7 апреля 2020 г.

Дмитрий Волков

Технологии блокчейн гарантируют криптоактивам независимость от внешних регуляторов. Распределенный реестр хранит информацию о содержимом всех кошельков, обеспечивая сохранность средств. Впрочем, существует множество нюансов, которые позволяют злоумышленникам использовать особенности блокчейна в качестве точек давления на владельца активов и воровать чужие средства не менее изощренно, чем с банковских счетов, а иногда — даже с большей изобретательностью. В этой статье расскажем о видах мошенничества и методах противодействия им.

Технические угрозы

В банках главным идентификатором пользователя является его паспорт или доверенность от лица организации на распоряжение счетом. В крайнем случае вы всегда можете прийти в отделение и навести порядок со своими активами. Когда речь идет о блокчейне, принадлежность кошелька определяет закрытый криптографический ключ. Утрата этого ключа равносильна утрате самого кошелька: если ключ станет известен злоумышленнику, он сможет моментально вывести ваши средства на свой счет, а в случае его утраты вы сами не сможете распоряжаться собственными криптоактивами.

Чтобы заполучить ключ от кошелька мошенники идут на самые разные ухищрения. Тут в ход идут и вирусы, которые могут украсть нужный файл с вашего компьютера, и фишинговые сайты, имитирующие известные вам биржи. Их цель узнать или сам закрытый ключ, или получить вашу пару логин/пароль на доступ к сервису, который вы используете при работе с криптоактивами. Чтобы не допустить подобных инцидентов нужно придерживаться расширенных практик цифровой гигиены. Как и частным пользователям бизнесу необходимо шифровать файлы на своем компьютере, не использовать одинаковые пароли, включить двухфакторную авторизацию и внимательно следить за адресами в браузере.

Но для бизнеса, связанного с платежами в криптовалютах, этих мер будет недостаточно. Компаниям также необходимо использовать «холодные» и «горячие» кошельки, то есть хранить на устройствах, подключенных к интернету только данные «горячего» кошелька, на котором находится только малая часть криптоактивов. Данные холодного кошелька должны всегда оставаться на устройстве, которое не подключено ни к какой сети, чтобы их невозможно было украсть никакими онлайн атаками. Чтобы обеспечить защиту от инсайдеров можно использовать множественную подпись, чтобы ни один сотрудник или партнер не имел полного доступа к кошельку без подтверждения других ответственных лиц. Тем не менее, даже при таких мерах существует ряд угроз, на которые стоит обратить внимание.

Социальная инженерия

Впрочем, как показывает практика, большинство инцидентов с кражей криптовалюты происходят в ходе транзакций, которые кажутся пользователю легитимными. Для этого применяются методы социальной инженерии, которые могут быть нацелены как на частных инвесторов, так и на компании.

Так, большую популярность набирают скаммеры в Telegram. Представляясь опытными инвесторами или партнерами крупных фирм они предлагают выгодно инвестировать. Однако получив однажды крипотактивы, такие мошенники просто перестают выходить на связь. В случае атаки на бизнес используют более искусные, длительные и сложные способы социальной инженерии, в которых создают иллюзию доверия между компаниями. Недавно один предприниматель хотел купить альткоин за биткоин, но его убедили, что сделать это надо через «надежного посредника». Последний связался с «надежным» продавцом криптовалюты в Телеграм, успешно совершил небольшую операцию и заработал кредит доверия покупателя. Однако после перечисления большой суммы в биткоинах от покупателя посредник просто исчез.

Другой пример — имитация работы службы поддержки. Например, в CEX.IO есть политика, согласно которой администратор или инженер технической поддержки никогда не напишет пользователю сам. Поэтому каждый клиент может быть уверен, что внезапно «всплывший» администратор определенно является мошенником. Такие аферисты просят предоставить им доступ к личному кабинету, передать ключи шифрования и другую информацию. Их общая методика обмана заключается в стремлении сделать все быстро. Обычно они торопят клиента, пугая его тем, что «деньги вот-вот кто-то выведет со счета» или «если мы сейчас же не исправим ошибку, вы потеряете доступ к своему кошельку». Во всех этих случаях главное не спешить и тщательно проанализировать ситуацию.

Например, если к вам кто-то обращается и называет себя представителем компании, лучше всего самостоятельно позвонить на официальные телефоны или написать на электронную почту, приведенную на сайте. Если вам подтвердят полномочия человека, вы сможете спокойно общаться с представителем компании. В противном случае вы рискуете сами передать преступнику свои активы.

Риски в бизнес-сфере оказываются еще выше. Буквально в этом году стало известно, что израильская криптобиржа инвестировала в сервис популярного криптокошелька для создания совместного продукта. Получив от биржи 40 BTC, компания-кошелек просто прекратила свою деятельность. Естественно, шансов вернуть деньги у инвестора уже нет.

Юридическое мошенничество

На стыке особенностей блокчейна и правовых нюансов, разнящихся для различных стран и секторов экономики, возникают новые возможности для кражи ваших денег. Например, мошенники могут требовать доказать соблюдение GDPR (европейский закон о защите персональных данных) и шантажировать компанию обращением к регулятору. Дело в том, что правила GDPR касаются любого бизнеса, который предоставляет услуги лицам в ЕС и работает с персональными данными резидентов стран.

Правила GDPR были приняты только в 2018 году и отличаются большой сложностью. Надо сказать, что далеко не все компании, работающие в Европе действительно успели к ним адаптироваться, а международным организациям приходится сложнее всего. Но самое главное, что за нарушение регламента GDPR европейскими регуляторами предусмотрены большие штрафы, и именно этим пользуются мошенники. Предприниматели уже готовы к претензиям со стороны контролирующих органов и боятся, что неосознанно совершают какое-то нарушение. Поэтому шантаж часто оказывается успешным.

Другой вариант — реальное возбуждение различных дел, подача жалоб в регулирующие органы в тех странах, где ваша компания ведет бизнес. Регулирование работы с криптоактивами отличается от государства к государству, и при желании можно придумать множество придирок, которые могут стать поводом для судебного разбирательства. Пожалуй, единственный способ справиться с подобными видами мошенничества — поддержка опытных и квалифицированных юристов.

Фиктивные сделки

Пожалуй, самый опасный вид мошенничества — имитация полноценной сделки. В случае с криптоактивами злоумышленники могут пойти на различные махинации, цель которых — не выполнить свою часть сделки, когда вы уже завершили свою. Учитывая, что речь идет о блокчейне, далеко не в каждой стране можно пойти в суд, чтобы вернуть свои средства или активы. Поэтому нужно следить за каждым этапом сделки, не соглашаться на физическую передачу активов в виде токенов, так как это угрожает вашей личной безопасности, а иногда — даже жизни. Часто мошенники присылают номера кошельков, на которых есть монеты или, наоборот, подтверждают наличие денег на банковских счетах для покупки криптоактивов. Но это никак не гарантирует, что это действительно их средства, и они будут переведены вам по итогам сделки.

Еще один пример — имитация ICO. Initial Coin Offering — прекрасный способ собрать деньги на реализацию динамичного проекта. Вот только мошенники активно используют его для привлечение средств в «пустышку», чтобы потом просто исчезнуть и присвоить себе активы. Так что перед покупкой токенов какой-либо компании нужно тщательно ее проверить, каким бы выгодным ни казалось предложение, если вложиться «в ближайшие 5 минут».

Наконец, если вы работете с банковскими картами, нужно помнить, что оплату картой можно отменить в банке, а перевод криптоактивов — нет. В последнее время участились случаи покупок криптовалют и токенов, когда после сделки человек, которого вы считаете своим клиентом, звонит в банк и сообщает, что он «не совершал этой транзакции». Для этого может быть две причины. Иногда сам покупатель оказывает мошенником: он совершает покупку, выводит криптовалюту на другой кошелек и после этого пытается отменить операцию по карте через банк, уверяя кредитную организацию, что он якобы не совершал этой покупки. В других случаях реальный владелец карты действительно не совершает никаких операций, просто данные его карты оказываются в руках злоумышленника, который как раз и останется в плюсе в конечном счете.

Банки стремятся идти навстречу своим клиентам. И в случае, если вы не можете доказать, что транзакция действительно была проведена самим лицом-владельцем карты, ваша компания лишается средств, а репутация оказывается испорченной. Чтобы избежать подобных махинаций стоит лучше узнавать своих клиентов, запрашивать у них подтверждение владения картой. Например, вы можете провести небольшую тестовую транзакцию и уточнить у покупателя, сколько денег было заблокировано на счете. Также подходит фотографирование документов и их владельца, например, можно попросить покупателя прислать сэлфи с паспортом.

Общие меры безопасности

Для каждого метода мошенничества существуют свои методы противодействия. Однако есть и общие меры безопасности, которые стоит применять бизнесу, чтобы избежать неприятностей при работе с криптоактивами. Мы рекомендуем своим партнерам:

  • содержать в штате своих юристов или обращаться в опытную компанию для юридической поддержки;

  • использовать доверенных посредников (escrow-сервисы) для сделок, когда вы не уверены в контрагенте;

  • точно выяснять, кто ваш клиент, чтобы никто не мог оспорить операции с банковскими картами;

  • требовать доказательства наличия активов и владения счетом;

  • ее работать в тех странах и регионах, требования которых вы не можете соблюсти, например, тот же GDPR

Источник: Дмитрий Волков, технический директор криптобиржи CEX.IO