Фишинг, фейки и бан: как защититься от мошенничества во время и после ICO
При проведении ICO злоумышленники чаще всего активизируются в первые часы кампании, когда у проекта есть шанс собрать большую сумму за короткий срок. Поэтому на старте сборов команде некогда открывать шампанское, она должна быть в полной боевой готовности. Чем успешнее компания — тем больше внимания. Наш проект на ICO не миновали все невзгоды. На старте сборов неизвестные запустили серию сайтов-клонов, атаковали чаты фейковыми пользователями, предлагали партнерство с площадками, к которым не имели отношения, и так далее. Благодаря грамотному управлению бизнес-процессами и слаженной работе команды, вопреки сложностям мы в ноябре 2017 года завершили ICO с результатом >$10.5 млн. Вот к чему нужно быть готовым, чтобы минимизировать риски в сфере безопасности краудсейла.
№1
Фишинговые сайты-клоны
Как работает:
В момент запуска ICO-кампании в сети открывается несколько мошеннических доменов, отличающихся от вашего на одну букву, например вида p1aykey.io. Такие сайты обычно повторяют дизайн основной площадки ICO и отличаются лишь адресом ETH или BTC кошелька для сборов. На подобные фишинговые порталы злоумышленники собирают трафик скаминговыми письмами, рекламой, личными сообщениями в мессенджерах, на форумах и т. п.
Как бороться:
Время от времени забивать название бренда в поисковик и смотреть результаты. Увидев подобные сайты, ищите контакты хостера и/или владельца фишингового домена через стандартные инструменты whois. Нужно заранее подготовить вместе с юристами письма-требования о закрытии фишинговой площадки, чтобы отправлять их хостинговой компании. По нашему опыту, владельцы доменов и хостинг-провайдеры действуют быстро и закрывают поддельные сайты за несколько часов. Предупредите всех пользователей в чатах о фишинговых сайтах и отметьте необходимость проверки правильности написания домена в адресной строке. Чтобы дополнительно обезопасить краудсейл, забронируйте перед стартом ICO-кампании пять-десять ключевых доменов (.com, .ru, .io и др.) первого уровня с названием вашей компании.
№2
Фейковые аккаунты основателей в соцсетях
Как работает:
В соцсетях и мессенджерах создаются аккаунты с аватарами и именами CEO, CTO, агентов службы поддержки и других сотрудников компании. С этих аккаунтов неизвестные начинают отправлять личные сообщения всем участникам ICO-каналов, групп, форумов. Примерное содержание таких сообщений: Привет! Спешу сообщить, что мы наконец запустили сборы. Подробности — тут (ссылка на фишинговый сайт). В эту же категорию можно включить владельцев сетей ботов. Они заходят в группы ICO-кампании в Telegram, ничего не пишут, но перед стартом краудсейла массово добавляют в чат других ботов, которые могут вбросить в группу сообщения любого рода — от рекламы сторонних ICO-проектов до обычного фишинга.
Как бороться:
Быстро банить нарушителей (если форум или группа под вашим контролем), без устали напоминать пользователям, что вся информация о сборах будет доступна только на официальном сайте и никогда не придет в личных сообщениях от СЕО. Для борьбы с ботами — проинструктируйте службу комьюнити-менеджмента и поддержки, чтобы они были готовы оперативно определять и банить фейковые аккаунты. Проверьте, что все модераторы в ваших соцсетях имеют достаточные администраторские права.
№3
Взлом смарт-контракта
Как работает:
Если запускать ICO на базе готовой платформы или с помощью ICO-конструкторов, то риски с безопасностью смарт-контракта вторичны. Но если смарт-контракт создается внутренней командой (как это было в нашем случае), то при ошибках в коде возможны дополнительные риски. Такое уже происходило — например с проектом DAO: миллионы долларов, собранные в ходе ICO, оказались похищены из-за ошибок и уязвимостей в коде контракта. В других случаях суммы сборов замораживали, но не могли украсть, — но и это не лучший сценарий для краудсейла.
Как бороться:
Создавая смарт-контракт с нуля, подумайте над аудитом документа внешним техническим специалистом. Такую услугу предлагают многие владельцы ICO-рейтингов. Подобная проверка занимает около недели, зато дает дополнительную гарантию безопасности смарт-контракта.
№4
Фейковые помощники и площадки
Как работает:
Чем больше у проекта объем закупок рекламы на криптоплощадках, тем больше поток входящих предложений о сотрудничестве. Кто-то предлагает публикации в Telegram-каналах с сотнями тысяч реальных пользователей. Другие могут представляться менеджерами по рекламе крупных блокчейн-порталов, хотя не имеют к ним никакого отношения. Время краудсейла ограничено, и детально проверять подрядчиков не всегда получается, а кто-то просто новичок и не разберется.
Как бороться:
Запросите у менеджеров по рекламе письмо с официального домена площадки. Новую площадку оцените через независимые инструменты, хотя бы через SimilarWeb (изучите не только количество трафика, но и его источники). Telegram-каналы проверяйте через экспертов по рынку и адвайзеров: слышали ли они про них? Подписаны ли сами? Плюс включайте логику: например, как соотносятся просмотры постов с количеством участников канала?
№5
Рассылка оффлайн фишинговых писем — уже после ICO
Как работает:
Мошенники продолжают свою работу и после завершения ICO. В нашем случае после краудсейла в пермский офис Playkey пришло письмо из Великобритании. Отправитель — реально существующая юридическая компания, к которой авторы письма, разумеется, не имели отношения, — обвиняла нас в том, что в ходе ICO мы нарушили некий протокол гражданского процессного правила 2000 года и другие законодательные акты Великобритании, из-за чего авторы письма выставляли нам иск на миллионы фунтов. И не только нам, но еще и Сатоши Накамото (создатель биткоина), Марти Малми aka Сириус в одной строке обвиняемых. Чтобы избежать проблем и урегулировать проблему в досудебном порядке, в письме предлагалось перевести в оговоренный срок около 4 биткоинов на кошелек bitcoin или эквивалент в эфирах. С подробной пошаговой инструкцией, как именно сделать криптоперевод. Надо ли говорить здесь о важности критического мышления и разумных проверках источников информации?
Как бороться:
Будьте осторожнее с входящей корреспонденцией во время ICO — и после тоже. Не надо скрывать свои координаты — это навлечет на вас подозрения в скаме. Но проверяйте новые письма с осторожностью. Письма-иски в большинстве случаев представляют собой обычный фрод. Его легко отличить: размытые печати, фейковые подписи, не самая лучшая бумага и конверт. Позвоните по реальным координатам отправителя — а не тем, что будут указаны в письме, — и проверьте все основательно, если будут оставаться какие-то сомнения. Сам иск выставлен был не только на Playkey, но и Сатоши Накамото, при этом до сих пор достоверно неизвестно, реальный ли это человек или группа людей под единым творческим псевдонимом. Перечисление Playkey и Накамото прямо через запятую — откровенный сюрреализм в официальном письме — должен дать определенную пищу для размышлений.
