За последние несколько месяцев использование NFT становится все популярнее во всем мире. В частности, во время войны в Украине начали появляться разные благотворительные артпроекты и коллекции для поддержки украинцев. Например, сообщество NFT-художников вместе с Министерством цифровой трансформации запустили NFT-музей войны, цель которого фиксировать преступления россии и собирать средства на гуманитарные потребности Украины.
Однако быстрая популярность NFT привлекла и киберпреступников, которые быстро адаптировали свои схемы к новому тренду в цифровом мире. В связи с этим специалисты ESET решили рассказать о преимуществах и недостатках нового инструмента, а также о способах защиты от распространенных NFT-мошенничеств в Интернете.
Что такое NFT и в чем его особенность?
NFT (невзаимозаменяемый токен) ― это уникальный фрагмент цифровых данных, встроенный в файл, у которого нет аналогов. Это делает NFT цифровым сертификатом, который подтверждает эксклюзивное право собственности на определенный виртуальный актив ― фото, видео или аудио. Токен содержит всю информацию о цифровом товаре, в частности, данные о владельце и историю операций, которая хранится в открытом блокчейне и не может быть заменена или удалена.
NFT-произведения продаются на торговых платформах, которые работают как Интернет-магазины. Однако часто они имеют уязвимости, вызванные недостаточными мерами безопасности на этапах разработки. Эти ошибки используются киберпреступниками, которые могут загрузить иллюстрацию с вредоносным кодом, украсть аккаунты жертв или выманить их деньги.
Кроме этого, отсутствие регулирования рынка NFT создает условия для разных афер. В частности, недавно был обнаружен мошеннический проект ZelenskiyNFT, который продавал изображения президента Украины якобы с целью поддержки благотворительных фондов, а на самом деле все собранные средства переводились на счета владельцев.
Какие схемы NFT-мошенничеств наиболее распространены?
1. Создание поддельных веб-сайтов
Один из распространенных методов NFT-мошенничества ― копирование веб-сайтов и приложений известных брендов. Копии NFT-маркетплейсов или фальшивых криптокошельков распространяются в социальных сетях и на специальных форумах, а также по электронной почте. Уровень сходства с реальными компаниями впечатляет, поэтому нужно быть внимательным, чтобы заметить отличия, в частности в URL-адресе.
Важно проверять адрес ссылки перед нажатием, особенно при запросе веб-сайта на доступ к личным данным. Помните главное правило ― в любом случае никому не передавать пароли к NFT-кошелькам.
После подтверждения легитимности сайта следует убедиться в достоверности NFT. Проверьте историю и предыдущие продажи, оригинальность NFT и его отсутствие на других рынках, особенно при покупке ценного криптоарта, на который есть большой спрос. При попадании на дорогой проект по низкой цене будьте осторожны, поскольку именно мошенники, как правило, продают копии дешево.
Рис.1. Веб-сайт, который маскируется под маркетплейс OpenSea NFT.
2. Подделка NFT-проектов
В этих схемах злоумышленники перебрасывают NFT на кошельки инфлюэнсеров, вводя в заблуждение по поводу его авторства. Это связано с тем, что многие покупатели отслеживают конкретные кошельки, чтобы предугадать массовый интерес и увеличение стоимости NFT. По данным крупнейшего маркетплейса OpenSea, более 80% NFT, созданных бесплатно на этой платформе, были подделкой, плагиатом других исполнителей или спамом.
Кроме того, существует достаточно много случаев, когда мошенники использовали имена известных художников и продавали копии их работ на NFT-платформах без их ведома.
3. Фальшивое повышение спроса
Этот вид NFT-мошенничества предполагает, что пользователи покупают большое количество NFT (или криптовалюты) и продают их себе для искусственного создания большего спроса. Чтобы заманить покупателя, злоумышленники могут использовать инфлюэнсеров для распространения NFT в их профилях. Однако после покупки перепродать NFT по более высокой цене у покупателей, как правило, не выходит, поскольку злоумышленники после получения денег исчезают.
4. Мошенничество на аукционах
Фальшивые ставки на аукционах являются одним из самых распространенных видов NFT-мошенничества. В частности, для продажи NFT-проекта на аукционе указывается определенная цена, которую соглашается оплатить покупатель, но при оплате злоумышленники меняют ее на большую. Кроме того, подобная ситуация может быть и в случае с продавцом. Тогда мошенник, который покупает проект, может заплатить меньшую цену от заявленной изначально.
5. Фальшивые профили в соцсетях
Для осуществления NFT-мошенничества злоумышленники используют фальшивые профили в соцсетях. Часто это копии подлинных аккаунтов с небольшими изменениями. Поэтому стоит быть внимательными к новым профилям в соцсетях, иногда одна буква в названии дает понять, что аккаунт мошеннический.
В то же время боты, которые побуждают пользователей реагировать на сообщения, или мошенники под видом технической поддержки используют соцсети для выманивания у жертв данных для доступа к криптокошелькам.
Кроме того, злоумышленники могут пытаться связаться с пользователями, отправляя сообщения под предлогом пообщаться или получить совет. Обнаружить аферистов помогут типичные признаки их схем, в частности количество подписчиков, публикаций, а также отсутствие подлинного контента в аккаунте.
6. Сообщения в Discord
Discord ― это платформа для обмена сообщениями, которая разделена на сообщества, где можно общаться, транслировать и играть в игры. В частности, ней активно пользуются владельцы NFT.
Однако эта платформа также применяется киберпреступниками в мошеннических схемах. Только в декабре прошлого года 373 участника сервера Discord, которым управляет платформа для игр под названием NFT Fractal, потеряли 150 000 долларов из-за компрометации их цифровых кошельков.
В других случаях мошенники используют сообщения в Discord, отправляя их под видом известного бренда или популярного инфлюэнсера. Поэтому чем больше сеть Discord, тем выше шансы получить мошеннические сообщения. Поэтому стоит остерегаться перехода по ссылкам от незнакомцев и отправки любых финансовых данных. Также следует тщательно проверять все новые NFT-проекты, чтобы не попасть в ловушку мошенников.
7. Кража аккаунта в соцсетях
Распространенным среди мошенников способом привлечь внимание пользователей также являются розыгрыши и другие привлекательные предложения. Иногда они могут организовываться на страницах аккаунтов пользователей, которые были сломаны. Как только жертва пытается получить доступ к фальшивому предложению, ее просят ввести свои пароли или личную информацию.
Советы для защиты пользователей от NFT-мошенничеств
Погружаясь в мир NFT, пользователи должны помнить о мошенниках, которые никогда не упускают возможность заработать. Чтобы оставаться в безопасности при использовании NFT, специалисты ESET рекомендуют:
- Никому не сообщать свою фразу или пароль для входа.
- Использовать надежные и уникальные пароли, а также многофакторную аутентификацию по возможности.
- Быть осторожным при получении сообщений от новых или незнакомых пользователей.
- Не нажимать на подозрительные ссылки в сообщениях, которые предлагают бесплатные услуги или требуют быстрого ответа.
- Хранить свои токены в физическом кошельке, который обеспечивает лучшую защиту цифровой валюты в отличие от онлайн-кошелька.