Mehanika kripto prevar in vloga blockchain forenzike

Vir: Bloctopus Intelligence

Kripto prevare so danes veliko bolj dodelane, kot si večina ljudi predstavlja. Ne temeljijo več zgolj na tehničnih trikih, ampak predvsem na psihologiji, manipulaciji in zelo dobro organiziranem operativnem ozadju. Prevaranti znajo ustvariti vtis legitimnosti, vzpostaviti zaupanje in žrtev postopoma pripeljati do tega, da sama nakaže sredstva. Prav zato je po incidentu izjemno pomembno hitro in strokovno ukrepanje.

Pri Bloctopus Intelligence se ukvarjamo z blockchain forenziko. Analiziramo tokove kriptosredstev, povezujemo »on-chain« in »off-chain« podatke, pripravljamo forenzična poročila ter pomagamo oškodovancem, odvetnikom in organom pregona razumeti, kaj se je zgodilo in ali obstaja realna možnost za nadaljnje ukrepanje, predvsem v smeri povrnitve ukradenih sredstev.

Dve pogosti mehaniki: »pig butchering« in »advance fee scam«

»Pig butchering« je dolgoročna prevara zaupanja. Prevarant najprej vzpostavi odnos z žrtvijo – romantičen, prijateljski ali navidez poslovni – nato pa jo usmeri v navidez zelo donosno investicijo, pogosto povezano s kriptosredstvi. Žrtev vidi lažne dobičke na profesionalno oblikovani platformi in zato postopoma vlaga vedno več. Težava nastopi, ko želi sredstva dvigniti: takrat se pojavijo blokade, dodatne verifikacije, domnevni davki ali administrativni stroški.

»Advance fee scam« pa je prevara z vnaprejšnjim plačilom. Žrtvi je obljubljeno izplačilo, sprostitev sredstev, odobritev posojila ali pomoč pri vračilu že izgubljenega denarja, vendar mora prej plačati določen “fee”. Ta je lahko predstavljen kot davek, strošek AML preverjanja, provizija za dvig ali administrativna taksa. Ko žrtev plača, se običajno pojavi nov pogoj in nova zahteva po plačilu.

V praksi se oba modela pogosto prepletata. »Pig butchering« se zelo pogosto konča prav z »advance fee« fazo: ko žrtev verjame, da ima na platformi dobiček, jo prevaranti prepričajo, da mora za sprostitev sredstev plačati še dodatne stroške.

Kje je vrednost blockchain forenzike?

Blockchain forenzika ne more sama po sebi razveljaviti transakcije, lahko pa bistveno pripomore k razumevanju celotnega primera. Omogoča identifikacijo relevantnih naslovov, sledenje tokovom sredstev, analizo povezav med denarnicami ter prepoznavanje točk, kjer bi bilo mogoče ukrepati – na primer pri centraliziranih menjalnicah ali drugih identificiranih ponudnikih storitev.

Pri Bloctopus Intelligence nas ne zanima le tehnični opis transakcij. Ključno vprašanje je, ali obstaja operativna točka za nadaljnje korake: ali so sredstva še sledljiva, ali so že prišla do menjalnice, ali je mogoče pripraviti uporabno dokazno podlago za prijavo, zamrznitev ali nadaljnjo identifikacijo vpletenih oseb.

Primer iz prakse

V konkretnem primeru »pig butchering« prevare smo pri Bloctopus Intelligence najprej identificirali in označili kripto denarnice, povezane s prevarantsko mrežo, nato pa sledili transferjem sredstev med temi naslovi. Hkrati nismo ostali zgolj pri »on-chain« analizi. V okviru preiskovalnih aktivnosti smo vzpostavili namensko spletno stran in jo posredovali prevarantom z namenom, da bi ob interakciji z njo pridobili dodatne tehnične podatke o njihovem dostopu, kot so podatki o napravi in povezavi.

Ključen preboj je nastopil, ko smo ugotovili, da so se sredstva stekala na račun pri eni od večjih kripto menjalnic. Prek nadaljnjih ugotovitev smo dobili informacijo, da je zadevni račun povezan z državljanom ene od držav članic Evropske unije. O ugotovitvah smo obvestili slovensko policijo, ta pa je primer posredovala pristojnim organom v tej državi. V nadaljevanju je bilo ugotovljeno, da je policija v povezani zadevi zasegla sredstva v vrednosti več kot deset milijonov. Primer kaže, da blockchain forenzika ni zgolj analiza za nazaj, ampak lahko bistveno prispeva k dejanskemu operativnemu razpletu.

Kaj storiti takoj po incidentu

Najprej je treba takoj ustaviti vsa nadaljnja plačila. Če prevaranti zahtevajo dodatne stroške za odklep računa, verifikacijo ali davke, gre praviloma za nadaljevanje iste prevare. Nato je treba zavarovati vse dokaze: »hash«-e transakcij, naslove denarnic, komunikacijo, posnetke zaslona, potrdila o nakazilih in časovnico dogodkov. Naslednji korak je hiter forenzični pregled, saj je pri takih primerih hitrost pogosto odločilna. Če sredstva pridejo do identificirane menjalnice ali druge relevantne infrastrukture, se lahko odpre realna možnost za nadaljnje ukrepanje.

Zaključek

Kripto prevare so danes organizirane, čezmejne in pogosto zelo prepričljive. Prav zato jih je treba obravnavati kot strukturiran incident, ne le kot nesrečno izgubo sredstev. Blockchain forenzika pri tem ne zagotavlja uspeha, lahko pa bistveno poveča možnost, da se primer pravilno razume, dokumentira in usmeri v pravo smer. To je pogosto razlika med popolno izgubo nadzora nad situacijo in dejansko možnostjo za nadaljnje pravne ali operativne korake.