Hlavní navigace

Tři velké podvody s kryptoměnami v roce 2019. Jak se nenechat nachytat?

Autor: Depositphotos
Karel Wolf

Scam je součástí světa kryptoměn od první chvíle, kdy Bitcoin vzbudil pozornost veřejnosti a začal se veřejně obchodovat. Jaké byly největší kryptopodvody končícího roku?

Doba čtení: 8 minut

Sdílet

Ať se nám to líbí, nebo ne, podvody patří ke kryptoměnám podobně jako stín k bodově nasvětlenému objektu. Důvod je prostý: peněžní narativ a finanční nástroje v (stále ještě poměrně) neregulovaném prostředí. Jaké nejzajímavější kryptopodvody se tedy letos těšily největší pozornosti?

Podle Cryptocurrency Anti-Money Laundering reportu od CipherTrace, který ovšem vyšel již v říjnu, a obsahuje tudíž data jen za první polovinu roku, za letošní rok dokázala kriminální sféra z uživatelů kryptoměn a burz vytáhnout peníze 4,26 miliardy dolarů, objem za celý rok tedy bude ještě mnohem impozantnější.

Podvodů se navzdory upadajícímu zájmu o ICO (a tím pádem jeden snadný vektor útoku na důvěřivé peněženky) urodilo poměrně hodně. Z kapacitních důvodů nebylo možné věnovat se všem, vybíráme tak aspoň tři nejvíce signifikantí. Sahají od typosquattingu za 100 milionů dolarů přes exit čínského Ponzi schématu Plus Token až po masivní kampaň s celebrity bitcoin scamem na sociálních sítích a populárních portálech, která s tváří Petra Kellnera zasáhla i český Facebook.

Facebook a celebrity „milující investice do Bitcoinu“

Začátkem listopadu upozornili výzkumníci z britského spotřebitelského magazínu Which na rychle se šířící krypto scam, který zaznamenával úspěchy na hlavních sociálních sítích, portálech agregujících obsah a zpravodajských webech. Shodný scam (nebo alespoň schéma) existuje již minimálně tři roky, velkou renesanci ale zažilo schéma právě letos. 

Princip je jednoduchý. Podvodníci si vyberou pro každou zemi vhodné celebrity, které sahají od moderátorů populárních televizních show přes sportovní hvězdy a politiky až po podnikatele, investory a mediálně známé boháče. V Británii například dobře zafungovala Deborah Meaden nebo Peter Jones, v USA zase Donald Trump či Elon Musk, u nás nejvíce zabodovala varianta s Petrem Kellnerem a PPF, objevily se ale minimálně ještě dvě další.

Which popisuje případ, kdy uživatel na legitimních stránkách AOL.co.uk narazí v bočním panelu v prostoru vyhrazeném reklamě na clickbaitovou upoutávku, která je udělána tak, aby vypadala jako odkaz na běžný článek (přímo z dané platformy nebo nějakého známého seriózního média). V upoutávce je například zobrazena Deborah Meaden (britská podnikatelka a miliardářka) a titulek zní třeba ve smyslu „skandální odhalení v příštím dílu Dragons' Den“ (populární startupová show na BBC).

Pokud uživatel na upoutávku ze zvědavosti klikne, otevře se mu na první pohled seriózně se tvářící článek na naprosto neznámém finančním webu, který hovoří o tom, jak Meadenová vydělává úžasné peníze na bitcoinovém investičním schématu. Pokud uživatel nezpozorní již díky rozporu mezi původně inzerovaným obsahem a skutečným obsahem článku a podivnou URL, nabídne se mu vyplnit pod článkem webový formulář, pokud by měl náhodou zájem se rychle se naplňujícího investičního schématu také účastnit. Útočníci v této fázi chtějí jenom kontakt (reálné jméno, e-mail a telefon) a snaží se vzbudit dojem časové tísně (časově omezená nabídka).   

Pokud oběť formulář vyplní, obdrží v relativně krátké době telefon od „investičního manažera“, který nechce nic víc než relativně drobnou (v přepočtu mezi 7–8 tisíci korun) „investici“ do Bitcoinu nebo jiné kryptoměny skrze jejich „obchodní platformu“. Oběť dále obdrží e-mailem odkaz a login do uvedené fake platformy, kde se na první pohled kryptoměny v uvedené hodnotě skutečně nacházejí. Pokud uživatel kontroluje cenu aktiva pouze podle zcela smyšlených čísel na platformě, nabude dojmu, že se jeho investice rychle zhodnocuje.

Po jistém čase se začne opět ozývat „investiční manažer“ a vybízet k dalšímu nákupu. Když náhodou uživatel zpozorní a začne couvat, vrátí manažer na bankovní konto oběti drobnou částku (v přepočtu asi 1200 Kč) s tvrzením, že jde o realizovaný zisk, ať si jej oběť užije a nechá své peníze dále vydělávat. Samotné kryptoměny pochopitelně z platformy vybrat také nelze (žádné ve skutečnosti neexistují). Hodnota kryptoměny na platformě přitom virtuálně stále stoupá, takže je snadné podlehnout chamtivosti a přisypávat do „investice“ další peníze. Problém pochopitelně nastane v okamžiku, kdy se oběť pokusí o cash out. V tomto okamžiku přestávají podvodníci komunikovat, žádné další e-maily ani telefonáty od investičního manažera, oběť byla vytěžena.

Scam je poměrně průhledný, záludný je především svojí agresivní psychologickou hrou, která sahá od práce s autoritami (známé a seriozní obsahové a sociální platformy, celebrity) až po obchodnické triky jako investice začínající malou částkou a její opatrné postupné navyšování, naléhavost (časově omezená příležitost) nebo uvolnění malé části vkladu na uklidnění oběti.

Z hlediska portálů a sociálních sítí, kde se podobná reklama zobrazuje nejčastěji, je zase zrádný sofistikovaný „ad cloaking“, proti kterému se zatím nedaří úspěšně algoritmicky bojovat. V Nizozemsku, kde v rámci tohoto schématu přišli „investoři“ údajně o 1,7 milionu eur, zažaloval mediální magnát John De Mol (autor televizního Big Brothera) Facebook za zneužívání jeho obličeje v podobné kryptokampani, kterou Facebook zobrazuje na svých stránkách.

Když dal soud miliardáři za pravdu a přikázal Facebooku všechny kampaně s miliardářovou podobiznou odstranit a zaplatit pokutu 10 tisíc eur (asi 255 tisíc Kč) za každé jejich zobrazení, Facebook musel neochotně přiznat, že nedisponuje technologií, která by dokázala tyto maskované podvodné reklamy s jinou landing page pro systém a jinou pro uživatele bezpečně vymýtit. „De Mol po nás chce aplikovat perfektní filtr, který neexistuje,“ citoval Bloomberg v listopadu právního zástupce společnosti.

Shalom a díky za všechny „rhyby“ aneb Izraelský phishing za 100 milionů dolarů

Letos v červnu došlo k zatčení dvou izraelských bratrů (Assafa a Eliho Gigi), kteří tři roky úspěšně provozovali kryptoměnové phishingové schéma, kterým připravili nepozorné kryptoinvestory minimálně o 100 milionů dolarů. Větší část fondů se přitom úřadům nepodařilo a již nejspíš ani nepodaří vrátit. Schéma bylo poměrně jednoduché a využívalo obyčejného typosquattingu (URL hijackingu), tedy záměny adres nějaké populární seriózní kryptoburzy, směnárny nebo webové peněženky s odkazem na falešnou, ale vizuálně podobnou platformu.

Nepozorní uživatelé se přihlásili k falešnému účtu, čímž poskytli bratrům přístup ke skutečnému obchodnímu účtu/peněžence a potenciálně i k soukromým klíčům. Jakým způsobem a do jaké míry se bratrům dařilo obcházet bezpečnostní mechanismy, jako je 2FA, není veřejně známo. Bratři své oběti lovili především na cryptotrading fórech na Telegramu a tematicky zaměřených skupinách na Redditu. Bratři jsou navíc také spojováni (viz článek izraelského kriminálního zpravodaje Posta) s hacknutím BitGo peněženek Bitfinexu v roce 2016, tedy útoku při kterém bylo z burzy odsáto 120 000 bitcoinů. Perličkou je, že Eli (starší z bratrů) získával své kriminální kompetence pravděpodobně v době, kdy pracoval jako computer science expert pro Israel Defense Forces.

Nejedná se pochopitelně o jediný typosquattingový scam, který byl v roce 2019 aktivní a který se podařilo rozkrýt a zastavit. Jak se můžeme dočíst v tiskové zprávě Europolu, jen o pár dnů později byla ve Velké Británii a Nizozemsku zatčena skupina šesti lidí, kteří podobným způsobem vylákali ze 4000 nepozorných obětí z celkem 12 zemí kryptoměny za 27 milionů dolarů. Zátah byl vyvrcholením vyšetřování, na kterém se podílel Europol, Eurojust a Britská National Crime Agency. Ve srovnání s ukradenými kryptoměnami za 100 milionů ale působí druhá šestice proti izraelským bratrům trochu jako žabaři. 

Plus Token: Omlouváme se, museli jsme běžet

Novinové titulky již půl roku plní také Ponziho schéma jménem Plus Token. Uživatele lákal na extrémně vysoké investiční výnosy (9–18% měsíční výnos) a až do letošního léta byl známý prakticky jen v Asii (zejména Jižní Korea a Čína). Operátory platformy přestal provoz schématu (nebo nepohodlné dotazy uživatelů a jejich právníků) bavit v červnu, kdy ji zavřeli, vybrali přes 3 miliardy dolarů v Bitcoinu, Ethereu a EOSu a zanechali uživatelům jen prostý vzkaz. „Omlouváme se, museli jsme běžet.“ To následně vedlo doslova k honu na systémové administrátory platformy a tvůrce Plus Tokenu. Celé schéma nese nápadně podobné znaky jako v roce 2018 zkrachovalý Bitconnect, který byl populární pro změnu hlavně v anglosaské části světa.

29. června obletěly celý svět novinové titulky o tom, že se v ostrovní republice Vanatu podařilo zadržet šest podezřelých, kteří byli do celého schématu Plus Tokenu zapojení, a že je čeká po vydání zpět do Číny soud. Tím by mohla celá kauza zdánlivě skončit, ale opak je pravdou. Plus Tokenu se podařilo vybrat od svých obětí přibližně jedno procento všech bitcoinů v oběhu a další nezanedbatelné sumy v Ethereu (přes 6 400 000 ETH), EOSu a OMG. Větší část tímto podvodem nabytých kryptoměn je stále v majetku podvodníků, kteří se je snaží postupně vyprat a provést postupný cash out.

Od srpna se tak objevují zprávy (původně jen od čínských tradingových skupin, později potvrzené i některými společnostmi monitorujícími veřejné blockchainové platformy) o snahách tyto prostředky vyprat a po vyčištění prodat na veřejných kryptoburzách a OTC trzích, čímž údajně ženou cenu bitcoinu a s ním i zbytku trhu setrvale dolů. Schéma je (alespoň v případě Bitcoinu) celkem jednoduché, ze známých Plus Token peněženek prostředky algoritmicky rozmělnit na velké množství nových adres (ideálně za pomoci CoinJoin protokolu), celý proces několikrát zopakovat a následně prostředky opět zkonsolidovat a po částech na burzách a OTC trzích postupně vyvést za hotovost.

Vedle výše popsané techniky, jejíž první část je de facto obyčejné mixování, využívají útočníci ještě jinou zajímavou techniku praní kryptoaktiv, a to pomocí tzv. „peel chains“. Během ní podvodníci posílají prostředky v rychlém sledu skrze velké množství adres a při každé transakci se pokusí z nové adresy malou část prostředků vybrat, zatímco zbytek prostředků putuje na novou adresu.

Podle Chainalysis nicméně největší část kryptofondů Plus Tokenu stejně končí po jednoduchém průchodu nějakým známým mixérem na běžných OTC trzích, ty totiž mívají oproti tradičním burzám pro běžné smrtelníky výrazně nižší KYC pravidla a podvodníci si evidentně nechtějí ještě více komplikovat život. Podle Chainalysis se takto skrze OTC obchodníky Plus Token zbavil bitcoinů již za 185 000 000 dolarů. 

Lze si z uvedených příkladů vzít poučení?

Když jde o nakládání s vlastními prostředky, doporučuje se vždycky dvakrát měřit a jednou řezat. U kryptoměn platí totéž, jen je vhodné kvůli koncentraci podvodů počet měření raději vynásobit alespoň dvěma, raději ale spíše deseti.

Teď ale vážně, ani jeden z uvedených (a prokazatelně vysoce úspěšných) podvodů neobstojí při podrobení alespoň naprostému minimu kritického uvažování a věnování alespoň elementární pozornosti činnostem, které na internetu provádíme (obzvláště, pokud mají nějaký potenciální ekonomický dopad).

NMI-tip-recnice1

Je vlastně s podivem, kolik lidí se na podobná schémata nechá stále nachytat. V případě typosquattingu s největší pravděpodobností stačilo málo (použití 2FA) a bylo možné tragédii zabránit. Oběťmi tedy s největší pravděpodobností budou hlavně lidé, kteří s kryptoměnami (a elementárními zásadami kybernetické bezpečnosti) před tím do styku nepřišli a toto je jejich první a hned pořádně hořká zkušenost. A to je docela smutné a je to trochu škoda.

Napadá vás, jak by se dal tento stav vyřešit? Napište nám to do komentářů.