Подмена криптовалютных адресов как разновидность фишинга

Принцип действия такой вредоносной программы состоит в следующем: заражая систему вирус отслеживает действия пользователя и заменяет любые скопированные адреса кошельков адресом злоумышленника. Как правило подобные программы при подмене используют визуально похожий сгенерированный адрес кошелька. Обычно несколько начальных и конечных символов адреса повторяют адрес пользователя, а символы посредине как раз заменяются, поскольку это сложнее отследить. Риск отправить средства мошенникам значительно увеличивается, в случае если происходит много операций. Вирус может быть трудно обнаружить, поскольку он работает в фоновом режиме, и пользователь сразу может не заметить подмену.

Клиент предоставил нам для исследования подменные адреса 1PNDV7scbonS1t5xCBm2ncuVNECtXhmJs и bc1qtsqc8vk9vafmlwgrjvqyv6mmaj9un60844tjzg, на которые он уже успел отправить свои средства по невнимательности.

В результате изучения указанных выше адресов мы получили следующую картину: 1PNDV7scbonS1t5xCBm2ncuVNECtXhmJs – адрес создан 30.04.2023 г. За все время его существования на этот адрес было отправлено 0.71813817 BTC, общее число операций по адресу: 53 входящих транзакций и 3 исходящих.

В процессе исследования адреса нам удалось найти упоминание о нем на платформе YouTube в описании к видео пользователя @snupayrobb. Примечательно, что владелец канала пишет, что ранее работал администратором на бирже SNUPAY.COM, однако его уволили, после чего он, воспользовавшись доступом к панели администратора, создал промо-код, который позволит пользователям заработать, и разместил его в описании к видео.

Путем построения графа было установлено, что все средства с этого адреса были выведены на адрес биржи Bitstamp. С графом связей мошеннического адреса можно ознакомиться по ссылке.

bc1qtsqc8vk9vafmlwgrjvqyv6mmaj9un60844tjzg – адрес создан 01.05.2023 г. С момента создания на этот адрес было отправлено 2.40602164 BTC, общее число операций по адресу: 130 входящих транзакций и 14 исходящих.

В результате изучения представленного адреса было выявлено, что почти все средства с него были выведены на адрес биржи Bitstamp, одна транзакция ведет на адрес украинской биржи WhiteBIT.

Более подробно с графом-связей можно ознакомиться по ссылке.

По нашей практике подобные вирусы распространяются через фишинговые атаки, подозрительные веб-сайты, пиринговые сети, а также через вложения электронной почты. В некоторых случаях, вирус может быть скрыт в приложениях, загруженных с официальных интернет-площадок, но на самом деле они разработаны с целью взлома.

Чтобы защититься от этого типа вирусов, рекомендуем соблюдать несколько правил цифровой гигиены:

• Регулярное обновление антивирусного ПО. Антивирусные программы, обновляемые в соответствии с актуальными базами данных угроз, обеспечивают защиту от известных вирусов и вредоносных программ.

• Использование анти-фишингого кода. Анти-фишинговый код является защитой от писем, рассылаемых псевдо-биржами с указанием ссылки на фишинговый сайт. Как только пользователь включает анти-фишинговый код, он будет указываться во всех официальных письмах от биржи и позволит отличить настоящие письма от фишинговых.

• Перепроверка реквизитов ввода. Всегда проверяйте адрес, на который вы переводите криптовалюту, сравнивая не только несколько символов в начале и в конце, но и весь адрес целиком. Невнимательность в данном случае играет мошенникам на руку, и они пользуются ей, чтобы Вы сами отправили им свои средства.

Обо всех случаях, связанных с конкретными адресами криптовалюты и рассматриваемыми рисками, Вы можете сообщить на сайте в разделе «Сообщить о подозрительном адресе», чтобы уберечь других пользователей от рисков взаимодействия с такими адресами и их владельцами.