Мошенник, выдававший себя за сотрудника службы поддержки Coinbase, украл криптовалюту на сумму более 2 миллионов долларов

Мошенник, выдававший себя за сотрудника службы поддержки Coinbase, в 2025 году обманул пользователей криптовалюты на сумму более 2 миллионов долларов, организовав атаки с использованием методов социальной инженерии.

Специалист по блокчейну ZachXBT разоблачил канадского злоумышленника, известного как Haby или Havard, используя анализ блокчейна и данные из социальных сетей. Мошенник звонил пользователям Coinbase , представляясь сотрудниками службы поддержки, и затем просил жертв перевести средства на кошельки, контролируемые злоумышленниками.

ZachXBT tracкражи с помощью анализа блокчейна.

Расследование началось 30 декабря 2024 года, когда Хаби опубликовал скриншот, демонстрирующий кражу 21 000 XRP на сумму 44 000 долларов у пользователя Coinbase. ZachXBT сопоставил адрес кошелька с адресами двух других пользователей Coinbase, укравших средства на сумму около 500 000 долларов. Анализ показал, что Хаби обменивал украденные XRP на Bitcoin через мгновенные обмены.

9/ Дополнительные скриншоты из его Инстаграма демонстрируют новые случаи кражи данных с использованием методов социальной инженерии.

В сеть просочилась публикация "с MacBook Air Харви"

Один из участников их чата даже посоветовал ему перестать так часто выставлять себя напоказ. pic.twitter.com/YJQlbxTfyK

— ZachXBT (@zachxbt) 29 декабря 2025 г.

С помощью анализа временных рамок ZachXBT tracBitcoin адрес Хаби. В феврале 2025 года Хаби поделился скриншотами в групповом чате, на которых был показан кошелек с 237 000 долларов.

Баланс Bitcoin на идентифицированномdentсовпал со скриншотами от 1 февраля 2025 года. Tracпо этому адресу выявило еще три случая кражи средств у сотрудников на общую сумму более 560 000 долларов.

Следователь связал кошельки с Хаби, используя информацию из утечек в социальных сетях и записи экрана. На видеозаписи, попавшей в сеть, видно, как Хаби ведет телефонный разговор с жертвой, используя методы социальной инженерии.

Запись экрана показала адрес электронной почты и его аккаунт в Telegram. Дополнительные скриншоты из Instagram продемонстрировали посты, в которых он хвастался кражами с использованием методов социальной инженерии. В одной из историй в информации об устройстве было указано: «С MacBook Air Харви».

Мошенник действовал с недостаточной системой безопасности

Хэби регулярно публиковал в социальных сетях истории и селфи, демонстрируя свой образ жизни, финансируемый украденной криптовалютой. В постах были показаны покупки дорогих никнеймов в Telegram, предметы роскоши, заказы напитков в барах и расходы на азартные игры. Один из участников его чата посоветовал ему прекратить так часто публиковать информацию о своей деятельности.

Мошенник, по всей видимости, мало заботился об оперативной безопасности. Анализ социальных сетей показал, что он находится в Абботсфорде, недалеко от Ванкувера, Британская Колумбия. OSINT-анализ его публикаций подтвердил это местоположение.

Хаби часто покупал дорогие никнеймы в Telegram и удалил свой последний аккаунт за два дня до публикации результатов расследования. Предыдущие аккаунты демонстрировали его псевдоним в различных чатах, что подтверждает подлинность просочившихся скриншотов.

В 2025 году участились случаи мошенничества с использованием поддельных учетных записей в службе поддержки Coinbase

2025 год стал довольно сложным периодом для пользователей Coinbase. Злоумышленники перешли от традиционного фишинга к целенаправленным атакам с использованием данных, украденных из систем поддержки Coinbase. В мае 2025 года произошла утечка данных, в результате которой в течение года осуществлялись высокоэффективные мошеннические схемы с использованием поддельных учетных записей.

Речь шла о подкупе со стороны киберпреступников, которые нанимали зарубежных агентов службы поддержки клиентов, в основном в Хайдарабаде, Индия, для кражи внутренних данных. Компрометированная информация включает имена, электронные адреса, номера телефонов, домашние адреса, изображения удостоверений личности и балансы счетов в режиме реального времени.

Злоумышленники не получили прямого доступа к закрытым ключам и паролям. В целом, целью атаки стало около 1% пользователей Coinbase, что составляет приблизительно 70 000 высокодоходных клиентов.

Злоумышленники потребовали выкуп в размере 20 миллионов долларов в обмен на удаление украденных данных. Coinbase отклонила требование о выкупе, назначила награду в 20 миллионов долларов за поимку злоумышленников и возместила ущерб пострадавшим.

В декабре 2025 года было произведено несколько арестов

Активность правоохранительных органов достигла пика в декабре 2025 года, когда было произведено несколько арестов, связанных с мошенничеством с использованием поддельных учетных записей Coinbase. Рональд Спектор из Бруклина, Нью-Йорк, был обвинен в краже 16 миллионов долларов у примерно 100 пользователей.

Его метод заключался в использовании украденных данных клиентов под видом «элитной службы поддержки» Coinbase и предупреждении пользователей о несанкционированных транзакциях. Он направлял жертв к переводу средств в «защищенное хранилище», которое на самом деле являлось кошельком, контролируемым им.

29 декабря 2025 года индийская полиция арестовала бывшего сотрудника службы поддержки Coinbase в связи с кражей данных в мае. Арест подтвердил теорию о подкупе инсайдера и стал первой крупной операцией правоохранительных органов против источника утечки данных.