Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

$347 млн збитків за рік: новий вид фішингу набирає обертів

Павло Осадчук
Павло Осадчук Digital-журналіст із досвідом роботи у Web3- і криптокомпаніях
2 лютого 2024 6 хвилин читання

Кожен новий рік починається з підбиття підсумків минулого — як корпоративних, так і особистих. Хоча річна статистика здебільшого зводиться до досягнень та позитивних результатів, настав час для більш неприємних висновків. А саме для невтішних даних від криптоаудитора Chainalysis, які свідчать про стрімке зростання за останні два роки випадків фішингу підтвердження. 

Щоб привернути увагу до важливості криптовалютної безпеки, ми зануримося у найпопулярніші тактики нової стратегії фішингу та проаналізуємо дослідження Chainalysis від А до Я.

Що таке фішинг підтвердження

Фішинг підтвердження, також відомий як ice phishing (підлідний фішинг — результат гри слів, що відсилає до підлідної риболовлі) — доволі відома тактика шахрайства, яка не має майже нічого спільного з традиційними криптовалютними аферами. 

У той час як традиційний фішинг передбачає викрадення криптовалюти обманним шляхом через фальшиву інвестиційну пропозицію або видавання себе за іншу особу, фішинг підтвердження є більш витонченим. 

Зокрема, підлідний фішер обманом змушує жертву підтвердити (звідси й назва) фіктивну блокчейн-транзакцію, яка відкриває доступ до гаманця жертви, щоб зловмисник міг викрасти всі активи. У таких випадках постраждалі часто потрапляють на фішингові вебсайти, що імітують реальні криптовалютні сервіси. 

За даними BeInCrypto, деякі жертви підлідного фішингу втратили до десятків мільйонів доларів. Тим часом Chainalysis наводить більш усеосяжні дані щодо $347 млн, які, ймовірно, були викрадені шляхом такого виду фішингу.

Як працює фішинг підтвердження

Фішинг схвалення здійснюється за типовою схемою, яка містить такі кроки:

  • Криптоадреса жертви підписує транзакції, дозволяючи другій адресі витрачати свої кошти.
  • Друга адреса (підтверджений адресат розпорядника коштами) виконує транзакцію з переказу коштів на нову адресу призначення.
Схема роботи фішингу підтвердження. Першоджерело: Chainalysis Схема роботи фішингу підтвердження. Першоджерело: Chainalysis

Важливо те, що, за даними Chainalysis, саме децентралізовані застосунки (dApps) з інтеграцією смартконтрактів є найбільш привабливим середовищем для підлідних фішерів. Головна причина для цього — їхня внутрішньоланцюгова структура. 

Переважна більшість децентралізованих застосунків вимагає від користувачів підтвердження транзакцій, що надає смартконтракту застосунку дозвіл на переміщення коштів за адресою користувача. Такі схвалення зазвичай безпечні, оскільки структура смартконтрактів потребує прямого підтвердження з боку користувача. Ба більше, самі користувацькі адреси і є ініціаторами транзакцій. Проте шахраї можуть скористатися тим, що користувачі криптовалют просто звикли підписувати транзакції, не задумуючись про можливий ризик. Хитрість полягає у наданих дозволах і «надійності» другої сторони. 

Наскільки поширеним є фішинг підтвердження

Під час дослідження Chainalysis виявив щонайменше 1013 адрес, причетних до фішингу підтвердження. Загалом від травня 2021 року жертви такого виду шахрайства втратили приблизно $1 млрд.

Загальна сума активів, викрадених імовірно шляхом фішингу підтвердження від травня 2021-го до лиспопада 2023-го. Джерело: Chainalysis Загальна сума активів, викрадених імовірно шляхом фішингу підтвердження від травня 2021-го до лиспопада 2023-го. Джерело: Chainalysis

Пік випадків фішингу підтвердження припав на травень 2022 року. Той рік виявився найприбутковішим для шахраїв, оскільки жертви такого виду фішингу втратили $516,6 млн у криптовалютному еквіваленті проти лише $374,6 млн у 2023 році. 

Підлідний фішинг не можна назвати традиційно масштабним, оскільки переважна більшість випадків такого шахрайства відбувається за участі лише невеликої кількості дуже успішних субʼєктів.

Розподіл надходжень до фішингових адрес у період від травня 2022-го до листопада 2023-го. Джерело: Chainalysis Розподіл надходжень до фішингових адрес у період від травня 2022-го до листопада 2023-го. Джерело: Chainalysis

Зокрема, найбільш «ефективною» адресою фішингу підтвердження, ймовірно, було викрадено $44,3 млн з тисяч гаманців жертв, що становить 4,4% від загального обсягу фішингових атак. При цьому 15,9% викрадених коштів було переведено лише на десять найбільших затверджених фішингових адрес, тоді як половину коштів вдалося відстежити до 73 рахунків.

Як захистити себе від фішингу підтвердження

Проблему фішингу з підтвердженням можна вирішити різними способами — від належної просвіти з питань безпеки до розпізнавання традиційних схем. Однак для ефективнішого зниження ризиків важливо розуміти, що викрадені кошти переміщуються з адрес призначення на адреси консолідації, звідки вони розподіляються між учасниками. Це означає, що будь-яка «винагорода» шахрая неминуче опиниться на певній адресі централізованої біржі (CEX) і згодом буде виведена у готівку.

Одна з можливих схем фішингу підтвердження. Першоджерело: Chainalysis Одна з можливих схем фішингу підтвердження. Першоджерело: Chainalysis

Отже, основним правилом захисту від фішингу підтвердження є вибір біржі з високим рівнем безпеки та належним дотриманням вимог AML (протидії відмиванню грошей), адже вони активніше відстежують підозрілу активність. Згідно з рейтингом CER.live від українського криптоаудитора Hacken, лідерами у захищеності є Crypto.com, Kraken, WhiteBIT, Binance та Coinbase. 

Проте запобіжні заходи однаково залишаються важливими. Досліджуйте індустрію, з належною увагою стежте за своїми транзакціями і не соромтеся звертатися до служби підтримки, якщо у вас вкрали кошти. 

Пам'ятайте: доки індустрія не пропонує більш складні рішення, основна відповідальність за безпеку ваших коштів від фішингу підтвердження лежить на нас із вами. 

Якщо ви хочете поділитися з читачами SPEKA власним досвідом, розповісти свою історію чи опублікувати колонку на важливу для вас тему, долучайтеся. Відтепер ви можете зареєструватися на сайті SPEKA і самостійно опублікувати свій пост.
0
Прокоментувати
Інші матеріали

Як ШІ допомагає тестувати ПЗ: найкращі інструменти для QA Engineer

Anna Kovalova 4 години тому

Як малому бізнесу ефективно реагувати на нестабільність економіки України

Даніелла Шихабутдінова 26 лютого 2024 17:00

Гранти: безкоштовні гроші чи ще одна форма садомазохізму?

Роман Абрашин 26 лютого 2024 13:00

Фінансові установи (нарешті) інтегрують крипту. Яке у цього майбутнє?

Павло Осадчук 23 лютого 2024 18:00

Чи можна довіряти бейбі-монітору та наскільки важлива кібербезпека в інтернеті речей

Bohdan Savchuk 23 лютого 2024 15:45