Во время работы по запуску мониторинга обменников криптовалют на Bits.media занялся я составлением списка рисков, с которыми сталкивался, и о которых мне писали пользователи после инцидентов. А чтоб добру не пропадать, решил оформить все в отдельную статью. Немного дополнил ее пунктами при работе с p2p площадками, так как обменов там совершается сейчас также не мало. Список идет от простого к сложному, но не стоит недооценивать риски даже совсем тупых методов мошенничества, на них каждый день попадаются люди, а бдительность порой теряется и у совсем заядлых криптанов. Также в конце я приведу несколько правил, которые помогут снизить эти риски.
1. Точки и запятые
Работает в основном с р2р обменами. Также очень часто используется с redeem кодами бирж. Вы договорилась об обмене, и вам обещают прислать платеж вначале, а вы потом, то есть у вас рисков как бы нет. Договорились, к примеру, на тысячу девять не важно чего. На ваш счет падает или приходит код на 1,009, бегло посмотрев, вы отправляете перевод со своей стороны, и потом с удивлением обнаруживаете, что это одна целая и девять тысячных, а не тысяча девять. Часто пробуют такое в системах, где точкой или запятой отделяются разряды в отображении, и пользователь может перепутать одно с другим.
2. Ложные обменники
Ложные обменники представляют из себя чаще всего несколько страниц и скрипт, которые имитируют работу обменника. Пользователей завлекают очень вкусными курсами, иногда даже цена покупки криптовалюты выше цены продажи. Некоторые «обменники» оставляют исключительно обмен фиатных денег на криптовалюту, потому что для злоумышленников получение именно криптовалюты безопаснее всего. Да и пользователи чаще всего не пойдут жаловаться дальше черных списков обменников на форумах. Что для злоумышленника чаще всего роли не играет, всего несколько «обменов» отбивают затею, а дальше смена имени + домена и по по новому кругу. Всю остальную внутрянку можно не менять.
3. Фишинг
Также распространен фишинг на существующие обменники, когда создаются похожие на настоящие обменники домены, на них дается реклама из поисковиков, идет посев ссылок в тематических группах в социалках, чатах, форумах. Из наиболее отличившихся «обменников» пытаются выжать по-максимуму, общаются от имени техподдержки, обещают все выплатить, рассказывают про банковские задержки, появляются ложные юзеры, которые пишут, что им все выплатили после задержки, можно смело менять и т.п. Угрожают владельцам форумов и мониторингов за включение в черные списки. Кстати, я еще не встречал ни одного раза, чтобы владельцы крупных площадок на это велись, но попытки идут постоянно. Угрожают в основном DDoS атаками, заливом деткой порнографии, жалобами в органы и т.п. Некоторые предлагают взятки или слить список ложных обменников конкурентов.
4. Подмена адресов
Чаще всего происходит при p2p обмене на форумах и в социалках, где взламываются учетные данные представителя сервиса обменника, и размещаются ложные адреса для приема криптовалюты. Зачастую доступ к учетке не забирают, представитель общается как обычно и не замечает сразу, что адреса подделаны. Также поступают с контактами, например, заменяют контакт телеграма, и при обращении кидают клиента. Иногда и с обменниками такое может быть, и обратившимся клиентам предлагают ВИП условия только для вас и только сейчас, главное, биткоины вот сюда перешлите.
5. Залив грязных денег
Вам могут честно поменять криптовалюту на рубли, но потом у вас возникнут проблемы. Чаще всего это касается обмена на Qiwi, но встречалось также и в других электронных платежках и выплатах на банковские карты. Иногда совсем в наглую, когда вы запрашиваете обмен на 100000 руб., и вам начинает литься поток по 1500 руб., 750 руб., 2300 руб., и т.д, то есть просто поток оплаты за наркотские закладки направляют в ваш адрес, пока не нальется нужная сумма. Обычно после такого счет блокируется и дальше вы гадаете о том, какие проблемы ждут вас дальше.
6. Социальная инженерия
Чаще касается p2p обменов. Например, зная с кем вы обычно проводите обмены, на площадке заводится клон учетки, визуально не отличимый от вашего контрагента. Имя чаще всего можно сделать идентичным заменив символы, к примеру английскую «o» на русскую «о». Тот же аватар, данные в профиле и т.п. Потом стучатся в личные сообщения и предлагают обмен, дальше все понятно.
7. Чарджбек
Почему никто не любит продавать биткоин за paypal? Потому что биткоин уйдет точно, а вот пришедший paypal могут отменить чарджбеком. И ничего отменившему скорее всего не будет, так как подобный обмен запрещен paypal, и палка встает на сторону лжеплательщика. В других платехных системах чарджбеки тоже можно делать, но обычно гораздо сложнее и с менее предсказуемым результатом.
8. «Слив схем»
Всплывают «украденные» схемы обогащения, или кто-то по доброте душевной делится, не важно. Суть схемы примерно следующая: зарабатываем на курсовом спреде между обменниками. Идем в обменник 1 и меняем там свои деньги в любой форме на Qiwi. Обменник надежный, с репутацией, много лет работает, не бойтесь. В обменнике 2 меняем Qiwi на биткоины, это большой надежный обменник, кот отзывы, 100% все хорошо будет. Теперь в обменнике 3 меняем биткоины на Qiwi, это большой американский оптовый обменник, он скупает по курсам выше, счем у нас, абсолютно надежный, вот отзывы. В итоге получаете разницу в Qiwi в 5-10% на один круг и можете гонять так дальше, увеличивая свой заработок. Конечно, обменник 3 тут мошеннический, и его задача собрать криптовалюту с доверчивых молодых бизнесменов. Расчет на то, что проверяя отзывы и репутацию первого и второго обменника, на третьем внимательность уже спадает, ведь так классно все идет по инструкции, а жажда халявы отключает критическое мышление. Кажется смешным, но реально люди попадаются, я видел не один отзыв обманутых по данной схеме.
9. Человек посередине или «треугольник»
Работает и с обменниками и с р2р обменами. Суть такая: мошенник связывается и с обменником и с жертвой. Жертве представляется обменником, обменнику — клиентом. Обоим может предоставить любую проверочную информацию, так как может ее запросить у второй стороны. К примеру, обменнику говорит, что хочет поменть рубли со Сбербанка на биткоины, а клиенту, что он, как обменник, ему поменяет рубли на биткоины. Запрашивает у обменника реквизиты для пополнения, пересылает их жертве. Жертва может даже убедиться, что это реквизиты обменника, если они официально вывешены, как делают некоторые при р2р обмене. Жертва делает перевод и отправляет мошеннику биткоин адрес для пополнения. Мошенник обменнику дает уже свой биткоин адрес. Обменник высылает биткоины мошеннику, а дальше идут разборы полетов между обменником и жертвой, кто кого кинул. Сейчас большая часть обменников о таких схемах знает, но метод этот до сих пор пытаются использовать.
10. Обман с товарами
Немного усложненная предыдущая схема. Жертва может даже не знать, что такое криптовалюты и уж точно не хотеть заниматься их обменом. К примеру, мошенник размещает на Авито лот с продажей чего-то ценного за очень вкусную цену, однако обязательна предоплата(это может выясниться позже) или уже мол отложил для другого покупателя, но если сейчас оплатите — забирайте. Гарантия для покупателя — от скана документов(липа) до чарджбека из банка и уголовного дела, ведь продавец светит свою карту, куда уйдет платеж. Цена вкусная, желающих много, кто первый оплатит, тому и уйдет. Согласившемуся дается номер карты из обменника, ну а обменнику заявляется, что это оплата покупки криптовалюты, вот адрес для пополнения. итог как и в предыдущем случае.
Какие меры стоит предпринимать, чтобы минимизировать риски при обмене?
- Внимательность, адекватность, критический анализ. Всегда.
- Делите крупные суммы на части и обменивайте следующую часть после получения оплаты предыдущей, тогда вероятность потерять большую сумму резко снижается.
- Заводите сложные пароли, уникальные для каждой площадки. Если взламывают одну, по ее базе потом проходятся по всем другим похожим.
- Перепроверяйте реквизиты на каждом этапе. Есть даже зловредное ПО, которое подменяет биткоин адреса в буфере обмена. И иногда пользователи сами путаются, присылают кошелек BCH вместо BTC.
- При работе проверяйте дополнительные данные. При р2р обмене это могут быть id юзера на форуме, в социалке, мессенджере. Счетчик сообщений на форуме. Если у юзера было 1500 сообщений, а сейчас он вам пишет, и у него 15, это должно вызывать подозрения. Для сайтов можете поставить какую-нибудь пузомерку в браузер. Скажем, если google.com выдает значение по alexa 1 обычно, а тут выдал 6млн., то явно вы не на той странице, как вам кажется. Можно проверять дату регистрации домена и т.п.
- Гуглите отзывы о сервисах и менялах на независимых площадках. Смотреть отзывы на самом сайте обменника бесполезно, там может быть нарисовано что угодно.
- При приеме оплаты просите свежее(!) фото карты, с которой будет оплата или фото товара. А лучше видео где голосом проговаривается для кого это снимается. Это не снимет всех рисков, но отсеет тех, кто совсем на авось «работает».
- Любые инвойсы, файлы с реквизитами, фото и т.п. открывайте в отдельной виртуалке, в которой нет доступов ни к чему ценному.
- Не совершайте сделки по просьбе третьих лиц. Даже если это лучший друг брата маминой подруги.
- Обращайте внимание на лимиты платежных систем, с которыми работаете.
- При отправке криптовалют подбирайте достаточный уровень комиссии, чтобы платеж не завис на долгое время. Многие сервисы в таком случае могут изменить курсы в невыгодную для вас сторону.
- Связывайтесь с контрагентом по нескольким каналам связи для подтверждения, например через почту, мессенджер и личные сообщения площадки, где размещено объявление. Как минимум при первом контакте.
Если вы знаете еще способы мошенничества, или у вас есть методы противодействия ему — пишите в комментариях.
Если эта статья поможет хоть одному человеку не попасться на уловки мошенников, значит я ее писал не зря) Можете сохранить в избранное, если считаете ее полезной как чеклист. Если будут появляться еще способы, буду сюда добавлять.