Перейти к основному содержимому

Предотвращение криптофишинговых атак: оставайтесь в безопасности онлайн

Фишинг — самый распространенный вектор атак при краже криптовалюты. В отличие от эксплуатации криптографических уязвимостей (что вычислительно неосуществимо), фишинг эксплуатирует человеческую психологию, заставляя пользователей добровольно передавать свои seed phrases, private keys или учетные данные бирж. Согласно отраслевым отчетам, фишинговые атаки составляют значительную долю всех потерь в криптовалюте: ежегодно через эти схемы похищаются миллиарды долларов.

В этом руководстве собраны основные виды криптофишинговых атак, объясняется, как их распознавать, и приводятся конкретные меры защиты.

Как работает криптофишинг

Фишинг — это форма social engineering, использующая обман, чтобы заставить вас выполнить действие в интересах злоумышленника. В криптовалюте это обычно означает:

  1. Кража учетных данных — получение вашего логина на бирже и кодов 2FA.
  2. Кража seed phrase — обманом заставить вас ввести seed phrase в поддельный кошелек или на сайт.
  3. Подпись вредоносной транзакции — заставить вас одобрить транзакцию смарт-контракта, которая опустошает кошелек.
  4. Подмена адреса — замена легитимного адреса получателя на адрес злоумышленника.

Общая суть — обман: заставить вредоносное выглядеть легитимным.

Виды криптофишинговых атак

1. Поддельные сайты кошельков

Злоумышленники создают пиксельно точные копии легитимных сайтов кошельков (MetaMask, Ledger, Trezor и т.д.) и приводят на них трафик через:

  • рекламу Google/Bing по запросам, связанным с кошельками;
  • typosquatting-домены (например, metamaask.io, ledger-wallet.com);
  • SEO-манипуляции, чтобы ранжироваться выше или рядом с настоящим сайтом;
  • спонсируемые посты в соцсетях.

Поддельный сайт просит вас "подключить" или "восстановить" кошелек, введя seed phrase. После ввода злоумышленник получает вашу seed phrase и выводит все средства.

Красные флаги:

  • URL отличается от официального домена (даже на один символ).
  • Сайт просит вашу seed phrase. Легитимные сайты кошельков никогда этого не делают.
  • Предупреждения безопасности браузера или отсутствие HTTPS-сертификата.
  • Сайт найден через рекламное объявление, а не в органической выдаче.

Профилактика:

  • Добавьте официальные сайты кошельков в закладки и всегда открывайте их из закладок.
  • Проверяйте URL посимвольно перед вводом любой информации.
  • Никогда не вводите seed phrase на каком-либо сайте. Никогда.
  • Загружайте ПО кошельков только из официальных источников (app stores, GitHub releases).

2. Поддельные расширения браузера

В Chrome Web Store, Firefox Add-ons и других каталогах находили вредоносные расширения, выдающие себя за легитимные криптокошельки (особенно MetaMask):

  • Расширение выглядит идентично настоящему.
  • Когда вы "создаете" или "импортируете" кошелек, расширение перехватывает seed phrase.
  • Некоторые вредоносные расширения перехватывают транзакции из настоящего расширения.

Профилактика:

  • Устанавливайте расширения только по ссылке с официального сайта кошелька.
  • Проверяйте ID расширения и имя разработчика в магазине расширений.
  • Смотрите число пользователей и отзывы (у подделок обычно меньше).
  • После установки дополнительно сверяйте расширение с официальным сайтом кошелька.

3. Email-фишинг

Злоумышленники рассылают письма, выдавая себя за биржи, провайдеров кошельков или криптосервисы:

  • "Ваш аккаунт скомпрометирован — срочно подтвердите личность."
  • "Обнаружен вход с неизвестного устройства — нажмите здесь, чтобы защитить аккаунт."
  • "Ваш вывод средств ожидает подтверждения — войдите в аккаунт."
  • "Требуется обновление прошивки для Ledger — нажмите для обновления."

Письмо содержит ссылку на фишинговый сайт, который крадет ваши учетные данные.

Красные флаги:

  • Адрес отправителя не совпадает с официальным доменом (проверяйте внимательно: [email protected] — это не [email protected]).
  • Общее обращение ("Dear Customer" вместо вашего имени).
  • Срочная риторика ("действуйте сейчас", "требуется немедленное действие").
  • Ссылки ведут на другой домен при наведении курсора.
  • Запросы seed phrase или private key (легитимные компании никогда этого не просят).

Профилактика:

  • Никогда не переходите по ссылкам из писем якобы от бирж или кошельков.
  • Переходите на официальный сайт напрямую: введите URL вручную или используйте закладки.
  • Включите фильтрацию почты и антифишинговую защиту.
  • Сообщайте о фишинговых письмах в компанию, от имени которой маскируется злоумышленник.

4. Мошенничество в соцсетях

Аккаунты-имитаторы

Злоумышленники создают аккаунты в соцсетях, имитируя криптоинфлюенсеров, основателей проектов или сотрудников поддержки. Они отвечают пользователям, которые просят помощи:

  • "Напишите мне в DM, я помогу исправить проблему с кошельком."
  • "Отправьте seed phrase, чтобы мы могли диагностировать проблему."
  • "Проводим giveaway — отправьте 0.1 ETH и получите 1 ETH обратно."

Профилактика:

  • Проверяйте подлинность аккаунта (галочки, число подписчиков, возраст аккаунта, история постов).
  • Легитимная поддержка никогда не попросит seed phrase или private key.
  • Легитимный giveaway не требует сначала отправлять криптовалюту.

Поддельные airdrop и claims токенов

Злоумышленники распространяют ссылки на "бесплатные airdrop":

  • "Claim your free UNISWAP tokens" (со ссылкой на фишинговый сайт).
  • В кошельке появляются фейковые токены с названием вроде "Visit claimreward.xyz to claim."
  • Сайт claim просит подключить кошелек и одобрить вредоносную транзакцию.

Профилактика:

  • Никогда не взаимодействуйте с токенами, которые появились в кошельке без вашего запроса.
  • Никогда не одобряйте транзакции на сайтах, на которые вы не переходили намеренно.
  • Проверяйте анонсы airdrop только через официальные каналы проекта.

5. Мошенничество в Discord и Telegram

Криптосообщества в Discord и Telegram особенно часто становятся целями:

  • Поддельные каналы поддержки — злоумышленники создают каналы, имитирующие официальную поддержку.
  • DM-фишинг — после вашего вопроса в публичном канале злоумышленники пишут в DM, представляясь поддержкой.
  • Фейковые сообщения админов — имитация администраторов для перенаправления пользователей на фишинговые сайты.
  • Скомпрометированные серверы — злоумышленники получают доступ администратора и публикуют фишинговые ссылки в официальных каналах.

Профилактика:

  • Отключите DM от участников сервера в настройках Discord.
  • Проверяйте, что помощь идет через официальные каналы поддержки, а не через DM.
  • С подозрением относитесь к тем, кто сам начинает приватный разговор о вашем кошельке.
  • Сверяйте объявления с официальным сайтом проекта.

6. QR-код фишинг

Злоумышленники показывают QR-коды, содержащие вредоносные адреса или URL:

  • QR-код в физическом месте (плакат, наклейка), ведущий на фишинговый сайт.
  • QR-код с адресом злоумышленника вместо адреса продавца.
  • QR-коды в онлайн-изображениях или видео.

Профилактика:

  • Перед действием проверяйте декодированное содержимое любого QR-кода.
  • Сравнивайте адрес из QR-кода с ожидаемым адресом через независимый канал.
  • Не сканируйте QR-коды из недоверенных источников.

7. Address Poisoning

Эта продвинутая атака использует усечение адресов в интерфейсах кошельков:

  1. Злоумышленник генерирует адрес, совпадающий по первым и последним символам с адресом, с которым вы недавно взаимодействовали.
  2. Злоумышленник отправляет вам небольшую транзакцию (dust) с этого похожего адреса.
  3. Позже, когда вы копируете адрес из истории транзакций, вы можете случайно скопировать адрес-двойник злоумышленника.

Профилактика:

  • Всегда проверяйте полный адрес, а не только первые и последние символы.
  • Не копируйте адреса из истории транзакций — используйте исходный источник.
  • Некоторые кошельки уже подсвечивают попытки address poisoning.

8. Clipboard Hijacking

Вредоносное ПО отслеживает буфер обмена и подменяет криптовалютные адреса на адрес злоумышленника:

  • Вы копируете легитимный адрес для отправки средств.
  • Вредоносное ПО незаметно заменяет его адресом злоумышленника.
  • Вы вставляете и отправляете, и средства уходят злоумышленнику.

Профилактика:

  • Всегда проверяйте, что вставленный адрес совпадает с исходным: сравнивайте минимум первые 6 и последние 6 символов.
  • Используйте аппаратные кошельки, которые показывают адрес получателя на экране устройства для проверки.
  • Используйте anti-malware ПО и поддерживайте систему в актуальном состоянии.
  • Для крупных сумм можно вводить адрес вручную (но это увеличивает риск опечатки).

9. Поддельные мобильные приложения

Поддельные приложения кошельков и бирж в app stores:

  • Выглядят как настоящие, но содержат код для кражи учетных данных или seed phrase.
  • Могут иметь высокие оценки за счет фальшивых отзывов.
  • Часто появляются вскоре после выхода нового легитимного приложения.

Профилактика:

  • Загружайте приложения только по ссылкам с официального сайта.
  • Проверяйте имя разработчика в app store.
  • Проверяйте дату публикации приложения и количество отзывов.
  • Сообщайте о поддельных приложениях в app store.

Вредоносные одобрения смарт-контрактов

Особенно опасная форма фишинга в DeFi связана с тем, что пользователей обманом заставляют одобрять вредоносные взаимодействия со смарт-контрактами:

Мошенничество с Token Approval

Когда вы взаимодействуете с DeFi-протоколом, вы обычно одобряете смарт-контракту право тратить ваши токены. Вредоносный сайт может запросить неограниченное одобрение, что позволит ему в любой момент вывести все токены определенного типа из вашего кошелька, даже после того как вы покинули сайт.

Профилактика:

  • Внимательно проверяйте каждое одобрение транзакции перед подписью.
  • Используйте кошелек, который показывает человекочитаемое описание транзакций.
  • Ограничивайте approvals точной нужной суммой (а не "unlimited").
  • Регулярно проверяйте и отзывайте ненужные approvals через инструменты вроде Revoke.cash.

Blind Signing

Некоторые фишинговые атаки показывают транзакции, которые интерфейс кошелька не может полностью декодировать, что приводит к "blind signing" — одобрению транзакции, последствия которой вы не можете проверить. Это особенно опасно для ордеров NFT-маркетплейсов и сложных взаимодействий в DeFi.

Профилактика:

  • Никогда не одобряйте транзакцию, которую вы полностью не понимаете.
  • Используйте кошельки с поддержкой симуляции транзакций (показ ожидаемого результата до подписи).
  • Если dApp просит подписать нечитабельные данные, не подписывайте.
Инструмент SafeSeed

SafeSeed Paper Wallet Creator генерирует кошельки полностью в вашем браузере: без подключения к внешним сервисам, без подписи транзакций, без approvals смарт-контрактов. Для получения и хранения криптовалюты в холодном хранилище paper wallets полностью устраняют риск фишинга через вредоносные dApps.

Как выстроить устойчивую к фишингу конфигурацию

1. Используйте аппаратный кошелек

Аппаратные кошельки дают критически важный уровень защиты: они показывают детали транзакции на собственном экране, который не может быть подменен malware на вашем компьютере. Даже если вы попали на фишинговый сайт, аппаратный кошелек покажет реальную транзакцию для проверки перед подписью.

2. Используйте только закладки

Создайте закладки для каждого криптосервиса, которым пользуетесь:

  • ваша биржа (Coinbase, Binance, Kraken и т.д.);
  • сайт провайдера вашего кошелька;
  • DeFi-протоколы, которые вы используете регулярно.

Никогда не используйте поисковики для перехода на эти сайты. Всегда используйте закладки.

3. Проверяйте перед действием

Перед любым действием, связанным с учетными данными, seed phrases или подписью транзакции:

  • проверьте URL в адресной строке браузера;
  • проверьте адрес получателя через независимый канал;
  • проверьте детали транзакции на экране аппаратного кошелька;
  • сделайте паузу и оцените, имеет ли запрос смысл.

4. Считайте любой непрошеный контакт мошенничеством

Ни одна биржа, провайдер кошелька или криптопроект никогда не будет:

  • запрашивать вашу seed phrase или private key;
  • просить пароль через email или DM;
  • требовать отправить криптовалюту для "проверки" кошелька;
  • первой писать вам в DM с предложением помощи.

5. Используйте отдельные кошельки

Поддерживайте отдельные кошельки для разных задач:

  • Cold storage wallet — никогда не подключается к dApp. Хранит большую часть средств.
  • Hot wallet for DeFi — хранит только сумму, которую вы активно используете. При компрометации потери ограничены.
  • Burner wallet for new protocols — используется для тестирования незнакомых протоколов с минимальными суммами.

6. Включите все доступные функции безопасности

  • 2FA на всех аккаунтах бирж — используйте authenticator apps (TOTP), а не SMS.
  • Whitelist адресов вывода — ограничьте вывод только заранее одобренными адресами.
  • Email-уведомления — получайте оповещения обо всей активности аккаунта.
  • Anti-phishing code — многие биржи позволяют задать код, который отображается во всех легитимных письмах от них.

Что делать, если вы стали жертвой фишинга

Если ваша seed phrase была скомпрометирована

  1. Действуйте немедленно. На чистом доверенном устройстве создайте новый кошелек с новой seed phrase.
  2. Переведите все средства из скомпрометированного кошелька в новый. Скорость критична: автоматические боты очищают скомпрометированные кошельки за минуты.
  3. Для токенов в сетях, где нужны gas fees, может потребоваться сначала отправить gas в скомпрометированный кошелек. Учитывайте, что злоумышленники могут вывести входящий ETH раньше, чем вы успеете его использовать.
  4. Никогда больше не используйте скомпрометированную seed phrase.

Если ваши учетные данные биржи были скомпрометированы

  1. Немедленно войдите на биржу (через официальный сайт) и смените пароль.
  2. Сбросьте 2FA.
  3. Проверьте несанкционированные выводы и создание API-ключей.
  4. При необходимости свяжитесь с поддержкой биржи, чтобы временно заморозить аккаунт.
  5. Проверьте ваш email-аккаунт на предмет несанкционированного доступа (злоумышленник мог скомпрометировать и почту).

Если вы одобрили вредоносный смарт-контракт

  1. Немедленно отзовите одобрение через инструмент управления approvals токенов (Revoke.cash или checker approvals токенов на Etherscan).
  2. Переведите оставшиеся токены в другой кошелек.
  3. Проверьте все недавние approvals и отзовите подозрительные.

FAQ

Какая криптофишинговая атака встречается чаще всего?

Поддельные сайты кошельков и расширения браузера, которые заставляют пользователей вводить seed phrase, — самые распространенные и разрушительные криптофишинговые атаки. Такие сайты выглядят идентично легитимным провайдерам кошельков и часто появляются как реклама в поиске или ссылки в соцсетях.

Как понять, что сайт является криптофишинговым?

Внимательно проверьте URL: фишинговые сайты используют домены, похожие на официальный, но отличающиеся от него. Проверьте SSL-сертификат, наличие официальных ссылок проекта в соцсетях и никогда не вводите seed phrase на каком-либо сайте. Если сайт просит seed phrase, это фишинг: ни один легитимный сайт кошелька не запрашивает seed phrase.

Может ли аппаратный кошелек защитить меня от фишинга?

Аппаратный кошелек защищает от некоторых фишинговых атак, показывая детали транзакции на собственном экране для проверки. Но он не защищает от фишинга seed phrase (когда вы вводите seed phrase на поддельном сайте) или от атак social engineering. Всегда проверяйте адреса на экране аппаратного кошелька перед одобрением.

Что делать, если я ввел(а) seed phrase на фишинговом сайте?

Немедленно переведите все средства из скомпрометированного кошелька в новый (созданный на безопасном устройстве с новой seed phrase). Не отправляйте дополнительные средства на скомпрометированный кошелек. Считайте весь кошелек навсегда скомпрометированным: все адреса, производные от этой seed phrase, под угрозой.

Реальны ли мошенничества с крипто-giveaway?

Практически все раздачи криптовалюты, где вас просят сначала отправить средства, — это мошенничество. Формат "отправь 0.1 ETH и получи 1 ETH" — классический фишинговый шаблон. Легитимные airdrops никогда не требуют сначала отправлять криптовалюту.

Как защититься от address poisoning?

Всегда проверяйте полный адрес при отправке криптовалюты, а не только первые и последние символы. Не копируйте адреса из истории транзакций: используйте исходный источник (проверенный адрес получателя). С подозрением относитесь к небольшим входящим транзакциям с неизвестных адресов.

Может ли 2FA защитить от фишинга?

Обычный 2FA на основе TOTP дает ограниченную защиту от фишинга в реальном времени (когда злоумышленник сразу передает ваш код 2FA на настоящий сайт). Аппаратные ключи безопасности (например, YubiKey) на FIDO2/WebAuthn обеспечивают значительно более сильную защиту, потому что проверяют домен сайта перед выдачей учетных данных.

Что такое approval phishing в DeFi?

Approval phishing обманом заставляет вас выдать вредоносному смарт-контракту право тратить ваши токены. После одобрения контракт может вывести ваши токены в любой момент без дальнейшего взаимодействия. Всегда внимательно проверяйте approvals, ограничивайте суммы одобрения и регулярно отзывайте неиспользуемые approvals.

Связанные руководства