19 сентября 2024 года Федеральные агенты задержали двух человек, причастных к громкой краже криптовалют. Самое интересное, что их жертвой оказался один из кредиторов известной компании Genesis, которая в 2023 году объявила о банкротстве и недавно получила судебное распоряжение вернуть своим клиентам миллиарды долларов.
Прокуратура США по округу Колумбия предъявила обвинения 20-летнему сингапурцу Мэлоуну Иаму, проживающему в Майами, и 21-летнему жителю Лос-Анджелеса, Жандиэлю Серрано, в организации сложной мошеннической схемы с использованием социальной инженерии.
У двух арестованных и еще одного преступника по имени Вир Четаль, который до сих пор скрывается от правосудия, было несколько учетных записей, которые они использовали для обмана своих жертв.
Детали сложной схемы криптомошенников
Стоит уточнить, что выйти на след преступников удалось благодаря частному расследованию популярного твиттер-сыщика ZachXBT. Кстати, Zach считает именно это расследование самым ярким в своей карьере.
Несмотря на то что сыщик мог заработать на этом расследовании (как путем шантажа самих мошенников, так и взяв средства с потерпевшей стороны за то, что найдет виновных), но не стал этого делать и на добровольных началах опубликовал раскопанные материалы на страничке в Х (бывшем Твиттере).
Его публикация собрала почти 7 миллионов просмотров и заинтересовала правоохранительные органы.
Пост-расследование твиттер-сыщика ZachXBT
Zach подсветил всю схему с фото и лицами злодеев.
Итак, вернемся к самой краже: как это произошло?
Один из инцидентов был связан с жертвой из Вашингтона, округ Колумбия, который стал целью Мэлоуна и Серрано. Этот человек был кредитором Genesis с обоснованным требованием на возврат миллионов долларов от обанкротившейся компании.
Поэтапно схема обмана кредитора Genesis:
Криптомошенники вышли на свою жертву при помощи подставного номера и представились работниками Google support. Благодаря этому шагу преступники узнали данные личных аккаунтов своей жертвы.
После этого они осуществили звонок якобы из техподдержки биржи Gemini, сказав жертве, что его аккаунт был подвержен взлому и необходимо принять меры, чтобы средства не утекли.
Затем они уговорили кредитора снять двухфакторку, чтобы переместить активы на безопасный адрес для их защиты.
Ну и вишенкой на этом злодейском торте был видеозвонок через Anydesk c трансляцией экрана пользователя. В результате этого видеозвонка он показал свои закрытые ключи от личного биткоин-кошелька. Этих действий хватило, чтобы мошенники смогли вывести криптоактивы на свои счета.
Результат этой сложной схемы стоил затраченных усилий, поскольку им удалось обмануть жертву и вывести c криптокошелька более $230 миллионов в виде 4064 токенов BTC.
Данные ZachXBT показали, что вся сумма была переведена одной транзакцией на один из кошельков, который контролировал Мэлоун с его командой.
Атака подчеркивает уязвимости, которым подвергаются даже опытные пользователи, когда становятся целью хитрых банд социальной инженерии. Сходство инцидента с громким взломом просто невероятное, тогда жертвой криптокражи стал миллиардер и владелец компании Dallas Mavericks Марк Кьюбан.
Кьюбан подвергся нападению преступников, которым удалось скомпрометировать его аккаунт Google. Его обманом заставили предоставить информацию о 2FA (двухфакторной аутентификации), после того как мошенники, выдававшие себя за представителей Google, убедили его, что аккаунт был взломан хакерами.
Несмотря на то что аккаунт Кьюбана был восстановлен в течение 24 часов при содействии службы безопасности Google, инцидент подчеркнул постоянную угрозу, с которой сталкиваются частные лица в сфере криптовалют, поскольку преступники постоянно нацеливаются на их кошельки и закрытые ключи.
Каким образом мошенники раскрыли себя
Примечательно, что эти блокчейн-мошенники включали запись экрана при всех этапах взлома, а твиттер-детектив ZachXBT мало того что откопал это видео, так еще и опубликовал отрезок с реакцией грабителей, когда им удалось вывести все деньги на свои счета.
Конечно же, мошенники приложили немало усилий для отмывания доходов, распределив деньги по нескольким кошелькам, а затем переместив их на более чем 15 криптовалютных бирж, которые они использовали для конвертации BTC в Litecoin (LTC), Ethereum (ETH), Monero (XMR) и другие аналогичные цифровые активы. Известно, что мошенники для заметания следов использовали платформы eXch и Thorswap. Такие площадки помогают бесследно и очень быстро обменивать цифровые активы.
В общей сложности им удалось вытащить более $240 млн из различных жертв. Изощренные методы, которые они использовали для получения и отмывания средств, в том числе использование криптомиксеров, а также приложений, которые отслаивают цепочки транзакций в сети, подчеркнули их подготовленность и продуманность.
Криптомиксеры — это специальные платформы, которые перешивают ваши монеты вместе с токенами других пользователей. Потом присылают по итогу ту же сумму, которая была кинута в миксер, вам на кошелек, только дробно и с разных адресов. Благодаря этим программам след транзакции теряется.
Они также вдобавок использовали VPN, чтобы скрыть свой цифровой след. Все эти действия были успешными в сокрытии денежных следов от властей. Однако понты и дорогие подарки своим избранницам раскрыли их. По данным властей, они совершали дорогостоящие покупки, включая роскошные автомобили, дорогие часы, элитное арендное жилье в Калифорнии и Флориде.
Так, например, подозреваемый по кличке Greavys начал разбрасываться деньгами: он тратил по $250–500 тысяч за ночь в самых престижных клубах Лос-Анджелеса и Майами. Но и самое яркое — это мегащедрые подарки девушкам, о которых он сам же хвастался в Discord.
На фото ниже представлена переписка Greavys с понравившейся ему девушкой из соцсетей, с которой он даже лично не успел познакомиться, но уже приобрел ей розовую Lamborghini Huracan и написал ей, что эту машину дарит ей на будущий день рождения. И самое забавное, что девушка ответила ему отказом, так как у нее уже был молодой человек.
Greavys удалось найти через его же публикации в Instagram. Плюс ко всему его друзья регулярно публиковали геолокации с роскошных тусовок в ночных клубах.
Первый подозреваемый из списка — Вир Четаль случайно раскрыл свою настоящую личность при отработке схемы, а именно во время демонстрации экрана. Часть аудиозаписи и сообщений в чате, где его называли настоящим именем — Виром, помогли властям раскрыть виновных в краже.
Теперь о мошеннике Box, псевдоним которого Jeandiel/John. В рамках их же схемы он осуществлял телефонные звонки от лица техподдержки Gemini, и, что самое забавное, он прокололся на одинаковых аватарках, которые он использовал в Discord, Telegram и на других платформах. С помощью этой особенности правоохранительные органы связали разные учетные записи и вышли на него.
Еще один подозреваемый преступник из этой группы — Danny Trauma (Danish). Он был активен в их TГ-чате как Meech, хотя его роль в схеме не до конца понятна, но все же есть версия, что Danish имеет доступ к нескольким банкротным базам данных различных платформ и это открывало ему выход на состоятельных криптопользователей.
Более того, адреса кошельков, которые связаны с Жандиэлем Серрано и Виром Четалем, получили от различных бирж более $40 миллионов. Эти транзакции были вычислены при помощи экспертов в блокчейн-аналитике.
Властям удалось вернуть немного украденных активов
Арест Лэма и Серрано стал результатом скоординированных усилий Федерального бюро расследований (ФБР), прокуратуры США по округу Колумбия и Управления уголовных расследований Налоговой службы США (IRS).
С властями также сотрудничали служба безопасности биржи Binance и компания по обеспечению безопасности Web3, известная как zeroShadow.
На данный момент удалось вернуть лишь часть украденной суммы. Власти утверждают, что счета, содержащие около $9 миллионов, были заморожены, а около $500 000 уже были возвращены первой жертве.
Эти успехи по возврату средств дают проблеск надежды как пострадавшим сторонам, так и другим лицам, причастным к аналогичным взломам, поскольку власти могут, хотя и не всегда легко, отследить и конфисковать часть украденных активов.
Важность усиления безопасности в криптоэкосистеме
Мошеннический инцидент с участием Мэлоуна Иама, Жандиэля Серрано и Вира Четалья подчеркивает многочисленные риски, с которыми по-прежнему сталкиваются криптоинвесторы. Ведь они постоянно подвергаются атакам со стороны злоумышленников, которые хитро обходят двухфакторные аунтификации, а также используют изощренные хакерские методы, чтобы извлечь важную информацию и получить доступ к криптокошелькам.
Сумма, украденная у жертвы из Вашингтона, ошеломляет и указывает на необходимость усиления мер безопасности. В традиционной финансовой системе было бы довольно сложно перевести более $200 миллионов за одну транзакцию, не получив звонка от службы безопасности для проверки ее законности.
Более того, их успешные попытки выдать себя за сотрудников крупных технологических корпораций, таких как Google, также поднимают тревожный вопрос: как определить, когда приходит уведомление, — это действительно техподдержка или нет?
На данный момент судебные разбирательства против двух арестованных продолжаются. Они предстанут перед окружными судами Калифорнии и Флориды в зависимости от места их проживания. Им будут предъявлены обвинения в сговоре с целью кражи криптовалют.
Тем временем власти продолжают поиск Вира Четалья для его ареста, чтобы вернуть большую часть украденных средств и, возможно, раскрыть дополнительных сообщников или выявить другие виды преступной деятельности.
Подведем итоги
В сегодняшнем выпуске мы рассмотрели подробно схему мошенничества, благодаря которой трем ребятам из Америки удалось украсть $243 миллиона. Этот мошеннический план еще раз подчеркивает важность хранения ценных криптоактивов на холодных кошельках, а не на биржах!
Ведь стоит учитывать, что путем хитроумных методов в сочетании с фишинговыми атаками и простыми манипуляциями можно даже состоятельного и опытного инвестора заставить снять двухфакторную аутентификацию и засветить свои закрытые ключи от кошелька. Поэтому будьте бдительнее и храните свои цифровые активы в надежных местах!
Дисклеймер
Мнения экспертов могут не совпадать с позицией редакции. Traffic Cardinal не дает инвестиционных советов, материал опубликован исключительно в ознакомительных целях.