России. Например, в криптомире сейчас популярна схема Fake Crypto Giveaway, суть которой состоит в привлечении криптовладельцев к розыгрышу, лотерее или другой активности, где какая-нибудь звезда криптомира предлагает перевести на указанный кошелек определенную сумму в биткоине, эфире и иных популярных криптовалютах, например в Ripple, Cardano, Dogecoin и Shiba Inu, и получить за участие в акции еще больше. QR-коды на криптокошелек могут указываться как прямо в трансляции на YouTube или TikTok, так и на специальном сайте фейкового проекта.

По результатам предварительного анализа можно сделать вывод о том, что на форумах в дарквебе действительно есть интерес к факту продажи бизнеса криптобиржи, соглашается Гнедин. Этот интерес может вылиться в масштабные скам-кампании с целью незаконного заработка, опасается он.

Мы ожидали, что скам на P2P неизбежен, поэтому на старте открыли возможность создавать объявления только верифицированным мерчантам, то есть трейдерам, у которых уже есть большой опыт торговли. Но даже их пытаются заскамить.

Антон Торопцевгендиректор CommEX по развитию региона и СНГ

По его словам, сейчас в основном все попытки направлены на невнимательность людей. Например, два разных юзера (за которыми может находиться кибермошенник) одновременно открывают сделки на одну и ту же сумму по одному объявлению. За один ордер рубли переводят, а за другой нет, а так как суммы ордера одинаковые, мерчант может ошибиться и подтвердить оба, таким образом скамер получает 100% доходности с каждой сделки. Также пытаются кидать фейковые чеки в службу поддержки, если мерчант создает апелляцию. «За все попытки скама перманентно баним», — заключает Торопцев. Он говорит, что CommEX сейчас разрабатывает сервис дополнительных оповещений, чтобы перед подтверждением сделки пользователь все несколько раз перепроверил.