" 30 сентября крипто-педагог Duo Nine, создатель платформы Your Crypto Community (YCC), чуть не стал жертвой мошенничества.
Мошенники утверждали, что они являются руководителями венчурной компании ParaFi. Их целью было убедить Duo Nine загрузить «исправление», которое позволило бы работать его копии Slack. На самом деле «драйвер», скорее всего, был вредоносной программой, и злоумышленники пытались украсть закрытый ключ жертвы и лишить его крипто-кошелька всего содержимого.
Партнер ParaFi Кевин Йедид-Ботон (Kevin Yedid-Boton) заявил в своем посте от 1 октября, что мошенники не связаны с его фирмой, и пользователи криптовалюты не должны взаимодействовать с поддельными аккаунтами.
«Прошлой ночью я стал жертвой одного из самых сложных действий в области социальной инженерии, которые я когда-либо видел, мошенники выдавали себя за сотрудников @paraficapital, - заявил Duo Nine. - Если вы занимаетесь криптовалютой, вы становитесь мишенью».
Duo Nine объяснил, что с ним связался человек на X, который назвал себя Райаном Нави, директором и главой венчурного подразделения ParaFi Capital.
Человек заявил, что представляет протоколы Web3, Layer3, Polymarket, Zapper и Coin98. По словам этого человека, эти компании искали «KOLs» (ключевых лидеров общественного мнения), которые помогли бы им продвигать свои продукты, подразумевая, что они могут быть заинтересованы в партнерстве с Duo Nine.
Сообщение пришло с подтвержденного аккаунта на X.
В ответ Duo Nine запросил электронное письмо с домена компании или личное сообщение из учетной записи X компании.
Человек отказался предоставить ему что-либо из этого, но направил его на официальный сайт ParaFi, где были указаны «Райан Нави» и несколько других членов команды. Человек также показал Duo Nine, что у каждого члена команды есть подтвержденная учетная запись X и что все эти учетные записи подписаны на его учетную запись. По словам Duo Nine, он воспринял нежелание человека отправить электронное письмо как «мгновенный сигнал тревоги». Несмотря на это, он решил «принять подачу».
Рисунок 1. Беседа с имитатором ParaFi. Источник: Duo Nine.
После обмена несколькими сообщениями предполагаемый «Райан Нави» пригласил преподавателя криптографии в групповой чат в Telegram с собой и двумя другими людьми, которые представились членами команды ParaFi Николь Фергюсон и Стефани Нг.
В чате четыре человека договорились об условиях нового партнерства. Однако в последнюю минуту «Николь Фергюсон» предложила им встретиться по аудиосвязи, чтобы обсудить окончательные детали. Именно в этот момент начала раскрываться истинная цель встречи.
Предполагаемые члены команды прислали «Николь Фергюсон» подлинную ссылку на календарь, которую она подтвердила, просмотрев URL. Перейдя по этой ссылке, она договорилась с ними о встрече. Однако ее предупредили, что команда будет использовать сервер Slack для проведения звонка, а это означало, что нужно будет зарегистрироваться в учетной записи Slack. Она сочла этот запрос «любопытным», но все равно зарегистрировалась.
Когда Duo Nine получил ссылку на сервер Slack организации, он еще раз проверил ее, чтобы убедиться, что она пришла с правильного доменного имени - в данном случае, Slack.com.
Конечно же, ссылка вела на поддомен официального веб-сайта Slack. До сих пор сервер казался легитимным.
Однако при нажатии на него выдавалось сообщение об ошибке. «Извините! Что-то пошло не так, но мы разбираемся с этим», - говорилось в сообщении.
Рисунок 2. Сообщение об ошибке от сервера мошенничества с выдачей себя за другого. Источник: Duo Nine.
Duo Nine рассказал «Николь Фергюсон» о сообщении об ошибке, и она спросила «Райана Нави» об этом. «У вас была эта ошибка на прошлой неделе, не так ли?», - спросила она другого предполагаемого члена команды.
В ответ «Райан Нави» заявил, что решение, которое он нашел, заключалось в загрузке «драйвера», ссылка на который была указана в сообщении на форуме Reddit.
Подозревая, что его просят загрузить вредоносное ПО, Duo Nine отказался устанавливать «драйвер».
Вместо этого он еще раз попросил этих людей отправить электронное письмо с домена ParaFi, чтобы доказать, что они не являются самозванцами.
В ответ «Райан Нави» отправил электронное письмо с адреса paraficapital@outlook.com, указав неправильный домен outlook.com и доказав, что у него, вероятно, не было доступа к подлинному домену, parafi.com.
На этом игра была закончена. Duo Nine предъявил им доказательства против них, и они в ответ удалили свои сообщения и прекратили все контакты с ним.
В своем посте Duo Nine призвал пользователей «повысить осведомленность» об этой и других подобных аферах и хранить средства в аппаратных кошельках для дополнительной защиты от вредоносных программ.
ParaFi предупреждает пользователей о самозванцах
1 октября Yedid-Boton опубликовал сообщение на X, чтобы предупредить криптосообщество о мошенничестве.
«Внимание! Поддельные аккаунты выдают себя за команду @ParaFiCapital!», - заявил он в своем официальном аккаунте.
Согласно сообщению, имитаторы «проходят верификацию с помощью @X и оплачивают подписку, что подразумевает, что эти мошенники рассчитывают получить прибыль от поддельных аккаунтов».
«Пользователи могут отличить настоящие аккаунты ParaFi от поддельных, потому что у настоящего аккаунта есть желтый значок, а у реальных членов команды, которые на него подписаны, есть «партнерские значки», которые подтверждают, что они действительно связаны с компанией», - говорится в сообщении.
Yedid-Boton написал, что пользователи не должны «взаимодействовать или доверять каким-либо постам, сообщениям или контенту» с поддельных аккаунтов.
Сообщение о предполагаемом вредоносном ПО на Reddit
Сообщение поступило от пользователя u/andler_schust, чья учетная запись была создана в марте. Сообщение было создано 22 октября. В нем содержится ссылка на Flaudriver, который утверждает, что это приложение, которое сканирует компьютер пользователя и проверяет, нужно ли ему обновлять драйверы.
Рисунок 3. Веб-приложение Flauidriver, предположительно, является вредоносным ПО. Источник: Flauidriver.
Приложения для проверки обновлений драйверов часто требуют от пользователя получения расширенных разрешений, что делает их использование крайне рискованным. Как правило, пользователям не следует устанавливать приложения такого типа, если они не из надежного источника. В настоящее время не проводилось тестирования приложения, чтобы определить, является ли оно вредоносным ПО.
По данным платформы вебсайт-аналитики Scamvoid.net, Flauidriver был выпущен 20 октября. Сообщение на Reddit было опубликовано 22 октября, через два дня после создания сайта.
Рисунок 4. Публикация на Reddit, рекламирующая Flauidriver. Источник: Reddit.
Мошенничество с выдачей себя за кого-либо - распространенная проблема в криптосообществе. 15 июня соучредитель Binance Йи Хе опубликовала несколько примеров мошеннических аккаунтов, которые она нашла на X, и они утверждали, что принадлежат ей, но на самом деле были подделками. Она стремилась привлечь внимание к проблеме и убедить руководителей X быть более бдительными и блокировать эти аккаунты.
В тот же день Агентство кибербезопасности и защиты инфраструктуры США (CISA) предупредило, что мошенники выдают себя за государственных служащих, чтобы украсть криптовалюту пользователей.
