Турист из Индии обманул 500 трейдеров Coinbase на $20 млн.

В совместном расследовании издания 404 Media с независимым аналитическим центром Court Watch была обнаружена масштабная схема кибермошенничества, затронувшая более 500 пользователей криптовалютной биржи Coinbase на сумму свыше $20 млн.

Шаблон аферы

Риккардо, одна из жертв мошенников, столкнулся со взломом своего аккаунта на Coinbase в 2021 году. При попытке входа на платформу для трейдеров Coinbase Pro, он столкнулся с сообщением о компрометации своего аккаунта и необходимости немедленно связаться с сервисной службой по телефону. Мошенники убедили Риккардо ввести код верификации, отправленный по SMS, в чате на поддельном сайте, который выдавал себя за Coinbase, что привело к краже средств.

По данным расследования, мошенники использовали фишинговые сайты, включая coinbasepro[.]com, для перенаправления жертв на поддельные страницы Coinbase.

Фишинговая страница, на которую перешел Риккардо (сверху) и поддельная форма входа и чат с поддержкой (снизу)

Преступник из Индии арестован

Чираг Томар, 30-летний гражданин Индии, был арестован Секретной службой США (United States Secret Service, USSS) в рамках этого дела. Томар предположительно является одним из участников схемы, хотя неясно, был ли он тем, кто разговаривал с Риккардо по телефону.

Каждая кража, указанная в письменных показаниях, оставила после себя цифровые следы, за по которым следователи USSS могли отследить преступников. После того, как украденные средства жертвы были переведены на счет Binance, следователи получили ордер на «обыск» адреса электронной почты, связанного с этой учетной записью. Email-адрес содержал документы, удостоверяющие личность, которые использовались для проверки Binance и были отправлены по электронной почте с другого адреса (chirag.tomar). Офицеры считают, что документы были украдены или получены обманным путем.

Внутри обнаруженной почты (chirag.tomar) находились txt-файлы, содержащие номера телефонов, имя и сумму украденных средств жертв. Информация из почтового ящика помогла идентифицировать подозреваемого. Данные включали несколько фотографий его индийского паспорта, банковские выписки на его имя и фотографии, отправленные как часть его заявления на поездку в США.

Следователи сравнили фотографию на туристической визе Томара в США с фотографиями в аккаунте электронной почты и подтвердили, что это один и тот же человек. В своем заявлении на визу Томар использовал определенный номер телефона, который власти затем связали с конкретной учетной записью на криптовалютной бирже MEXC под вымышленным именем. Следователи полагают, что использование вымышленного имени в MEXC свидетельствует о попытке скрыть истинную личность владельца счета и запутать характер и источник криптовалютных транзакций. Однако офицеры проследили перемещение некоторых украденных средств на счет MEXC, несмотря на то что Томар якобы совершал chain-hopping («прыжки между сетями»), когда он в короткий промежуток времени несколько раз конвертирует одну криптовалюту в другую на разных криптобиржах, чтобы запутать следы.

Разносторонняя деятельность

Расследование освещает широкий спектр действий мошенников, включая кражу криптовалюты, попытки отмывания денег через аккаунты, зарегистрированные на поддельные личности, и перевод средств в другие виды криптовалюты. В документах суда также упоминаются другие жертвы, потерявшие сотни тысяч долларов, в том числе один из пользователей, потерявший более $250 000.

Сервис Coinbase, сотрудничая с правоохранительными органами, заявил о приоритете безопасности пользователей и использовании аппаратных ключей для верификации вместо кодов, которые могут быть перехвачены. Компания также получила контроль над доменом coinbasepro[.]com в июне 2022 года, спустя почти 2 года после начала фишинговой атаки.

Риккардо, потерявший свои средства и обратившийся в ФБР и Coinbase, остался потрясен произошедшим. Мошенники, действующие анонимно и безнаказанно, продолжают представлять серьезную угрозу в мире криптовалют.