Кражи и мошенничества с криптовалютами являются не самой редкой причиной обращения в наше агентство. В большинстве случаев люди становятся жертвами профессиональных преступников. И даже в этом случае существуют шансы вернуть средства. Следует отметить, что существенные трудности в вопросах расследования хищений криптовалюты связаны не только с установлением злоумышленников, но и со сбором доказательств их преступной деятельности, даже в случаях, когда их удается установить. Существенная роль в этом принадлежит правоохранительным органам, которые зачастую не имеют необходимых компетенций. В этой связи вопрос координации процесса расследования с нашим участием приобретает дополнительную важность.
Для качественного оказания услуг, связанных с расследованием криптоинцидентов, наше детективное агентство сотрудничает с ведущим игроком на рынке СНГ, компанией резидентом «Сколково», которая имеет большой опыт такой работы, а также необходимые контакты среди представителей ведущих криптовалютных бирж и иных игроков рынка.
Команда агентства берет на себя часть расследования, связанную с OSINT-направлением и деанонимизацией, а аналитикой блокчейна занимается привлеченная партнерская компания.
В вопросах расследования хищений криптовалюты, будь то ее целенаправленная кража или мошенничество, рассчитанное на неограниченное число людей (к примеру, при использовании фишинговых доменов популярных крипто-кошельков), особую актуальность имеет скорость реагирования на инцидент. Таким образом, самым первым действием, которое нужно предпринять, является обнаружение и блокировка активов. Это позволяет предотвратить их вывод в фиатную валюту, после чего шансы на возврат средств становятся максимально низкими.
Далее вы можете ознакомиться с описанием услуги, однако, если вы стали жертвой преступления, рекомендуем максимально быстро обратиться за консультацией для принятия неотложных мер по первоначальному анализу инцидента и принятия мер реагирования.
Мы проводим расследования случаев, связанных с крупными финансовыми потерями. Минимальный размер ущерба, с которым мы работаем, составляет 50 000 $.
Это обусловлено рядом факторов:
Ваше участие в процессе принципиально важно. Мы принимаем дела только при вашей готовности взаимодействовать с правоохранительными органами. Без их участия возврат средств невозможен — биржи и обменные сервисы, которыми пользуются злоумышленники, сотрудничают исключительно по официальным запросам.
В ряде ситуаций мы рекомендуем инициировать уголовные дела сразу в нескольких юрисдикциях. Такой подход значительно повышает вероятность успешного результата.
Главный вопрос, который волнует пострадавшего. И к сожалению, мы не сможем дать на него ответ пока не будет проведено расследование. И даже в случае получения информации о лицах, причастных к совершению хищения и их блокировки, не всегда есть возможность вернуть средства.
Однако, если речь идет о значительной сумме, пробовать однозначно стоит, поскольку положительный опыт возвратов имеется.
Итак, самое первое, что нужно сделать при хищении криптовалюты — это предпринять меры по ее блокировке (при наличии такой возможности). Для этого сначала необходимо выяснить где она осела — на частном адресе, ушла на P2P-обменник или находится на биржевом аккаунте.
Опыт расследования инцидентов с криптовалютой показывает, что в 9 из 10 случаев преступники пользуются биржами для обналичивания активов. С большинством из них у нас есть налаженные контакты, которые позволяют в кратчайшие сроки провести блокировку средств и не допущения их дальнейшего вывода.
Поэтому после поступления обращения о хищении в первую очередь мы проводим блокчейн-анализ, о содержании которого мы расскажем далее. По результатам анализа формируется отчет, который используется для направления обращения на биржу (в случае вывода активов через нее), а также подачи заявления в правоохранительные органы (наличие такого отчета облегчает процесс возбуждения уголовного дела). Отчет может быть подготовлен как на русском, так и на английском языках, если вам необходимо обращение в полицию за рубежом.
В зависимости от конкретного кейса действия могут отличаться, но общая схема расследования хищения криптовалюты выглядит следующим образом:
Для расследований мы используем флагманскую разработку российской IT-компании, являющейся нашим партнером. Специализированное ПО позволяет визуализировать граф транзакций, выявлять конечного получателя криптовалюты, несмотря на количество звеньев цепочки, которые может использовать злоумышленник для запутывания следов.
Обычный пользователь видит блокчейн так:
Как видим блокчейн мы:
Бывает, что в погоне за мнимой анонимностью, злоумышленники создают огромное число транзитных криптовалютных адресов, через которые прогоняется похищенная крипта. Но используемые нами инструменты позволяют выявить конечного получается и в этом случае.
Наглядный пример — расследование наших партнеров, когда мошенники создали более 100 тысяч транзитных адресов, чтобы запутать следы. Такие кейсы было бы невозможно расследовать, используя обычный блокчейн-обозреватель.
Собственная разработка наших партнеров позволяет выявлять переход активов между адресами, перетекание через DEX в другие блокчейн-сети. Результатом такого анализа является ответ на вопрос где именно осели средства, выводили ли их через регулируемые биржи или P2P-обменники, использовались ли миксеры. Все это позволяет организовать дальнейшую работу с привлечением органов правоохраны путем направления соответствующих запросов с целью установления цифровых следов преступников.
На этом этапе работ вы получаете детализированный отчет с исчерпывающей информацией. Данный отчет значительно упростит процесс блокировки средств с целью недопущения их вывода и принятия решения о возбуждении уголовного дела и дальнейшему его расследованию.
После проведения интервьюирования и выяснения всех обстоятельств хищения, параллельно с анализом блокчейна мы приступаем к изучению цифровых следов злоумышленников. Как правило, это переписка в мессенджерах и вебсайт (к примеру, сайт псевдо-биржи или фишинговый сайт-клон популярного кошелька для криптовалюты).
Анализ переписки жертвы и преступников позволяет выявить ценные для расследования сведения (используемые никнеймы, сайты, ID в мессенджерах, адреса в блокчейне и иные платежные реквизиты). После этого все полученные данные обогащаются с использованием методов OSINT.
В редких случаях вышеперечисленных действий достаточно, чтобы установить злоумышленников. Однако, если вы стали жертвой профессиональных преступников, как правило, требуется продолжение работы с целью получения дополнительных зацепок.
В некоторых случаях это может быть IP-адрес злоумышленника либо иные цифровые идентификаторы. Но для того, чтобы их получить, зачастую требуется разработка полноценной операции. Для этого мы подробно изучаем всю имеющуюся информацию о злоумышленнике, характере его действий, мотивации, индивидуальных особенностях и пр. с целью побуждения его среагировать на нашу приманку, в ходе чего он может раскрыть себя.
В нашей практике есть кейс, когда спустя 6 месяцев после хищения крупной суммы, мошенник из жадности допустил всего 1 ошибку, которая в конечном итоге привела к его успешному установлению. Приятно получать такие сообщения в личку от самого злоумышленника, когда он осознал, что произошло:
А за пару часов до этого в результате успешно проведенной информационной операции нам стал известен его личный номер телефона и точная гео-позиция. Этого было достаточно.
Если в ходе расследования удаётся собрать цифровые следы и приблизиться к установлению личности злоумышленников, мы инициируем прямой контакт.
Такие переговоры целесообразны, когда:
В отдельных случаях мы ведём коммуникацию от имени нашей компании, информируя злоумышленников о подключении правоохранительных органов и бирж. В таких сообщениях предлагается возможность досудебного урегулирования.
Цель этапа — добиться добровольного возврата средств. Контакт с нами зачастую становится для злоумышленника последним шансом урегулировать вопрос без суда, а для пострадавшего — возможностью быстрее вернуть свои активы.
Заключительным этапом расследования является подготовка рекомендаций для дальнейших действий, в том числе рекомендаций для органов правоохраны по направлению и формулированию запросов в необходимые инстанции. При этом в зависимости от обстоятельств дела мы можем рекомендовать подачу заявления в органы по месту нахождения:
На сегодняшний день ни в Следственном комитете, ни в МВД нет достаточного количества компетентных специалистов для проведения такого рода расследований и наш отчет значительно упростит их работу — останется лишь направить необходимые запросы на биржи, обменники, регистраторам доменных имен и рекламным площадкам, продвигающим фишинговые сайты и провести дальнейшие мероприятия после получения ответов на эти запросы.
После получения ответов от бирж и сервисов мы помогаем клиенту и его представителям корректно интерпретировать полученные технические данные и использовать их для планирования дальнейших шагов расследования.
