Фишинг и криптовалюты: как работают мошенники и как защититься

Фишинг (phishing) — это вид мошенничества, при котором злоумышленники маскируются под «настоящий» сервис (биржу, кошелёк, поддержку, друга), чтобы обманом выманить у пользователя данные от кошелька, аккаунта или подтолкнуть его самому подписать перевод средств.

В криптовалютах фишинг особенно опасен: ошибочная транзакция необратима, а доступ к кошельку и приватным ключам нельзя «отменить» через банк или поддержку.

Фишинг и криптовалюты: как работают мошенники и как защититься

Как фишинг устроен в криптовалютной среде

Классическая схема:

  • мошенник создаёт правдоподобную копию сервиса (сайт, приложение, аккаунт поддержки);
  • жертву подводят к этой копии через:
    • письма, мессенджеры и соцсети;
    • поисковую рекламу;
    • фейковые чаты и каналы;
  • дальше пользователя просят:
    • ввести логин/пароль, 2FA-код, код из SMS;
    • ввести seed-фразу от кошелька;
    • подписать транзакцию или approve в кошельке;
    • «подтвердить» операцию по ссылке;
  • получив данные или подпись, атакующий:
    • крадёт BTC и токены с горячих кошельков;
    • выводит активы с бирж и кастодиальных сервисов;
    • устанавливает контроль над аккаунтом.

Цель всегда одна — получить контроль над средствами или убедить жертву самостоятельно отправить деньги.

Типичные сценарии фишинга в криптовалютах

Письма и сообщения от «биржи» или «кошелька»

Мошенники рассылают письма и сообщения с темами:

  • «Ваш аккаунт будет заблокирован, срочно подтвердите данные»;
  • «Обнаружена подозрительная активность, авторизуйтесь»;
  • «Вы выиграли airdrop/бонус, заберите прямо сейчас».

Общие признаки:

  • навязчивый срочный тон («осталось 10 минут», «последнее предупреждение»);
  • ссылка ведёт не на официальный домен, а на имитацию (добавлен символ, другое окончание);
  • просят ввести логин, 2FA, seed или приватный ключ.

Поддельные сайты бирж и кошельков

Частая схема: пользователю подсовывают сайт, визуально полностью похожий на:

  • популярную биржу;
  • сервис кошелька;
  • официальный сайт DeFi-протокола.

Это может происходить через:

  • поисковую рекламу (первой выдаётся фейковая ссылка);
  • ссылки в соцсетях и мессенджерах;
  • подмену домена (латиница/кириллица, лишняя буква, другое окончание).

На таком сайте:

  • при вводе учётных данных они улетают напрямую атакующему;
  • любое «подтверждение операции» на самом деле запускает кражу.

Фейковые кошельки и расширения

Мошенники:

  • выкладывают поддельные приложения в каталоги (особенно вне официальных сто́ров);
  • делают копии известных кошельков, но с вредоносным кодом;
  • публикуют поддельные браузерные расширения.

Риски:

  • seed-фраза тихо отправляется на сервер атакующего;
  • при каждом запуске кошелёк может «подсаживать» новые адреса/контракты;
  • расширение может подменять адреса при отправке.

«Поддержка» и «админы» в чате

Классический приём в Telegram и других мессенджерах:

  • вы задаёте вопрос в официальном чате;
  • через минуту в личку пишет «поддержка» или «админ»;
  • начинается диалог:
    • «поставьте программу удалённого доступа»;
    • «пришлите скрин кошелька с seed»;
    • «подпишите транзакцию, это тестовая операция».

Важно понимать: легитимная поддержка никогда не пишет первой в личку и не просит seed-фразы.

Airdrop, NFT и «подарочные» токены

Фишинг через «бесплатные раздачи»:

  • на кошелёк приходят неизвестные токены;
  • при попытке «забрать подарок» сайт просит:
    • подключить кошелёк;
    • выдать широкие права на токен (approve/unlimited);
    • подписать подозрительную транзакцию.

После этого смарт-контракт может:

  • списать реальные токены, к которым ему дали доступ;
  • «слить» баланс с кошелька через цепочку вызовов.

Как распознать фишинг: красные флажки

Некоторые признаки стоит запомнить как автоматические триггеры осторожности.

  • Просят seed-фразу или приватный ключ

Ни биржи, ни кошельки, ни реальная поддержка никогда не запрашивают эти данные.

  • Ссылка ведёт на странный домен

Проверяйте:

  • правильное написание бренда;
  • доменную зону (.com, .io, .org и т.д.);
  • отсутствие лишних символов, тире, дубликатов букв.
  • Сильное давление по времени

«Через 5 минут аккаунт будет удалён», «последний шанс забрать бонус» — это классика фишинга.

  • Запрос на установку стороннего ПО

Любые программы удалённого доступа, «диагностики кошелька» или «ускорители транзакций» — почти наверняка мошенничество.

  • Несогласованные запросы на подпись в кошельке

Если всплывает окно подписи:

  • тщательно читайте, что именно подписывается;
  • проверяйте адрес контракта и название функции;
  • при сомнениях — закрывайте окно.
  • Грамматические ошибки и «ломаный» язык

Не всегда, но часто фишинговые письма и сайты содержат странные формулировки.

Seed-фраза и приватный ключ: что нельзя делать никогда

Короткое правило:

  • Seed-фразу нельзя вводить нигде, кроме:
    • начальной настройки кошелька;
    • восстановления кошелька в офлайн-клиенте, которому вы доверяете.

Нельзя:

  • вводить seed на сайтах, даже если это «очень похоже» на ваш кошелёк;
  • фотографировать seed и хранить в галерее, облаке, мессенджерах;
  • пересылать seed-фразу кому-либо, даже «поддержке» или «проверенному знакомому»;
  • хранить seed и пароль от устройства вместе.

Если кто-то получил seed-фразу, он имеет полный и безотзывный контроль над кошельком.

Что делать, чтобы не стать жертвой фишинга

Практические шаги, которые заметно снижают риск.

Перед входом на сайт или в приложение

  • добавьте важные сервисы в закладки и используйте только их;
  • заходите на биржи и кошельки по закладке или вручную набирая адрес;
  • проверяйте наличие HTTPS и правильного домена;
  • не переходите по ссылкам из писем/мессенджеров, если речь о деньгах.

При работе с кошельком

  • проверяйте несколько первых и последних символов адреса получателя;
  • для крупных сумм сначала отправляйте тестовую мелкую транзакцию;
  • читайте текст, который показывает кошелёк при подписании:
    • сумма;
    • адрес назначения;
    • тип операции (перевод, approve, swap);
  • не давайте смарт-контрактам лишние права на токены без необходимости.

В коммуникациях и чатах

  • не открывайте ссылки и файлы от незнакомцев;
  • не устанавливайте ПО по просьбе «поддержки»;
  • не обсуждайте публично, сколько BTC и токенов у вас есть;
  • если кто-то пишет вам «от имени админа» — проверяйте через официальный канал (закреплённые сообщения, сайт).

Что делать, если вы всё-таки попались

Если вы ввели логин/пароль или 2FA на фишинговом сайте:

  • немедленно:
    • зайдите на настоящий сайт через закладку;
    • смените пароль;
    • отключите и перевыпустите 2FA (если возможно);
  • проверьте историю входов и активность;
  • при подозрении на вывод — обратитесь в поддержку (при кастодиальном хранении).

Если вы ввели seed-фразу или приватный ключ:

  • считайте этот кошелёк скомпрометированным навсегда;
  • как можно скорее:
    • установите новый кошелёк;
    • создайте новый seed;
    • переведите все средства на новый адрес (с чистого устройства);
  • старый кошелёк больше не используйте.

Если вы подписали подозрительный smart contract:

  • проверьте в кошельке раздел управляемых прав (approve) и, если возможно, отзовите их;
  • при работе с DeFi — рекомендуется использовать специализированные сервисы ревока прав;
  • при заметной активности злоумышленника — как можно быстрее переведите оставшиеся активы на новый кошелёк.

Краткий чек-лист безопасного поведения

  • Пользуйтесь только официальными сайтами и приложениями, добавленными в закладки.
  • Никогда не вводите seed-фразу, приватный ключ и 2FA-коды по ссылкам из писем/чатов.
  • Проверяйте адрес сайта и получателя, не ленитесь читать, что вы подписываете в кошельке.
  • Храните основные суммы BTC в self-custody (например, на аппаратном кошельке), а не на бирже.
  • Делите средства: горячий кошелёк для мелких сумм, холодный — для долгосрочного хранения.
  • Не устанавливайте сомнительные расширения и программы на устройство с крипто-кошельком.
  • Будьте особенно осторожны с «бесплатными» токенами, airdrop-страницами и NFT-раздачами.

Частые вопросы (FAQ)

Всегда ли фишинг — это поддельный сайт? Нет. Это любой сценарий, где злоумышленник прикидывается тем, кем не является, чтобы получить ваши данные или подпись транзакции. Это могут быть письма, звонки, сообщения в мессенджерах, фейковые приложения, «поддержка» и даже «знакомые» в соцсетях.

Если на сайте есть замочек HTTPS, значит ли это, что он безопасен? Нет. HTTPS гарантирует шифрование трафика, но не честность владельца сайта. Фишинговый сайт тоже может иметь сертификат и «замочек» в браузере.

Как понять, что приложение кошелька настоящее? Идите на него с официального сайта проекта, а не наоборот. Проверяйте:

  • издателя приложения;
  • количество скачиваний и отзывы;
  • ссылки на приложение на сайте разработчика.

Почему нельзя просто держать всё на бирже и не думать о безопасности кошельков? Биржа решает часть задач, но добавляет свои риски: ограничения по выводу, возможные блокировки, взломы, регуляторное давление. Подробно это разобрано в статье о хранении на бирже и self-custody. Для долгосрочных сумм безопаснее self-custody.

Если я малоопытный пользователь, self-custody для меня слишком сложно? Кривая обучения есть, но базовый уровень несложен:

  • выбрать проверенный кошелёк;
  • записать seed-фразу на бумагу;
  • не делиться ей ни с кем.

Хуже, когда из-за страха вы навсегда оставляете большие суммы на сервисах, которыми не управляете.

См. также

Task Runner