Вернуто 100 тысяч долларов — предотвращено мошенничество с вредоносной рекламой
Российские мошенники выдали себя за криптопроект, используя вредоносную рекламу и вредоносное ПО для кражи данных. Мы выявили эту операцию, восстановили доступ к кошелькам и вернули более 100 тысяч долларов. Остаток возвращенных средств был перечислен в благотворительную организацию @_SEAL_Org. Ниже: подробная информация, индикаторы угрозы (IOC) и выводы.
Обзор
Криптовалютный проект стал жертвой атаки с использованием методов социальной инженерии, замаскированной под законное рекламное партнерство. Компания PhishDestroy восстановила доступ к кошельку и вернула средства более 100 000 долларов из средств, подвергшихся взлому, а затем перенаправила предложенное вознаграждение внешней организации, чтобы сохранить независимость.
Что нужно знать
- Кошелек уже был взломан; средства уже были переведены.
- Доступ был восстановлен, и 100 000 долларов и более ему не позволили остаться с нападавшим.
- В рамках проекта было предложено вознаграждение, от которого отказались и которое было перенаправлено @_SEAL_Org вместо этого.
- Эта работа выполняется на добровольной основе, а не в рамках оплачиваемой занятости.
Как действовала эта афера
- Потерпевший получил предложение о партнерстве/рекламе криптовалютной игры.
- Атака выглядела правдоподобно: профессиональный веб-сайт, устоявшаяся аккаунт в X (Twitter), видеозвонки, выглядевшие вполне реальными.
- Во время телефонных разговоров злоумышленники просили установить программу «Workplace Viewer» для доступа к материалам.
- «Просмотрщик» был вредоносное ПО-крадец.
- Злоумышленники сняли средства, обменяли токены между цепочками и перевели активы на свой кошелек.
Принятые ответные меры
- Подтверждено проникновение и остановлено дальнейшее продвижение.
- Восстановлен доступ к кошельку для законного владельца.
- Обеспечено и передано управление кошельком-получателем злоумышленника команде жертвы.
- Скоординированные последующие меры по снижению остаточного риска.
Укрепление безопасности после инцидента
Безопасность устройств
- Пошаговая инструкция по безопасному обращению с зараженными устройствами
- Изоляция сетей, аннулирование сеансов, ротация учетных данных/ключей, план полной перенастройки
Настройка рабочего режима
- Новое, чистое рабочее место, предназначенное для работы с кошельками
- Новая ОС, загрузка только от официальных источников, аппаратный кошелек, минимум расширений, отдельный профиль браузера, двухфакторная аутентификация
Подготовка к судебной экспертизе
- Рекомендации по созданию моментальных снимков дисков и сбору системных журналов и журналов приложений
- Сохранение доказательств для возможного судебного расследования
Понимание понятия «реклама»
Реклама — это социальная инженерия в деловом стиле, при которой преступники имитируют обычные рабочие процессы (покупка рекламы, партнерские отношения, PR), чтобы обманом заставить пользователей установить вредоносные «клиенты».
Распространенные тревожные признаки:
- «Установите наш менеджер/помощник по рекламе для синхронизации рекламных материалов»
- «Воспользуйтесь нашим специальным клиентом Zoom/Telegram для звонка»
- «Откройте наш медиа-кит/соглашение о неразглашении через защищенный просмотрщик»
Награда и независимость
- В рамках проекта было выплачено вознаграждение, поскольку сумма возвращенных средств превысила первоначальный убыток.
- PhishDestroy отказался от вознаграждения.
- Весь излишек был направлен на @_SEAL_Org.
- Это позволяет сохранить независимость — никаких источников финансирования и обязательств.
Основные принципы
- Только независимость — без бюджетов и каких-либо условий.
- Ориентация на результат, а не на обсуждение.
- Не допускается использование каких-либо «специальных клиентов» или непроверенного программного обеспечения.
- Выборочное раскрытие информации, которое помогает жертвам, а не злоумышленникам.
- Прямое давление на инфраструктуру злоумышленников.
Практические рекомендации
Для проектов и команд
- Никогда не устанавливайте программы просмотра, клиентские приложения или программы обновления от непроверенных сторонних разработчиков.
- Загружайте приложения Zoom и Telegram исключительно с официальных сайтов разработчиков.
- Избегайте рекламных ссылок на кошельки, мосты и аирдропы.
- Отдавайте предпочтение аппаратным кошелькам с автономным хранением семенных фраз.
- В случае взлома: прервите сеансы, переведите средства, обновите ключи, перевыпустите секретные данные и немедленно обратитесь за помощью.
Для сообщества
- Сообщите о подозрительной активности через наш бот в Telegram.
- Получите доступ к рекомендациям и ресурсам по принятию важных мер на сайте phishdestroy.io/критические-меры.
Заключение
Несмотря на то, что средства уже переведены, PhishDestroy восстановленный доступ и обеспечила, чтобы злоумышленник не смог удержать похищенные средства. Отказавшись от вознаграждения и направив излишние средства на другие цели, организация сохраняет свою добровольную и независимую модель работы, ориентированную на быстрое и эффективное реагирование на инциденты.
