Наприкінці вересня 2017 року, спільно з працівниками підрозділу «Talos» компанії «Cisco», кіберполіція розпочала спільне розслідування однієї із наймасшабніших фішингових кампаній, направлених на користувачів криптовалюти (операція «Coinhoarder»). Про це інформує Департамент кіберполіції Національної поліції України. Початкова інформація надійшла від колег із «Cisco». Під час аналізу було знайдено велику кількість доменів, назви яких були дуже схожі на оригінальний ресурс онлайн сервісу віртуальних Bitcoin-гаманців: blockchain.info. Із повним списком фішингових ресурсів можна ознайомитись ТУТ. «Заманювання» користувачів відбувалось за допомогою рекламних кампаній Google Adwords. При введені ключової фрази «blockchain» в пошуковій системі Google з’являлося посилання, яке виглядало цілком легітимним: Однак після переходу за цим посиланням користувач потрапляв на фейковий домен (типу bockchain.info). Домен виглядав аналогічним оригінальному, проте мав інше доменне ім’я та спеціально розроблений скрипт від зловмисників. Якщо детальніше, то схема працювала наступним чином: 1. Користувач відкриває фейковий сайт. 2. Сервер зловмисників, на базі Nginx + LuaJIT перенаправляє запит на оригінальний blockchain.info. За допомогою модуля мови програмування Lua у web-сервері Nginx, одразу відбувається зміна даних заголовків та в деяких випадках заборона. 3. Як тільки користувач входить в гаманець, або створює новий, завантажуючи з сайту JavaScript, Nginx на фейковому сервері підміняє його своїм. Зазначені функції, при ініціалізації гаманця відсилають за спеціальною адресою POST-запит із даними: sharedkey, password, secondPassword, isDoubleEncrypted, pbkdf2_iterations, accounts. В «accounts» містяться xpub та xpriv ключі для кожного гаманця. Якщо ж дані гаманця зашифровані подвійним паролем, то він розшифровує та відправляє цю інформацію до себе на сервер. Цікавий факт, що двофакторна аутентифікація в данному випадку не допоможе. 4. На фейковому сервері працює php-backend, який здійснює взаємодію з даними гаманців. За нашими приблизними підрахунками лише у період з вересня по грудень 2017 року, використовуючи вищезазначений метод, зловмисники заволоділи криптовалютою на суму 700 BTC (на момент написання статті ця сума еквівалентна 5 млн. доларів США). Згідно інформації від спеціалістів з безпеки ресурсу blockchain.info, ця фішингова кампанія є однією з наймасштабніших за всю історію існування компанії. Ми вважаємо, що ця група почала свою діяльність ще наприкінці 2014 року, та за 3 роки їх загальних дохід від злочинної діяльності може перевищувати сотні мільйонів доларів США. У 2018 році, діяльність цієї групи значно впала. Пов’язуємо це із введенням додаткових правил модерації рекламних повідомлень в Google Adwords. Це також підтверджується аналізом активності осіб на закритих форум-майданчиках, які пропонують послуги з ведення шахрайських рекламних кампаній. Спеціалісти з кіберполіції також знайшли підтвердження того, що ці зловмисники причетні до створення декількох так званих HYIP-проектів, таких як: flexibit.bz, verumbtc.com, hashminers.biz, котрі явно є так званим «скамом» (scam). Крім того, останнім часом в Україні створюється все більше «розпіарених» криптовалютних проектів, які створюють свої криптовалюти та намагаються залучити інвестиції. У більшості випадків такі проекти орієнтовані на швидкий збір грошових коштів з населення за відсутності будь-яких гарантій доходу. У подальшому, існує декілька сценаріїв розвитку: - повідомлення про нібито злам проекту/біржі; - відсутність росту самої криптовалюти; - банальне зникнення засновників із усіма коштами. У зв’язку з цим, рекомендуємо більш обережніше відноситись до інвестицій в подібні проекти. На даний момент, ми продовжуємо відслідковувати діяльність ще декількох груп, які займаються викраденням криптовалюти, результати розслідувань будуть представлені у найближчий час. Нагадаємо, раніше керівник української кіберполіції Сергій Демедюк наголошував на необхідності законодавчого врегулювання статусу криптовалюти в Україні.