Об основах исследования криптовалют рассказал основатель информационно-аналитической компании по предупреждению и расследованию преступлений «Интернет-розыск» Игорь Бедеров на фестивале Positive Hack Days. Запись выступления выложена на YouTube-канале «Positive Events».
Специфика криптовалют
По словам Бедерова, в прошлом году отток капитала из России в криптовалюте увеличился в 2,5 раза. Криптовалюта является новым типом цифрового финансового актива, который не нуждается во внешнем регулировании со стороны центральных банков. Рынок контролируется открыто при помощи публичного реестра – блокчейна. Тем не менее, сведения о владельцах криптовалюты скрыты и не содержатся в блокчейне.
К одному криптокошельку может быть прикреплено сотни тысяч адресов. В процессе проведения расследований идентификация криптовалютных кошельков становится важной целью. Для этого специалисты ведут работу по сбору и анализу больших данных, а также применяют способы соотнесения кошельков.
Способы исследования
«Wallet Explorer и BitinfoCharts – это два интернет-ресурса, каждый из этих ресурсов позволяет выгружать уже идентифицированные криптокошельки Bitcoin. Соответственно, берем, скачиваем сотни тысяч криптовалютных кошельков (в общей сложности где-то свыше 20 миллионов) и внедряем уже идентифицированные кошельки, привязанные к финансовым учреждениям, обменникам, сервисам, маркетплейсам и иным сущностям», – рассказывает эксперт. Базы данных позволяют идентифицировать конкретный кошелек.
Информацию о криптовалютных кошельках специалисты узнают с помощью Google dorking и сервисов по жалобам – BitcoinAbuse, Ransomwhe, BitcoinWhosWho и других. Данные платформы позволяют найти адрес криптокошелька, установить никнейм его владельца, его привязанный аккаунт в социальной сети и дополнительные контакты, например, адрес электронной почты. Специалист отмечает, что криптокошелек всегда связан с электронной почтой, сайтом или блогом.
Скоринговые сервисы BitRank Verified, Vivigle отчасти координируют работу с налоговыми органами и дают оценку кошелькам на основании публичных данных, дате создания, количестве и истории транзакций.
Еще одним методом исследования являются утечки баз данных. Бедеров подчеркивает, что за последние годы в России было зафиксировано больше 500 крупных утечек. «Утечки необходимо собирать и анализировать. Самым простым способом работы с утечками, на мой взгляд, является использование такого старенького, но, тем не менее, до сих пор эффективного комплекса как “Архивариус 3000”. У него можно загрузить любые файлы практически в любом текстовом формате, и система сама начнет искать и выгружать нужные нам сущности», – поясняет эксперт.
Утечки данных позволяют специалистам искать информацию не только по криптокошельку, но и по другим параметрам: по никнейму, адресу электронной почты пользователя.
Визуализация и мониторинг
Сегодня даже крупнейшие сервисы с инвестициями по $100–200 миллионов могут идентифицировать не более 40% кошельков с популярными криптовалютами. Если предыдущие методы не принесли положительных результатов, то расследование продолжается на уровне транзакций, связанных с конкретным кошельком. В России для изучения цепочек транзакций можно использовать платформы «Шард», SICP, Maltego, Breadcrumbs App.
Из-за большого числа операций, появляется необходимость в визуализации данных блокчейна. Для этого используются сервисы Blockpath и GitHub. Движение криптовалюты по кошелькам отслеживается c помощью CryptoTxAlert. Анализ цепочки транзакций позволяет установить объект или финансовую организацию, через который произошло снятие криптовалюты или ее обмен на другую валюту. Далее расследователи направляют в организацию мотивированный запрос на получение данных клиента.
Российские правоохранительные органы имеют практику работы с такими криптовалютными биржами, как Binance, Huobi, Bittrex, Garantex, Vexel, Bybit, Kraken, Coinbase, Gemini, NiceHash, Bitzlato, Bitmex, Okex и LocalBitcoins.
С какими информационными угрозами сталкиваются компании сегодня
Эффективные способы защиты бизнеса от кибератак обсудили на форуме по кибербезопасности Positive Hack Days.
Сегодня распространены атаки на цепочку поставок бизнеса. Атаки на компанию совершаются через подрядчика, с которыми она связана партнерскими отношениями, или через поставщика программного обеспечения. В публичном пространстве чаще взламывают сайты компаний через ее подрядчика, который имеет более слабую информационную защиту. Наиболее опасными являются атаки на исходный код и прошивку, а также уязвимости в самом программном продукте.