Первичные размещения монет (initial coin offering, ICO) — это благо как для инвесторов, так и для мошенников.

После объявления громкого ICO киберпреступники придумывают схему, чтобы обмануть возбуждённых ритейл-инвесторов и заставить их отправить криптовалюту на фальшивый адрес. Индустрия реагирует на фишинговые атаки главным образом в социальных сетях, где люди выражают своё разочарование в связи с тем, сколько конкретной криптовалюты потеряли.

А поскольку индустрия настолько новая и непрозрачная, примеров успешного мошенничества вряд ли станет меньше, к тому же заблуждения людей о своей смекалке делают их коллективно доверчивыми.

Кроме того, поскольку всё чаще при ICO ограничивается количество людей, которые могут инвестировать на публичной продаже, многие стремятся найти чёрный ход в ICO, из-за чего есть вероятность, что они не станут сильно задумываться о предложении.

«Если вы хотите провести громкую кампанию, то должны ожидать, что она станет целью», — сказал Пол Уолш (Paul Walsh), гендиректор компании Metacert, разрабатывающей бесплатное расширение Chrome, которое инвесторы в ICO могут использовать для своей защиты.

NuCypher, проект повторного шифрования прокси, недавно тоже вышедший на ICO, вызвал интерес многих инвесторов, поскольку компания занимается исследованием фишинга. Каждый раз, когда она обнаруживает фишинговую кампанию, предупреждает сообщество об этом через электронную почту.

Самая последняя атака произошла в мессенджере Slack в сообщениях, переданных через slackbots. В них были указаны адреса ethereum для отправки эфира в обмен на (предположительно) токены NuCypher. В ответ NuCypher напомнил инвесторам, что никогда не использует Slack для поиска инвестиций.

Тем не менее некоторые люди купились. Криптосообщество страдает каждый раз, когда фишинг-мошенничество преуспевает.

Уолш сказал CoinDesk:

«Раз обжёгшись, инвесторы с большей вероятностью расскажут людям: не делайте этого. Тогда меньше людей станет инвестировать в криптовалюты».

Стремясь устранить эту проблему, NuCypher сосредотачивается на коммуникации и образовании. Эмитенты ICO и заинтересованные инвесторы могут многому у них поучиться.

Но это не единственный способ оставаться в безопасности на таком диком рынке. Есть многое, что инвесторы могут сделать для своей защиты, но на самом деле никто не может сделать больше, чем команда, запускающая ICO.

Откровенный разговор

Вероятно, самая важная стратегия для эмитентов — подчеркнуть, что существует только один канал связи, в котором публикуются новости о продаже.

Например, когда мессенджер Kik запускал Kin, то компания дала понять, что вся информация о покупке токенов будет доступна только на её сайте. Даже если Kik отправлял свежие новости по электронной почте или социальным каналам, они всегда вели читателей назад на сайт, где объяснялось, что нужно делать.

Передавать важную информацию, к примеру адреса кошельков, через сайт особенно выгодно, ведь мошенникам намного сложнее подделать сайт, чем отправить убедительное электронное письмо.

Более того, предприниматели или компании, которые планируют продавать токены, должны публично заявить о своих намерениях и сделать это как можно скорее.

Пример скрытности — ICO Telegram. Поскольку мессенджер почти не говорит общественности об ICO, мошенники могут воспользоваться этим недостатком знаний и создать поддельные сайты продажи токенов.

Дело в том, что инвесторы жаловались в Твиттере на то, что их обманули поддельные сайты по продаже токенов Telegram; один недовольный человек написал, что отправил четыре эфира, надеясь купить токены мессенджера.

Гендиректор Telegram ответил на несколько вопросов об определённых URL-адресах, и компания создала канал Telegram для сообщения о мошеннических сайтах, но было бы гораздо лучше просто быть в курсе того, что происходит.

Ещё эмитенты могут снизить вероятность мошенничества, уменьшив срочность в призывах покупки токенов, хотя для многих это может показаться неочевидным.

Когда маркетинговая команда объявляет, что будут короткие периоды специальных скидок, некоторые потенциальные инвестора заводятся с пол-оборота. Они знают, что токены могут оказаться быстро распроданы, поэтому нужно действовать стремительно, чтобы успеть. Таким образом, инвесторы будут действовать, прежде чем думать, и могут быть обмануты, перейдя по фальшивым ссылкам.

По этой теме Уолш сказал:

«Проявлять энтузиазм во всём, что вы собираетесь запустить, это хорошо, но команды должны быть более внимательными».

Прежде всего, выходящие на ICO компании должны прямо сообщать, как будут общаться с последователями, чтобы те знали, что всё, несоответствующее этому формату, является фиктивным.

Обученный персонал

В наши дни взломы часто осуществляются с помощью социальной инженерии, а не таинственным кодированием.

Обмануть сотрудников, чтобы те раскрыли критическую информацию, или выяснить, как имитировать настоящий персонал, — в этих двух способах скаммеры добились успеха.

Поэтому эмитенты должны понимать, что защита внутренней команды от фишинга имеет первостепенное значение, особенно если дело касается каналов социальных сетей, где мошенники могут твитить вредоносные ссылки, которые, с доступом к аутентичным аккаунтам, будут выглядеть для инвесторов реальными.

Соучредитель PhishMe Аарон Хигби (Aaron Higbee) сказал CoinDesk, что компании «должны следить за тем, кто внутри организации может твитить из этих аккаунтов» или отправлять с них сообщения иным образом, а также обучать персонал выявлению возможных попыток фишинга.

PhishMe обеспечивает автоматизированное непрерывное обучение для компаний, помогая им повысить осведомлённость о том, какие техники используют преступники, чтобы обмануть персонал. Обучение, которое предлагается бесплатно для малого и среднего бизнеса, фактически происходит по почте — персоналу отправляются электронные письма, которые должны вызвать подозрения.

А Metacert предлагает продукт, который постоянно мониторит внутренние каналы команды и удаляет вредоносные сообщения прежде, чем кто-либо сможет их увидеть.

Помимо этого, Уолш утверждает, что руководители и другие высокопоставленные лица в фирме не должны иметь корневой доступ к каким-либо данным или системам, ведь большинство злоумышленников могут найти информацию об этом человеке для социальной инженерии, к тому же они придают руководству очень высокое значение.

Персонал, занимающийся сообществом, также должен быть обучен тому, как выявлять попытки фишинга и определять, что указывает на то, что сторонники проекта могут пострадать от фишинга на другом канале. К примеру, Kik обнаружил, что злоумышленники представляются модераторами в каналах Slack. Так что настоящим модераторам следует следить за подобным и другим подозрительным поведением.

И последнее, но не менее важное: эмитентам ICO следует удостовериться, что для их хостинг-провайдеров безопасность превыше всего. Это прежде всего связано с тем, что эмитенты ICO выбирают веб-хостинг до того, как сайт по продаже токенов заработает, давая мошенникам время, чтобы попытаться проникнуть в систему и поставить, например, на главную страницу сайта адрес собственного кошелька, когда тот заработает.

Даже если подобное цифровое граффити продержится 20 минут, может быть потеряно много денег, ведь зачастую ICO побуждают спешку с покупкой.

Внимание на обеспечении безопасности

При всем этом эмитентам ICO необходимо начать думать о внутренней безопасности с первого дня, потому что, хотя основатели проектов сосредоточены на продукте, мошенники знают, что в этот продукт со временем вольются миллионы долларов, и будут действовать заранее и ждать своего шанса ударить.

Учитывая это, ненужные документы следует уничтожать, чтобы мошенники не могли использовать их для придания атакам большей аутентичности.

Кроме того, все сотрудники должны повсюду использовать двухфакторную аутентификацию и стараться не использовать аутентификацию через SMS, поскольку она менее безопасна, чем использование таких приложений, как Authy, 1Password или Google Authenticator. Более того, с любым используемым для двухфакторной аутентификации мобильным устройством нужны строгие меры предосторожности, чтобы любые изменения подвергались более высоким проверкам безопасности.

Например, по словам Уолша, в некоторых проектах покупаются телефоны исключительно для двухфакторной аутентификации и не выносятся за пределы кабинета.

Правильно защищены должны быть не только мобильные устройства, но и списки электронных адресов.

Если злоумышленнику удастся заполучить список людей, проявивших интерес к ICO, то скам окажется на 90 процентов на пути к успеху, потому что на этих людях, скорее всего, будет использован фишинг, потому что они уже заинтересованы и источник кажется аутентичным.

Если компания использует для ведения рассылки третью сторону, например MailChimp или ConstantContact, то нужно выбирать самый высокий уровень безопасности для доступа к аккаунтам, управляющим списками.

Уолш даже добавил, что самые осмотрительные компании могут пойти дальше и посылать письма не в формате HTML, а чистый текст. Хотя текстовые сообщения могут утратить некоторый маркетинговый вид, они более безопасны, так как можно увидеть ссылку, по которой в письме просят перейти, тогда как HTML может скрывать вредоносные ссылки.

Ещё один вариант для ICO-проектов — нанять белых хакеров, чтобы те попытались взломать системы безопасности, и уязвимости будут найдены и исправлены до того, как ударит настоящий злоумышленник.

Кроме того, эмитенты могли бы быть более открытыми с общественностью и потенциальными инвесторами в отношении используемых процедур безопасности, чтобы инвесторы могли принимать обоснованные решения о том, какие проекты следует поддержать.

В связи с этим Маклейн Уилкинсон (MacLane Wilkinson) из NuCypher сказал CoinDesk:

«В конечном счёте нет возможности предотвратить фишинговые атаки, поэтому самое главное, что вы можете сделать, это обучение. Следует начать заранее с объяснения сообществу, что такое фишинговые атаки и как к ним заранее подготовиться».