Кражи и мошенничества с криптовалютами являются не самой редкой причиной обращения в наше агентство. В большинстве случаев люди становятся жертвами профессиональных преступников. И даже в этом случае существуют шансы вернуть средства.

Следует отметить, что существенные трудности в вопросах расследования хищений криптовалюты связаны не только с установлением злоумышленников, но и со сбором доказательств их преступной деятельности, даже в случаях, когда их удается установить. Существенная роль в этом принадлежит правоохранительным органам, которые зачастую не имеют необходимых компетенций. В этой связи вопрос координации процесса расследования с нашим участием приобретает дополнительную важность.

Команда агентства берет на себя часть расследования, связанную с OSINT-направлением и деанонимизацией, а аналитикой блокчейна занимаются привлеченные специалисты.

В вопросах расследования хищений криптовалюты, будь то ее целенаправленная кража или мошенничество, рассчитанное на неограниченное число людей (к примеру, при использовании фишинговых доменов популярных крипто-кошельков), особую актуальность имеет скорость реагирования на инцидент. Самым первым действием, которое нужно предпринять — это заблокировать активы, чтобы предотвратить их вывод в фиатную валюту, после чего шансы на возврат средств становятся максимально низкими.

Далее вы можете ознакомиться с описанием услуги, однако, если вы стали жертвой преступления, рекомендуем максимально быстро обратиться к нам за консультацией для принятия неотложных мер по первоначальному анализу инцидента и принятия мер реагирования.

Последовательность действий

Итак, самое первое, что нужно сделать при хищении криптовалюты — это предпринять меры по ее блокировке (при наличии такой возможности). Для этого сначала необходимо выяснить где она осела — на частном адресе, ушла на P2P-обменник или находится на биржевом аккаунте.

Опыт расследования инцидентов с криптовалютой показывает, что в 9 из 10 случаев преступники пользуются биржами для обналичивания активов. С большинством из них у нас есть налаженные контакты, которые позволяют в кратчайшие сроки провести блокировку средств и не допущения их дальнейшего вывода.

Поэтому после поступления обращения о хищении в первую очередь мы проводим блокчейн-анализ, о содержании которого мы расскажем далее. По результатам анализа формируется отчет, который используется для направления обращения на биржу (в случае вывода активов через нее), а также подачи заявления в правоохранительные органы (наличие такого отчета облегчает процесс возбуждения уголовного дела). Отчет может быть подготовлен как на русском, так и на английском языках, если вам необходимо обращение в полицию за рубежом.

Составляющие расследования

В зависимости от конкретного кейса действия могут отличаться, но общая схема расследования хищения криптовалюты выглядит следующим образом:

1. Анализ блокчейна
2. Исследование цифровых следов злоумышленников методами OSINT
3. Активная деанонимизация
4. Подготовка рекомендаций

Анализ блокчейна

Для расследований мы используем флагманскую разработку российской IT-компании, являющейся нашим партнером, которая позволяет визуализировать граф транзакций, выявлять конечного получателя криптовалюты, не смотря на количество звеньев цепочки, которые может использовать злоумышленник для запутывания следов.

Обычный пользователь видит блокчейн так:

Как видим блокчейн мы:

Бывает, что в погоне за мнимой анонимностью, злоумышленники создают огромное число транзитных криптовалютных адресов, через которые прогоняется похищенная крипта. Но используемые нами инструменты позволяют выявить конечного получается и в этом случае.

Наглядный пример — расследование наших партнеров, когда мошенники создали более 100 тысяч транзитных адресов, чтобы запутать следы. Такие кейсы было бы невозможно расследовать, используя обычный блокчейн-обозреватель.

Собственная разработка наших партнеров позволяет выявлять переход активов между адресами, перетекание через DEX в другие блокчейн-сети. Результатом такого анализа является ответ на вопрос где именно осели средства, выводили ли их через регулируемые биржи или P2P-обменники, использовались ли миксеры. Все это позволяет организовать дальнейшую работу с привлечением органов правоохраны путем направления соответствующих запросов с целью установления цифровых следов преступников.

Исследование цифровых следов злоумышленников методами OSINT

После проведения интервьюирования и выяснения всех обстоятельств хищения, параллельно с анализом блокчейна мы приступаем к изучению цифровых следов злоумышленников. Как правило, это переписка в мессенджерах и вебсайт (к примеру, сайт псевдо-биржи или фишинговый сайт-клон популярного кошелька для криптовалюты).

Анализ переписки жертвы и преступников позволяет выявить ценные для расследования сведения (используемые никнеймы, сайты, ID в мессенджерах, адреса в блокчейне и иные платежные реквизиты). После этого все полученные данные обогащаются с использованием методов OSINT.

Активная деанонимизация

В редких случаях вышеперечисленных действий достаточно, чтобы установить злоумышленников. Однако, если вы стали жертвой профессиональных преступников, как правило, требуется продолжение работы с целью получения дополнительных зацепок.

В некоторых случаях это может быть IP-адрес злоумышленника либо иные цифровые идентификаторы. Но для того, чтобы их получить, зачастую требуется разработка полноценной операции. Для этого мы подробно изучаем всю имеющуюся информацию о злоумышленнике, характере его действий, мотивации, индивидуальных особенностях и пр. с целью побуждения его среагировать на нашу приманку, в ходе чего он может раскрыть себя.

В нашей практике есть кейс, когда спустя 6 месяцев после хищения крупной суммы, мошенник из жадности допустил всего 1 ошибку, которая в конечном итоге привела к его успешному установлению. Приятно получать такие сообщения в личку от самого злоумышленника, когда он осознал, что произошло:

А за пару часов до этого в результате успешно проведенной информационной операции нам стал известен его личный номер телефона и точная гео-позиция. Этого было достаточно.

Подготовка рекомендаций

Заключительным этапом расследования (если вы не готовы оплачивать наше постоянное присутствие на всех этапах) является подготовка рекомендаций для дальнейших действий, в том числе рекомендаций для органов правоохраны по направлению и формулированию запросов в необходимые инстанции. При этом в зависимости от обстоятельств дела мы можем рекомендовать подачу заявления в органы по месту нахождения:

1. потерпевшего
2. биржи, на которую выведены средства
3. предполагаемого преступника
4. в стране с более урегулированным законодательством в сфере криптовалют

Пример рекомендуемой формы запроса, который мы готовили для сотрудников полиции с целью получения информации о фишинговом домене:

На сегодняшний день ни в Следственном комитете, ни в МВД нет достаточного количества компетентных специалистов для проведения такого рода расследований и наш отчет значительно упростит их работу — останется лишь направить необходимые запросы на биржи, обменники, регистраторам доменных имен и рекламным площадкам, продвигающим фишинговые сайты и провести дальнейшие мероприятия после получения ответов на эти запросы.

Реально ли вернуть средства?

Главный вопрос, который волнует пострадавшего. И к сожалению, мы не сможем дать на него ответ пока не будет проведено расследование. И даже в случае получения информации о лицах, причастных к совершению хищения, не всегда есть возможность вернуть средства. Начиная статью, мы уже говорили о сложностях доказывания данной категории преступлений.

Однако, если речь идет о значительной сумме, пробовать однозначно нужно, поскольку положительный опыт имеется, в том числе положительный опыт работы правоохранительных и судебных органов. Речь об иных средствах воздействия на злоумышленников в случае их установления, мы не ведем.

Стоимость расследования хищений криптовалюты

• от 120 тыс. руб.

Окончательная цена зависит от сложности и объема работы и тарифицируется по часам.