How the scam operates.
この種の手口は、一般にアカウント管理ポータルや認証ポータルを装い、既知のサービスや取引所のログイン基盤を模倣したページを用います。ドメイン構造そのものが「account」という語で始まっている点は意図的な設計上の選択であり、独立した詐欺サイトではなく公式のアカウント用サブドメインであるかのような印象を与え、URLに表面的な正当性を付与します。被害者は通常、ソーシャルメディア、電子メール、メッセージングアプリを通じて拡散されるフィッシングリンクによってこのページへ誘導されます。
利用者がポータルにアクセスし、認証情報やwalletの情報を入力すると、運営者はその情報を直接取得します。認証情報窃取型の場合、送信されたデータは記録され、被害者が正規プラットフォーム上に保有する実際のアカウントへのアクセスに利用されます。wallet資産流出型の場合、利用者はwalletの接続や取引の承認を促され、その時点で運営者は外部への送金を開始します。サイト自体は説得力のある見た目で表示され、疑念を遅らせるために確認画面やアカウント残高を模擬的に表示することもあります。
問題の発生地点が明らかになるのは、多くの場合、事後になってからです。すなわち、被害者が正規アカウントからの不正な引き出しに気づいたとき、walletの資産が流出していることを発見したとき、あるいは認証に用いた「アカウントポータル」が、装っていたサービスとは何ら関係がないと判明したときです。その段階では、サイトはすでにオフラインになっているか新たなドメインへ移行していることが多く、運営者は追跡を困難にするためにミキシングやクロスチェーン送金を通じて資金を移動させ終えています。
Red flags we documented.
- 01Blacklist confirmation with no legitimate registration trailThe domain appears in the CryptoScamDB blacklist, an open, community-maintained registry of cryptoasset fraud infrastructure. Inclusion is evidence-based, not speculative. No corresponding legitimate business registration, regulatory licence, or credible corporate presence has been documented for this domain.
- 02Account-prefix domain pattern favoured by phishing operationsFraudulent portals routinely prepend 'account-' or 'accounts.' to a brand-adjacent term to manufacture the appearance of an official authentication subdomain. This naming convention exploits the visual scanning habits of users who check for brand names rather than full domain strings.
- 03Net TLD with no institutional anchorLegitimate financial or exchange platforms operating at scale typically maintain consistent, verifiable web infrastructure tied to a registered legal entity. A .net domain with no documented organisational owner and no prior legitimate operational history is consistent with disposable fraud infrastructure.
- 04No documented regulatory status or jurisdictionNo information exists placing this operation under any financial regulatory framework. Unregulated platforms soliciting account credentials or wallet access from cryptoasset holders carry an elevated risk profile regardless of their surface presentation.
- 05Short operational window consistent with hit-and-run infrastructureDomains of this type are frequently registered, deployed, and abandoned within a compressed timeframe, sometimes days or weeks. The absence of any historical legitimate presence associated with this domain is consistent with infrastructure built for a single campaign rather than a sustained, lawful business.
What you can do now.
Open a free 24-hour case assessment with CryptoLeek +
Tell us what happened. A senior analyst reads your file within 24 hours and replies with an honest yes/no/conditional on recovery. The assessment is free. If we cannot recover the funds we say so plainly, including which (free) regulator channel you should use instead. If we accept the case, we open a numbered case file and issue a written quote for a flat investigation retainer before any work begins, scoped to case complexity, the jurisdictions involved, and the on-chain trail.
Trace your funds on-chain with our analysts +
We trace stolen crypto across BTC, ETH, EVM L2s, Solana, Tron, and major stablecoins using the same toolchain as regulators and tier-1 exchange compliance teams. The output is a forensic report anchored to specific transaction hashes and block heights, the evidence that exchanges, payment processors, and counsel actually act on. Recovery starts here.
Recover with counsel where civil action makes sense +
Where the trace lands in a jurisdiction with cooperative banks and courts, we coordinate with bar-licensed counsel in our 40+ jurisdiction network for civil action and asset-freezing orders (Mareva-style). Counsel bill you directly; the CryptoLeek investigation retainer is independent of counsel fees. The outcome is funds released back to your nominated wallet or bank account.