Как я чуть было не стал жертвой изощренного крипто-скама

Итак, меня попытались скамануть. Скажу больше - я попался. И сейчас расскажу, как это было.
Напомню, я основатель крипто-стартапа TYMIO, публичная фигура. Очевидно, можно догадаться, у меня есть хоть какая-то крипта лично, а может быть и доступ к деньгам клиентов (спойлер - конечно нет, мы некастодиальный протокол).

Поэтому это не была какая-то рассылка из серии "авось повезет и кто-то кликнет на линк или откроет файл". Целью данного скама был конкретно я.

Итак, хронология событий. 26 апреля я лечу с Бали в Куала Лумпур, прилетаю и обнаруживаю сообщение в телеграме от, якобы, одного из GP (general partner) венчурного фонда 7X Ventures, а именно от Jon Liu. Он пишет, что очень высоко оценивает TYMIO, предлагает обсудить совместные перспективы, возможно инвестиции с их стороны.

Теперь некий контекст. Интересно, что это был не просто какой-то там фонд. Данный фонд был мне знаком, в том контексте что я его рассматривал как потенциальный фонд, который может заинтересоваться TYMIO. Тем более, что этот фонд недавно инвестировал сумму похожую на ту, что мы как раз рейзим, и причем инвестировал в компанию, где основатели русскоговорящие. Да-да, мы как раз начали рейзить деньги пару недель назад, и такое сообщение было крайне актуально.

На этом я не заподозрил ничего подозрительного, так как потенциально этот фонд вполне мог на меня выйти, - у меня есть знакомые, которые могли ему нас рекомендовать. Я очевидно, обрадовался такому приятному стечению обстоятельств ,и написал что я готов. Он выслал ссылку на calendly, где я выбрал ближайший слот, он был в тот же день, и назначил встречу.

Доезжаю до отеля, до встречи еще было часа три, - я приехал рано и номер не успели убрал - поэтому кидаю рюкзак с ноутом на ресепшн, и иду заниматься своими делами, а именно в соседний торговый центр. Примерно за полчаса до встречи я возвращаюсь на ресепшн, там они не сразу находят мой рюкзак по бирке, в общем проходит какое-то время и получается так, что ключ от номера я получаю впритык и остается минут пятьнадцать до встречи. Я понимаю, что не очень-то успеваю - а встреча очевидно важная, хочется произвести правильного впечатление, - я вбегаю в номер, достаю ноут, коннекчусь к сети.

Тут я вижу, что наш "Jon" присылает мне сообщение со ссылкой на вход в конференцию. Это само по себе должно уже меня насторожить, так как обычно ссылка находится в почте, которую тебе присылается calendly. Интересно, что он присылает мне линк чуть раньше (минут на 5), чем у нас оговорена встреча.

Но я немного "в мыле", мысли заняты предстоящей презентацией, поэтому не обращаю на это внимания. Дальше самая главная часть развода. Захожу по ссылке, вижу какую-то проприетарную систему с брендингом SevenX Ventures, то есть не зум и не google meet (это в целом тоже ок), и мне сайт выдает ошибку. Я пишу "Джону", что не могу зайти. Он говорит, что подключает тех отдел и что сейчас разберется.

Далее он высылает мне ссылку, которую якобы прислал тех отдел, которую мне надо загрузить, чтобы пофиксить. И я нажимаю на ссылку, скачиваю какой-то скрипт и запускаю его!!! Тут надо сделать лирическое отступление, что я - "не первый год замужем". Не открываю линки из интернета, тем более исполняемые файлы. Очень давно в крипте, и понимаю принципы базовой безопасности.

То есть - я пропускаю огромный red flag, и сам запускаю какой-то скрипт от чела в интернете на своей компьютере!

Далее снова захожу по ссылке, которую прислал "Джон", ошибка не уходит. Пробую отключить vpn, включить vpn - ничего не помогает. Он извиняется. Я предлагаю сделать через мой zoom. Присылаю ему ссылку. Он молчит какое-то время, в конфу не заходит, потом пишет, что он в Китае, у них плохо могут работать какие-то программы, и говорит что через несколько дней поедет в Гонконг и предлагает уже оттуда сконнектиться. Я говорю ок, - нет проблем.

Диалог заканчивается, и сажусь на диван, и где-то через пятнадцать минут смотря на чат, понимаю, что он удалил некоторые свои сообщения. И только тут до меня доходит, что же я натворил! Это же очевидный скам, - я хватаюсь за голову и понимаю, что на самом деле произошло. Ужасный момент, друзья. Не желаю никому его пережить. В ужасе я ругаю себя последними словами и начинаю звонить кофаундеру по технической части.

Он мне говорит - немедленно выключать компьютер. Что могут украсть - судорожно думаю. Ага, крипту с горячих кошельков метамаск - пару десятков тысяч usdt в совокупности там было. Проверяю их с замиранием сердца - деньги все еще там. Я выключаю зараженный комп и с трясущимися руками с телефона быстро перебрасываю кофаундеру всю крипту с metamask кошельков, личного и компании. Только после этого я немного выдыхаю и начинаю рефлексировать. У меня в голове не укладывается почему я так сделал и не заметил очевидного красного флага! Это супер не похоже на меня!

Как так произошло? Причин было несколько, из которых самая главное было то, что я был в спешке и мой фокус внимания был на том, чтобы качественно сделать презентацию проекта. Вторая причина тоже банальна - моя критичность была на нуле, потому что я очень хотел, чтобы вся история про SevenX Ventures, которым понравился наш стартап была правдой.

Теперь разберем изнанку этого скама. Ребята очень хорошо понимали, куда бить, для того чтобы я не заметил ред флагов. Им повезло, что я сам случайно создал себе ситуацию спешки, скорее всего если бы я спешил, я бы не нажал на этот файл.

Скамеры очень подкованы. Все продумано, от calendly до ведения диалога ("Джон" даже упоминал конфу в Брюсселе, которая будет в июле - то есть хорошо в теме происходящего в крипте). Ну, про хороший английский я уже молчу.

В общем, что сказать. Сделано было красиво. После того, как я сказал им это, они полностью удалили чат. Но я предусмотрительно сделать несколько скриншотов, наслаждайтесь.

Теперь к механизму хака. Сам по себе файл-скрипт, который они прислали, был безобиден - он обращался к какому-то адресу, и скачивал оттуда команду. Далее либо сразу, либо при переходе на url якобы "конференции", на мой компьютер скачивался троян с рут-китом, и потом уже начинали выборочно скачивать файлы, через которые можно получить доступ.Например, к последним сессиям и паролям браузера. Например, к файлам холодных и горячих кошельков. Например, к сид-фразам аккаунтов метамаска. Ну и все такое в этом духе.

Я через 15 минут примерно выключил зараженный компьютер и больше его не включал. Сразу же пошел и купил новый и использую только его. Надеюсь за эти пятнадцать минут они не успели ничего сделать.

Каков мог бы быть потенциальный ущерб? Небольшим. На горячих кошельках metamask были пара десятков тысяч USDT, - сравнительно небольшая сумма - а все остальное было надежно защищено. К клиентским средствам TYMIO нет доступа ни у кого, даже у нас, основателей - мы некастодиальный протокол. В этом плане не было особого смысла пытаться меня скамить.

На текущий момент нет никаких свидетельств, что было получен доступ к горячим кошелькам или еще чему-либо. Скорее всего им не хватило времени. Схема, как выяснилась, не новая. Для меня было крайне поучительно, рад что все относительно хорошо закончилось. Но, конечно, заставило поволноваться. Берите на заметку - скамеры очень умны, знают как отключать бдительность, очень хороши в психологии.

Если даже такой тертый волк, как я, сам запустил у себя троян, то что говорить о менее опытных людях. В общем, не теряйте бдительность! Все, кто на виду - потенциальные жертвы такого вот скама. К сожалению, этих вещей сложно избежать, просто надо быть к такому готовым.

Ну а ноут я давно хотел поменять, в любом случае)