В современном мире криптовалют безопасность пользователя становится фундаментальным вопросом, особенно когда речь идет о взаимодействии с крупными компаниями, испытывающими финансовые трудности. Недавние события вокруг криптолендера Celsius и его банкротства стали причиной всплеска мошеннических попыток украсть средства пострадавших инвесторов. В данном контексте появилась новая, достаточно изощренная фишинговая атака, которая нацелена именно на кредиторов компании, пытающихся вернуть часть своих замороженных активов. Рассмотрим подробнее, каким образом происходит эта угроза, почему она особенно опасна и какие меры необходимо предпринимать для защиты своих криптовалютных кошельков и данных. Компания Celsius, известная как криптолендор, в июле 2022 года подала на банкротство, что привело к заморозке выводов и замораживанию значительной части криптовалютных средств клиентов.
С тех пор тысячи пользователей пытались добиться возврата хотя бы части своих инвестиций через судебные процессы и заявления кредиторов. Этим и решили воспользоваться злоумышленники, начав с сентября 2023 года масштабную фишинговую кампанию, маскируясь под официальный агент по претензиям — компанию Stretto. В получаемых пользователями письмах, распространяемых по электронной почте, мошенники предлагают так называемое "выходное окно" в течение семи дней для подтверждения заявки на возврат замороженных средств. В письмах указан адрес отправителя с доменом stretto.com, что создает видимость легитимности.
Однако все ссылки внутри таких писем ведут на поддельные сайты, которые внешне очень похожи на официальный портал для заявок по делу Celsius, однако имеют иную доменную зону и зарегистрированы совсем недавно, иногда в офшорных юрисдикциях, например на Сейшельских островах. Самая опасная часть этого мошенничества в том, что сайт просит пользователя ввести свой электронный адрес, а затем подключить криптовалютный кошелек с помощью технологии WalletConnect. Речь идет о протоколе взаимодействия, который открывает подключенному сайту доступ к данным кошелька, включая адреса, баланс и историю операций, а также возможность инициировать транзакции. В результате, злоумышленники получают возможность отправлять средства с кошелька жертвы под видом легитимных операций, фактически опустошая счет. Интересно, что мошенники сумели сделать так, чтобы их письма проходили проверки безопасности, в том числе проверку SPF, которая обычно позволяет узнать, действительно ли отправитель письма может рассылать сообщения от имени указанного домена.
Письма исходят с IP-адреса, принадлежавшего компании SendGrid — известной платформе для массовых рассылок электронной почты, что дает им своей легитимный вид и повышает шансы успешной доставки в почтовые ящики жертв. Эта ситуация особенно опасна еще и тем, что некоторые получатели фишинговых писем не имеют вообще никакого отношения к Celsius или подаче претензий, что указывает на возможность использования злоумышленниками старых баз данных и утекших контактов из криптовалютных маркетинговых аккаунтов. Таким образом, вероятность попадания даже не относящихся к делу лиц достаточно велика. Для пользователей криптовалют, оказавшихся в подобной ситуации, крайне важно отнестись к таким письмам с максимальной осторожностью. Ни в коем случае нельзя переходить по подозрительным ссылкам, вводить свои личные данные или подключать свои кошельки к неизвестным сайтам.
Единственным надежным источником информации по делу Celsius является официальный сайт агента по претензиям, размещенный по адресу https://cases.stretto.com/celsius/. Проверка корректности ссылок и доменного имени помогает избежать попадания на мошеннические ресурсы. Стоит подчеркнуть, что в случае, если пользователь успел подключить кошелек к фишинговому сайту и потерял криптовалюту или NFT, вернуть активы практически невозможно.
Киберпреступники работают быстро и эффективно, а децентрализованный характер криптовалютных сетей исключает возможность обратных операций без согласия получателя. Это еще раз подчеркивает необходимость соблюдения правил безопасности. В целом, кейс с фишинговой атакой на кредиторов Celsius отражает более широкую тенденцию усиливающейся угрозы в области криптовалютных мошенничеств. По мере роста интереса к цифровым активам и включения в индустрию большого количества пользователей, увеличивается и привлекательность этого сегмента для мошенников. Они используют как сложные технические методы, так и социальную инженерию, чтобы обмануть жертву и получить доступ к ее деньгам.
Эксперты в области информационной безопасности рекомендуют всегда внимательно проверять источники писем и официальные сайты, рассылку с которыми вы не ожидали. Настройка многофакторной аутентификации и использование аппаратных кошельков способны существенно снизить риск потери средств при подобных атаках. Также важно следить за новостями и официальными заявлениями компаний, в чьих продуктах или услугах вы участвуете, чтобы своевременно получать предупреждения о возможных угрозах. Инцидент с Celsius получил внимание не только в узких кругах, но и среди широкой аудитории, поскольку показывает, насколько хрупкой может быть ситуация для инвесторов в криптовалюту, особенно при банкротствах и финансовых кризисах. Он служит наглядным примером того, что даже современные системы защиты и крупные компании не гарантируют абсолютной защиты от киберугроз.
