Popularne metody oszustw w krypto

Historia o tym, jak 20 tys. dolarów zmieniło swojego właściciela

Najlepszym motywatorem okazało się życie. Stary miś dał się nabrać na sztuczny miód w efekcie czego mój portfel krypto został lekko nadszarpnięty przez pana hakera. Uznałem, że najlepszą możliwą odpowiedzią będzie uświadomienie innych jak dużą wagę powinno przykładać się do bezpieczeństwa. Nie tylko w odniesieniu do korzystania z krypto, ale ogólnie Internetu.

Sytuacja miała miejsce w 2023 roku, ale metody oszust nadal są aktualne.

Część z opisanych tu rozwiązań spokojnie można zastosować do bankowości czy ogólnego BHP w sieci. Jako źródło wiedzy częściowo posłużyło mi moje doświadczenie zawodowe oraz historie innych. Precedens okradania ludzi z kryptowalut jest nagminny. Postęp technologiczny sprawia, że co chwile słyszymy o nowych, bardziej sprytnych metodach i naprawdę ciężko jest się czasami połapać czego jestem najlepszym przykładem.

Smutne case study

Część osób, która obserwuje mój profil na X już wie, że dałem się okraść z części swoich krypto. Na szczęście wiele z poniższych zasad o których zaraz przeczytasz stosuje, dlatego łączna strata kapitału krypto wyniosła około 20 tys. dolarów. Najbardziej jednak nie zabolała mnie strata kasy, bo wiem, że prędzej czy później ją odrobię. Ucierpiało moje ego, że dałem się zrobić jak dzieciak. Naprawdę forma scamu okazała się dość prymitywna, ale to nauczyło mnie, że czujność trzeba zachować zawsze. Nawet jeśli to dopiero pierwsze, w kilkuletniej karierze tego typu zdarzenie postanowiłem zrobić rachunek sumienia. Zastanowiłem się co poszło nie tak, a to z kolei przypomniało mi, że w planach miałem właśnie wpis o bezpieczeństwie. Nie będę siedział w kącie i szlochał, wypłacę kontrę oszustom w innej formie.

Jak do tego doszło? Nie wiem. Choć się domyślam. Ogólnie sprawa okazała się dość prosta. Podczas korzystania z portfela Metamask na telefonie dostałem do podpisania wiadomość, która wykonała polecenie Approve w efekcie dając oszustowi dostęp do danego tokena z mojego portfela. Jak się zorientował że rybka połknęła haczyk to przesłał je do siebie, sprzedał, a później przepuścił przez kilka walletów żeby zatrzeć ślady. Blockchain ma to do siebie, że jest publiczny więc doskonale wiem, gdzie moje środki trafiły. Nic z tym jednak zrobić nie mogę.

Lekcja

Co zrobiłem źle? Nie przeczytałem co Metamask mi podsunął. Szkolny błąd. Chciałem na szybko coś zrobić i nie zachowałem odpowiedniej czujności. Jak się okazuje, identycznych historii jest więcej. Na grupach o krypto wiele innych osób opisuje dokładnie taki schemat działa oszusta. Dlatego sprawdzaj dwa razy co pojawia się w komunikacie od Metamaska. Generalnie zauważam tendencję, że więcej oszustw przytrafia się podczas korzystania z telefonu niż komputera. W mojej historii są dwa pozytywy – portfel do bieżącej gry zawiera jakąś część całości. Drugi to approve zostało udzielone na tokeny, które nie stanowiły największej wartości. Takie szczęście w nieszczęściu. Jaki z tego morał? Jak nie musisz, to nie korzystaj z telefonu do wykonywania transakcji krypto.

Popularne rodzaje oszustw

Spróbuje na początek zebrać wszystkie znane mi sztuczki jakie stosują oszuści. Jeśli znasz inne, podziel się w komentarzu a ja zaktualizuje wpis.

Czynnik ludzki

Admin nigdy nie pisze pierwszy. Zapisz i zapamiętaj. Ta metoda szczególnie jest wykorzystywana na oficjalnych grupach danego projektu. Jeśli publicznie o coś zapytasz możesz oczekiwać, że za chwilę otrzymasz wiadomość od domniemanego admina lub szefa działu supportu, który spieszy z pomocą. Wystarczy, że jak najszybciej zalogujesz się pod wskazany link bo […] tu wstaw szereg różnych powodów. Nigdy tego nie rób. Poważne firmy mają systemy zgłoszeniowe i nie pomagają ad hoc przez komunikator. Czasami zdarza się, że moderator pomaga ale nigdy nie robi tego w prywatnych wiadomościach.

Moda na kopiowanie profili. Coraz więcej pojawia się ludzi, którzy są w stanie skopiować cały kontent danego profilu, posty, zdjęcia i naprawdę trudno na pierwszy rzut oka wyłapać, że to oszust. Jeśli ktoś mający zasięgi pisze akurat do Ciebie, że ma super biznes – niech zaświeci się czerwona lampka. Daj mi 100 zł a oddam 200. Sprawdzaj dokładnie login, czasem są spacje, zamienione literki lub jakiś dopisek świadczący o możliwym oszustwie. Umówmy się, darmowych obiadów nikt nie serwuje. Szczególnie widać to przy rozpoznawalnych osobach, fejkowych profili działa czasem kilka jednocześnie.

Sprzedawcy marzeń

Różnej maści shillerów też możemy podciągnąć pod próby oszustwa. Niedawno KNF podtrzymał kary pieniężne dla braci Ż. niegdyś gwiazd rekomendacyjnych biznesów. Jeśli widzisz w sieci ludzi, którzy chcą Ci dać pieniądze na start lub obiecują biznes bez wkładu własnego – uciekaj. Jednym z moich faworytów jest Paweł G., on przy kapitale 1000 zł daje aż 100k na start. Ot taki samarytanin który ma skuteczność tradingu ponad 90%. Albo ta pani co gra renko. Taką metodą. Nie sposób pominąć najlepszego tradera crypto w Polsce, on to w ogóle przewidział wszystkie górki i dołki. Nauczy Cię jasnowidzenia za jedyne 1999 zł.

Uważajcie też na sprawdzone instrukcje gwarantujące dochód, to bujda na resorach. Mając świetny biznes nikomu się nim nie chwalisz dopóki zarabiasz. Robisz to dopiero w momencie gdy ten świetny model przestał być tak świetny. Rzutem na taśmę możesz na nim zarobić tworząc szkolenie. Zwróć uwagę, że wiele książek ludzi biznesu opisuje ich genialne metody. Sposoby na zbicie fortuny opowiedziane historią życia, problem w tym, że były skuteczne 20 lat temu.

Phishing

Pod tym hasłem jest wiele metod. Do najpopularniejszych zaliczyć możemy wysyłanie e-maili pod brandem danego projektu. Z informacją, że wygrałeś alokacje lub otrzymałeś ekskluzywny dostęp. Ostatnio mój znajomy naciął się w ten sposób na oszustwo “na Paczkomat”. To niewiarygodne, ale w momencie utworzenia zlecenia (tam gdzie trzeba) chwile później otrzymał fałszywy email z danymi do przesyłki. Po jakimś czasie zorientował się, że to dwa różne numery nadań a paczka była już w drodze. Na szczęście ubezpieczona. Podobnie z smsami lub telefonami od konsultantów, najczęściej z dziwnym akcentem którzy obwieszczają radosną nowinę. Masz do odebrania 0,5 btc, czasem więcej i tylko musisz ich wpuścić na swój komputer bo inaczej kasa przepadnie.

Dalej tzw. “fake websites”. Strona wygląda tak jak oryginał. Czasami wyskakują w wyszukiwarce na pierwszym miejscu, ale warto patrzeć na certyfikaty. I jeśli tylko możesz wpisuj bezpośrednio link w pasek adresu strony. Upewnij się dwa razy. To kosztuje znacznie mniej niż utrata środków. Jak już masz 100% pewności, że strona jest legit to z dalej czekają fałszywe kontrakty krypto. To to, na co sam się nadziałem. Nie sprawdziłem co podpisuje i pozamiatane. Czasem interakcja jest na tyle bezczelna, że od razu prosi o podanie klucza prywatnego – pamiętaj, że tego nie podaje się nigdy, nikomu. Bo z technicznego punktu widzenia klucz prywatny służy głównie odtwarzaniu go w nowym środowisku.

W sezonie sprytni oszuści zazwyczaj przed np. listingiem jeśli nie masz zablokowanych opcji dodadzą Cię do grupy. Chwila nieuwagi i dostaniesz przedpremierowo adres kontraktu, nieprawdziwego. Najlepiej w każdej aplikacji zablokować sobie opcję dodawania do grup przez obcych czy nawet odbierania od nich wiadomości.

Aplikacje zewnętrzne

Zwracaj uwagę co pobierasz na komputer. Często antywirusy te dobre pliki potrafią rozpoznawać jako zagrożenie. Miałem tak przy kilku desktopowych portfelach. Nie pobieraj żadnych dodatków do przeglądarek z wyjątkiem tych niezbędnych. Nie wchodź w interakcje z niewiadomego pochodzenia stronami, plikami ani ludźmi. Uważaj na darmowe NFT lub airdropy. Zawsze kilkukrotnie sprawdzaj źródło strony, jeśli trzeba to potwierdź u kogoś znajomego lub wśród społeczności czy aby na pewno ta domena jest właściwa. Z samymi grupami discord/telegram też warto uważać. Idę o zakład, że na większości z nich siedzi jakiś oszust i tylko czeka na okazję.

Kontrakty, transakcje, rugpulle

Jeśli obserwujesz różne portfele większych graczy zauważyłeś zapewne, że ostatnio pojawiła się nowa metoda. Muszę przyznać całkiem niezła. Na portfelu danej osoby pojawiają się transakcje kupna danego tokena. Czasem nawet duże, wykres rośnie. Okazuje się, że hakerzy potrafią te transakcje robić fejkowo to znaczy że właściciel nigdy tego nie kupił. Mimo to, na Etherscanie (lub odpowiedniku) w wykazie widać czarno na białym, że transakcja była. Albo po prostu wysyłają na jego portfel token co może być odebrane jako sygnał “ten duży gracz inwestuje, jest wcześnie. Wbijam za nim, easy bet”. W tej sytuacji zawsze okazuje się, że to bilet w jedną stronę. Kupisz, ale sprzedać się już nie da. Oczywiście Ty nie możesz, bo admin, żeby choć trochę uwiarygodnić oszustwo może i takie transakcje sobie generuje.

Adresy kontraktów i portfeli powinieneś sprawdzać na oficjalnych stronach danego projektu. Jest w sieci kilka narzędzi, które szybko prześledzą kontrakt i poinformują czy coś nosi znamiona honeypot. Wiem, że wiele osób posiłkuje się tym co podaje np. coingecko i to teoretycznie jest prawdziwie. Miejmy jednak na uwadze, że tam też pracują ludzie. Ktoś się może pomylić, albo włamać. Zasada ograniczonego zaufania nikomu jeszcze nie zaszkodziła. Jeśli coś choć trochę wydaje Ci się podejrzane odpuść, daj sobie czas na przeanalizowanie. Lepiej stracić okazję niż pieniądze.

Jeszcze raz, w skrócie

• admin, pracownik projektu nigdy nie napisze pierwszy

• sprawdzaj dokładnie czy profil na jaki wszedłeś jest prawdziwy

• nikt nie rozdaje pieniędzy za darmo, jeśli tak mówi – kłamie

• uważaj na sprzedawców marzeń, szkoleniowców z unikalnymi strategiami

• instrukcja gwarantująca Ci zarobki to marketingowy bełkot

• dokładnie patrz na link strony, czy ma certyfikat i jest bezpieczna

• weryfikuj otrzymywane maile, smsy szczególnie jeśli coś rozdają

• jeśli nie musisz, nie pobieraj czegoś na PC lub telefon

• sprawdzaj adresy portfeli, kontrakty, poole przed wejściem w interakcje

Podsumowanie

W obliczu cyberataków najważniejsze jest zachowanie czujności. Moje doświadczenie – strata kryptowalut o wartości 20 tys. dolarów – nauczyło mnie, jak łatwo wpaść w pułapkę, nawet jeśli wydaje się, że masz kontrolę. Stałem się ofiarą prostego oszustwa poprzez portfel Metamask, gdzie pochopnie zatwierdziłem transakcję, nie zwracając uwagi na szczegóły.

Ta sytuacja przypomina, jak ważne jest dbanie o bezpieczeństwo nie tylko w kryptowalutach, ale także w innych sferach związanych z korzystaniem z Internetu. Na oszustwa można natknąć się wszędzie – w e-mailach, SMS-ach, czy fałszywych profilach w mediach społecznościowych. Oszuści stale doskonalą swoje metody, co wymaga od nas zachowania szczególnej ostrożności.

Oszustwa związane z kryptowalutami są coraz powszechniejsze, ale odpowiednia wiedza i czujność mogą nas przed nimi uchronić. Warto stosować te zasady także w ogólnym korzystaniu z bankowości i innych usług internetowych.