Міністерство
внутрішніх справ України 01601, м. Київ, вул. Академіка Богомольця, 10
з по
Пошук по сайту

Міністерство внутрішніх справ України

Автоматична інформаційно-довідкова служба:
(044) 256-03-33

Канцелярія:
(044) 256-16-27

Факс:
(044) 253-64-04

Інформаційні запити засобів масової інформації

e-mail: zmi@mvs.gov.ua

Телефон "Довіри" Управління у справах учасників АТО

(044) 256-17-20
вівторок та четвер
(крім державних свят)
з 10:00 до 12:00
та з 15:00 до 17:00
ГУМВС України в Київській області
Київ
Лвів
Луцьк
Рівне
Ужгород
Івано-Франківськ
Тернопіль
Чернівці
Хмельницький
Житомир
Вінниця
Чернігів
Черкаси
Суми
Полтава
Харків
Кіровоград
Дніпропетровськ
Луганськ
Донецьк
Запоріжжя
Херсон
Миколаїв
Одеса
Сімферополь
Київська областьЛьвівська областьВолинська областьРівненська областьЗакарпатська область
Івано-Франківська областьТернопільська областьЧернівецька областьХмельницька областьЖитомирська область
Вінницька областьЧернігівська областьЧеркаська областьСумська областьПолтавська область
Харківська областьКіровоградська областьДніпропетровська областьЛуганська областьДонецька область
Запорізька областьХерсонська областьМиколаївська областьОдеська областьАР Крим область
a
a
a

Кіберполіція викрила масштабну фішингову кампанію, направлену на користувачів криптовалюти (ФОТО)

14.02.2018 16:14

Наприкінці вересня 2017 року, спільно з працівниками підрозділу «Talos» компанії «Cisco», кіберполіція розпочала спільне розслідування однієї із наймасштабніших фішингових кампаній, направлених на користувачів криптовалюти (операція «Coinhoarder»).

Початкова інформація надійшла від колег із «Cisco». Під час аналізу було знайдено велику кількість доменів, назви яких були дуже схожі на оригінальний ресурс онлайн сервісу віртуальних Bitcoin-гаманців: blockchain.info.

«Заманювання» користувачів відбувалось за допомогою рекламних кампаній Google Adwords. При введені ключової фрази «blockchain» в пошуковій системі Google з’являлося посилання, яке виглядало цілком легітимним:

Однак після переходу за цим посиланням користувач потрапляв на фейковий домен (типу bockchain.info). Домен виглядав аналогічним оригінальному, проте мав інше доменне ім’я та спеціально розроблений скрипт від зловмисників.

Якщо детальніше, то схема працювала наступним чином:

1. Користувач відкриває фейковий сайт.

2. Сервер зловмисників, на базі Nginx + LuaJIT перенаправляє запит на оригінальний blockchain.info.

За допомогою модуля мови програмування Lua у web-сервері Nginx, одразу відбувається зміна даних заголовків та в деяких випадках заборона.

3. Як тільки користувач входить в гаманець, або створює новий, завантажуючи з сайту JavaScript, Nginx на фейковому сервері підміняє його своїм.

Зазначені функції, при ініціалізації гаманця відсилають за спеціальною адресою POST-запит із даними: sharedkey, password, secondPassword,  isDoubleEncrypted, pbkdf2_iterations, accounts.

В «accounts» містяться xpub та xpriv ключі для кожного гаманця. Якщо ж дані гаманця зашифровані подвійним паролем, то він розшифровує та відправляє цю інформацію до себе на сервер. Цікавий факт, що двофакторна аутентифікація в данному випадку не допоможе.

4. На фейковому сервері працює php-backend, який здійснює взаємодію з даними гаманців.

За нашими приблизними підрахунками лише у період з вересня по грудень 2017 року, використовуючи вищезазначений метод, зловмисники заволоділи криптовалютою на суму 700 BTC (на момент написання статті ця сума еквівалентна 5 млн. доларів США). Згідно інформації від спеціалістів з безпеки ресурсу blockchain.info, ця фішингова кампанія є однією з наймасштабніших за всю історію існування компанії. Ми вважаємо, що ця група почала свою діяльність ще наприкінці 2014 року, та за 3 роки їх загальних дохід від злочинної діяльності може перевищувати сотні мільйонів доларів США.

У 2018 році, діяльність цієї групи значно впала. Пов’язуємо це із введенням додаткових правил модерації рекламних повідомлень в Google Adwords. Це також підтверджується аналізом активності осіб на закритих форум-майданчиках, які пропонують послуги з ведення шахрайських рекламних кампаній.

Спеціалісти з кіберполіції також знайшли підтвердження того, що ці зловмисники причетні до створення декількох так званих HYIP-проектів, таких як: flexibit.bz, verumbtc.com, hashminers.biz, котрі явно є так званим «скамом» (scam).

Крім того, останнім часом в Україні створюється все більше «розпіарених» криптовалютних проектів, які створюють свої криптовалюти та намагаються залучити інвестиції. У більшості випадків такі проекти орієнтовані на швидкий збір грошових коштів з населення за відсутності будь-яких гарантій доходу. 

У подальшому, існує декілька сценаріїв розвитку: 

- повідомлення про нібито злам проекту/біржі;
- відсутність росту самої криптовалюти;
- банальне зникнення засновників із усіма коштами.

У зв’язку з цим, рекомендуємо більш обережніше відноситись до інвестицій в подібні проекти.

На даний момент, ми продовжуємо відслідковувати діяльність ще декількох груп, які займаються викраденням криптовалюти, результати розслідувань будуть представлені у найближчий час.

Нагадаємо, раніше керівник української кіберполіції Сергій Демедюк наголошував на необхідності законодавчого врегулювання статусу криптовалюти в Україні. 

Департамент кіберполіції Національної поліції України

При використанні матеріалу гіперпосилання на mvs.gov.ua обов`язкове
ВСІ НОВИНИ