Пример расследования кражи криптовалюты
Наша команда обладает огромным опытом расследования самого разного рода краж криптоактивов. На примере одного из них (конечно же обезличенного) мы хотим показать как это происходит.
Как правило, наше расследование делиться на 4 основных этапа:
- Детальное интервьюирование жертвы.
Детальное интервью помогает нам собрать нужные данные и зацепки для последующих шагов. - Анализ цифровых следов злоумышленников с помощью OSINT (разведка по открытым источникам).
Собранная информация о взаимодействии жертвы со злоумышленниками внимательно разбирается аналитиками. Из содержания их переписок выделяются все ценные сведения (адреса в блокчейне, никнеймы, сайты, контакты и пр.), которые обогащаются данными из открытых источников. - Анализ перемещения украденных средств в блокчейне.
Для такого анализа мы используем нашу собственную разработку «ОКО», которая позволяет отслеживать перетекание средств между адресами, переход активов через DEX в другие блокчейн-сети, а также автоматически ищет по сотням различных баз данных новую ценную информацию. - Составление отчета для жертвы с результатами расследования и рекомендациями по дальнейшим действиям.
Итог работы - детальный отчет с максимально возможным количеством данных по инциденту.
Для правоохранительных органов этот отчет будет основанием возбудить дело, а также упростит и ускорит его ход, поможет в установлении личности злоумышленника.
Описание реального случая кражи криптовалюты.
Криптопользователь в определенный день обнаружил пропажу всех своих средств.
Догадок, как это могло произойти, не было: СИД-фразу от кошелька он хранил, как рекомендовано, на листке бумаги; доступ же к устройству был только у самого пользователя.
ЭТАП 1 - ИНТЕРВЬЮ:
В результате интервьюирования нами было выявлено, что пару месяцев назад пользователь приобрел себе новое устройство и установил на него кошелек #Метамаск . Наша первичная догадка, что пользователь попал на фишинговый сайт, подтвердилась. Собрав всю доступную информацию, мы приступили к расследованию.
ЭТАП 2 - АНАЛИЗ ЦИФРОВЫХ СЛЕДОВ (#OSINT ):
Вводные данные.
26 октября 2021 жертва устанавливала на свой новый ноутбук кошелек Метамаск. Его поиск осуществлялся с помощью поисковика #Яндекс по запросу «скачать metamask».Через сервис Яндекс.Директ жертва попала на фишинговый сайт metamask.io-ss.ru и, вероятнее всего, ввела свою СИД-фразу. Далее злоумышленники перекинули жертву на настоящий сайт, чтобы она ничего не заподозрила.
Игнорируя предупреждение браузера, переходим на фишинговый сайт и видим, что злоумышленник удалил его.
Упоминания сайта.
Указанный сайт находится в списке фишинговых ресурсов в аккаунте Github. Других упоминаний сайта не выявлено.
Whois, DNS
- Данные Whois io-ss.ru.
- Регистратор домена: Reg.ru, зарегистрирован 15.10.202.
- Основной домен и исследуемый субдомен расположены на IP 31.31.196.98.
- ASN 197695 | AS-REG
На данном IP размещены 6 048 доменов.
Иные субдомены не выявлены:
metamask.io-ss.ru
io-ss.ru
Возможные дальнейшие действия:
1. Запросить в ООО «Регистратор доменных имен РЕГ.РУ» информацию об IP регистрационных данных и платежных средствах лиц, купивших указанный домен; другие совпадения в разрезе доменов по IP, платежным данным, учетным данным пользователя запрашиваемого домена.2. Запросить в ООО «Яндекс» информацию об IP, регистрационных данных и платежных средствах лиц, оплативших рекламу данного сайта; данные, рекламировали ли установленные лица другие сайты; другие совпадения данных по IP, платежным данным, учетным данным пользователя запрашиваемого домена.
3. После получения данных об используемых IP-адресах, направляем запросы в ООО «Яндекс», ООО «Гугл», ООО «ВКонтакте» с целью выявления учетных записей пользователей, которые авторизовывались с них. Какие поисковые запросы были сделаны данными пользователями, какие услуги использовали, их платежные и иные данные, а также другие IP-адреса авторизации.
Веб-архив
В веб-архиве имеются данные о следующих страницах изучаемого домена:
Анализ исходного сайта io-ss.ru на интернет-ресурсе web.archive.org выявил, что злоумышленник пользовался сервисом TDS.SO (распределение и фильтрация трафика) для создания массовых редиректов с целью обхода систем безопасности. Анализ указанных страниц изучаемого сайта дополнительных результатов не дал.
Возможные дальнейшие действия:
Запросить информацию о лицах, подключивших услугу TDS.SO к сайту io-ss.ru: IP, регистрационные и платежные данные.
Для выявления контактов представителей сервиса была проведена первичная деанонимизация админов официального Telegram-чата TDS.SO. Результатов не дала.
Исторические данные по домену:
Выявлена неточная информация о том, что исходный сайт мог располагаться и на другом IP: 136.243.214.242 (domenolog.ru/io-is.ru).Проверка была произведена в декабре 2021 года, скорее всего, до подключения сервиса TDS.SO.
Дополнительная информация:
Выявлены похожие на сайт злоумышленника интернет-ресурсы
- IO-LL.RU (зарегистрирован 12.09.2021)
- METALKMSK.RU (10.01.2022)
- IO-CC.RU (19.01.2022)
- METANMSK.RU (24.01.2022)
- O-RR.RU (10.02.2022)
Возможные дальнейшие действия:
Отправка аналогичных запросов по доменам IO-LL.RU, METALKMSK.RU, IO-CC.RU, METANMSK.RU, IO-RR.RU, как и по домену io-ss.ru.
ЭТАП 3 - БЛОКЧЕЙН РАССЛЕДОВАНИЕ:
Исследуемый адрес: 0xbfe... в сети FTM Fantom. Средства похищены в сети FTM, поэтому мы идем на эксплорер (блокчейн-обозреватель) #Fantom и ищем транзакции в нем.
Похищение
Вечером 24 марта с 19:24 по 19:25 злоумышленник вывел с адреса жертвы на адрес 0xbfe... следующие средства:
1) 971,662 YOSHI / эквивалент 1.4 млн USD
2) 260,310 1ART / эквивалент 26 тыс. USD
3) 3,632 FTM / эквивалент 5,266 USD
Далее выясняем, что злоумышленник сделал с токенами:
→ Переходим в обозревателе на адрес злоумышленника.
→ Смотрим более ранние транзакции и ищем те из них, которые поступили с адреса жертвы — значит, последующие транзакции являются выводом украденных средств.
→ В последующих транзакциях мы видим обмен токенов YOSHI и 1ART на токен anyFTM.
Вывод средств
Вывод средств осуществлялся несколькими путями (расчеты ниже в USD):
→ 1.18 млн было отправлено в сеть #ETH на этот же адрес злоумышленника 0xef7...
→ 113 тыс. конвертировано в #USDC через #DEX в сети FTM
→ Отправлено на #Binance :
• 101 тыс. на адрес 0xf32... (70 тыс. FTM)
• 20 тыс. на адрес 0x89b... (14 тыс. FTM)
• 87 тыс. на адрес 0xd04... (60 тыс. FTM)
Биржа Binance была определена тем, что с указанных трех адресов средства попали на адрес 0xbb3..., с которого исходящие транзакции осуществляются только на один адрес — 0x28C..., подписанный на эксплорере #Etherscan как «Binance 14».
Сеть ETH
В сети ETH средства отправлены на адрес 0x077..., по которому присутствует множество жалоб о переводе украденных средств. Возможно, это анонимный обменник changenow.io — предположение на основе тех же комментариев на Etherscan.
Также с адреса злоумышленника средства отправлены на адрес 0xca6..., который отправляет их в том числе на указанный выше 0xbb3... (Binance). На этом адресе также есть комментарии о ворованных средствах. Транзакции на нем происходят гораздо реже, чем на 0x077....
Взаимодействие с 0x077... и 0xca6... происходит через транзитные адреса — вероятно, генерируемые обменником для пополнения.
Схема транзакций
Возможные дальнейшие действия:
Обращение в Binance по факту мошенничества.
ЭТАП 4 - РЕКОМЕНДАЦИИ ПО ДАЛЬНЕЙШИМ ДЕЙСТВИЯМ
В зависимости от обстоятельств дела, мы рекомендуем обращаться в правоохранительные органы по месту нахождения: жертвы / бирж, на которые были выведены средства / злоумышленника (если его предполагаемое местонахождение стало известно в ходе нашего расследования) / по месту с более удачно зарегулированным законодательством. Каждый из вариантов имеет свои особенности.
Получив от правоохранительных органов бумагу о заведении дела, мы рекомендуем отправить по форме Binance всю информацию. Это позволит установить Binance пользователя, чей аккаунт был использован для неправомерных действий, а правоохранительные органы смогут получить все необходимые данные для соответствующих запросов.
Пользователи создают мобильные приложения, игры и карточки погоды «с одной попытки».
Максим Соколов назвал ситуацию на авторынке «тревожной».
Чем больше вещей делегируешь системе, тем меньше делать самому. Это правило работает и с вебинарами.
Компания хочет «познакомить новое поколение любителей изображений и дизайна с безграничным потенциалом Photoshop».
Если вы только начинаете карьеру в сфере дизайна интерьеров, наверняка задаетесь вопросом: как находить клиентов, как выделиться на фоне конкурентов и что делать, чтобы новые навыки стали востребованными. Если знать, где искать заказы и как заявить о себе — это легко.
Трудная, серьёзная, но бесполезная работа.
Если скамер не полный идиот.
То акаунты биржы оформленны на дропов.
После этого битки или юсики идут в миксеры.
После этого идут в наличку через обменники в телеге.
А дальше крипта гулять по миру.
И блуди ищи.
И при том, что это может сделать средней руки скамер.
Вы делаете крутые исследования, но шанс успеха 1/10.
Они вообще не делают расследований. Собирают данные и исчезают. На сообщения о сроках вообще не отвечают.
как воспользоваться услугой? tierka2009@mail.ru
Добрый день! Нам можно написать в любой из наших каналов связи и получить оперативный ответ: https://amlcrypto.io/ru/contacts#contacts
Комментарий удалён модератором
А как найти такое агенство по расследованиям?
Комментарий удалён модератором
Серьезный процесс судя по всему, но такой вопрос заранее, если к примеру путь ведет вообще за границы государства, к примеру Евросоюз, есть ли смысл обращаться в органы?