Запуская мониторинг обменных пунктов для Bits.media, я систематизировал ключевые риски, с которыми сталкивался сам и о которых сообщали пользователи. Чтобы эта информация принесла пользу, я оформил ее в статью, дополнив примерами из сферы P2P-обменов, которые сегодня также крайне популярны. Список составлен от простых к сложным схемам, но даже элементарные уловки ежедневно приводят к потерям, поскольку бдительность теряют даже опытные участники рынка. В завершение я приведу практические правила безопасности. Отмечу, что эти принципы актуальны и для обменников, работающих с электронными валютами, например, для безопасного обмена через obmenat.com.
1. Манипуляции с разделителями: точки и запятые
Эта схема часто встречается в P2P-сделках и при работе с кодами пополнения (redeem). Мошенник договаривается на сумму, например, «1900» единиц. После вашего согласия он отправляет платеж или код на сумму «1,900» или «1.900». При беглой проверке легко пропустить разделитель и ошибочно принять сумму за «1900», а не за «одну целую девять сотых». Отправив свою часть сделки, вы обнаруживаете обман. Риск высок в системах, где точка или запятая используются для обозначения дробной части.
2. Фейковые обменные пункты
Мошенники создают сайты-одностраничники с простым скриптом, имитирующим работу обменника. Их приманка — нереально выгодный курс, иногда даже с инверсным спредом (цена покупки выше продажи). Часто такие «сервисы» предлагают только обмен фиата на криптовалюту, так как получение криптоактивов для злоумышленников наиболее безопасно. После нескольких успешных операций сайт исчезает, а его владельцы меняют домен и название, чтобы начать заново. Жалобы пользователей в черные списки их мало беспокоят.
3. Фишинговые копии легальных сервисов
Злоумышленники регистрируют домены, похожие на адреса известных обменников (например, с опечаткой), и продвигают их через контекстную рекламу, соцсети и форумы. Они могут вести активную «поддержку», убеждая клиентов в задержках, подделывая положительные отзывы и даже угрожая владельцам мониторингов DDoS-атаками или жалобами в правоохранительные органы. Иногда предлагают взятки за исключение из черных списков или за слив информации о конкурентах.
4. Подмена платежных реквизитов
Распространена в P2P-сделках. Мошенники взламывают аккаунты представителей обменников на форумах или в соцсетях и меняют указанные там реквизиты для приема средств на свои. Владелец аккаунта может продолжать общение, не замечая подмены. Иногда аналогичным образом подменяют контакты в Telegram. В случае с самими обменниками клиентам могут предложить «эксклюзивные» условия с просьбой отправить криптовалюту на указанный адрес, минуя стандартную процедуру.
5. Перевод «грязных» денег
Вам могут честно обменять криптовалюту на рубли, но источник этих средств окажется криминальным. Чаще это касается QIWI, но встречается и с другими платежными системами и банковскими картами. Иногда платеж приходит множеством мелких переводов (например, по 1500–3000 рублей), которые могут быть оплатой за нелегальные товары вроде наркотиков. После таких операций ваш счет, скорее всего, будет заблокирован, а вы столкнетесь с вопросами со стороны службы безопасности платежной системы или банка.
6. Социальная инженерия: клонирование аккаунтов
В P2P-сделках мошенник создает копию аккаунта вашего доверенного контрагента, используя визуально похожие символы (например, английскую «o» вместо русской «о»), тот же аватар и данные профиля. Затем он связывается с вами и предлагает выгодную сделку. На автоматическом доверии вы совершаете обмен и теряете средства.
7. Отмена платежа (чарджбек)
Классическая проблема при приеме платежей через PayPal, но возможна и в других системах. Покупатель переводит вам фиат, вы отправляете криптовалюту, после чего он инициирует отмену платежа через банк или платежную систему, ссылаясь на мошенничество. Поскольку обмен криптовалюты часто нарушает правила таких сервисов, решение обычно выносится в пользу инициатора чарджбека.
8. Мошеннические «схемы заработка»
В сети появляются «секретные» схемы быстрого обогащения, например, арбитраж между обменниками. Вам предлагают: 1) купить QIWI в надежном обменнике А, 2) обменять QIWI на биткоины в проверенном обменнике Б, 3) продать биткоины за QIWI в «супервыгодном» обменнике В с курсом выше рынка. Первые два этапа проходят нормально, создавая иллюзию надежности, но на третьем этапе вы отправляете биткоины в мошеннический обменник и теряете их. Расчет на жадность и потерю бдительности.
9. Атака «человек посередине» (треугольник)
Мошенник выступает посредником между жертвой и обменником, представляясь каждой из сторон противоположной. Например, клиенту он говорит, что является обменником, а обменнику — что хочет купить криптовалюту. Он запрашивает у обменника реквизиты для оплаты, пересылает их клиенту. Клиент переводит деньги, а мошенник дает обменнику свой криптокошелек для получения актива. В итоге клиент теряет деньги, обменник — криптовалюту, а между ними возникает конфликт.
10. Обман через товарные площадки с привлечением обменника
Усложненная версия предыдущей схемы. Мошенник размещает на Avito или подобной площадке привлекательное предложение о продаже товара с обязательной предоплатой. Согласившемуся покупателю он дает реквизиты карты, полученные от обменника (представившись там покупателем криптовалюты). Покупатель переводит деньги за «товар» на счет обменника, мошенник получает криптовалюту и исчезает. Жертва может даже не знать о существовании криптовалюты.
Как защититься: основные правила безопасности
Будьте внимательны и сохраняйте критическое мышление. Это основа.
Дробите крупные суммы. Разбивайте большую сделку на несколько частей и переходите к следующей только после успешного завершения предыдущей.
Используйте уникальные сложные пароли для каждой площадки, чтобы взлом одного аккаунта не привел к компрометации остальных.
Тщательно перепроверяйте все реквизиты на каждом этапе. Существует вредоносное ПО, подменяющее криптоадреса в буфере обмена. Убедитесь, что отправляете актив на правильный тип кошелька (BTC, а не BCH).
Проверяйте дополнительную информацию о контрагенте. В P2P-сделках: ID пользователя, количество и историю сообщений на форуме, дату регистрации аккаунта. Для сайтов используйте сервисы вроде Alexa Rank или проверяйте дату регистрации домена.
Ищите отзывы на независимых площадках — мониторингах обменников (например, на нашем) и тематических форумах. Отзывам на самом сайте обменника доверять нельзя.
При приеме оплаты запрашивайте свежее фото карты (с именем владельца) или товара, а лучше — короткое видео с голосовым подтверждением.
Открывайте все полученные файлы (инвойсы, документы, фото) в изолированной среде, например, в виртуальной машине, не имеющей доступа к вашим основным данным.
Не совершайте сделки по просьбе третьих лиц, какими бы надежными они ни казались.
Учитывайте лимиты платежных систем, с которыми работаете.
Устанавливайте достаточную комиссию при отправке криптовалюты, чтобы транзакция не зависла в мемпуле надолго, что может привести к изменению курса в невыгодную для вас сторону.
Подтверждайте сделку по нескольким каналам связи (почта, мессенджер, ЛС на площадке), особенно при первом контакте.
