How the scam operates.
Домен выдаёт себя за визуально почти идентичную имитацию известного веб-сервиса Ethereum-кошельков. Метка Punycode (префикс xn--) указывает на то, что один или несколько символов в отображаемом URL взяты из нелатинских диапазонов Unicode, а не из стандартного алфавита ASCII; этот приём известен как гомографическая атака. В сочетании с намеренной ошибкой в написании слова 'wallet' с одной буквой 'l' адрес сконструирован так, чтобы пройти беглый визуальный осмотр со стороны любого, кто ожидает увидеть знакомый URL кошелька.
Операции такого типа обычно распространяются через фишинговые письма, вредоносную рекламу в поисковых системах или взломанные публикации в социальных сетях, направляя жертв на копию интерфейса, воспроизводящую визуальный дизайн легитимного сервиса. Оказавшись на странице, пользователь получает предложение ввести seed-фразу, приватный ключ или keystore-файл, чтобы 'войти' в учётную запись или 'восстановить' её. Эти учётные данные представляют собой единственный уровень аутентификации, необходимый для контроля над некастодиальным кошельком; их ввод на любом стороннем сайте передаёт фактический контроль над кошельком оператору.
В момент отправки учётных данных автоматизированные скрипты, как правило, выводят все находящиеся в кошельке средства в течение нескольких секунд, ещё до того, как пользователь закроет вкладку браузера. Жертвы, пытающиеся позже вернуться на сайт, нередко обнаруживают его недоступным, поскольку операторы меняют инфраструктуру, как только домен попадает в чёрные списки. Возврат активов, перемещённых таким способом, сложен с технической и юрисдикционной точек зрения, а его исход зависит от блокчейн-форензики и скорости, с которой средства были переведены дальше.
Red flags we documented.
- 01Кодирование Punycode сигнализирует о гомографической операцииПрефикс xn-- в доменном имени указывает на кодирование Punycode, что означает наличие в адресе символов Unicode, выглядящих идентично латинским буквам при обычной скорости чтения. Легитимные поставщики кошельков не используют Punycode в своих основных доменах. Этот шаблон является признанным маркером инфраструктуры фишинга учётных данных.
- 02Намеренная орфографическая ошибка в названии известного бренда кошелькаВ домене 'myetherwalet' пропущена одна буква в названии известного сервиса Ethereum-кошельков. Домены-тайпсквоттеры являются документально подтверждённым вектором распространения фишинга учётных данных кошельков, эксплуатируя быстрый или дополняемый автозаполнением ввод URL пользователями, которые не проверяют адреса посимвольно.
- 03Присутствие в общедоступном чёрном списке сообщества CryptoScamDBДомен фигурирует в чёрном списке CryptoScamDB, публично поддерживаемом реестре адресов, связанных с криптовалютным мошенничеством. Включение в список отражает подтверждённый сообществом злонамеренный умысел, а не непроверенное обвинение.
- 04Запрос seed-фразы категорически небезопасенЛюбая платформа, запрашивающая seed-фразу кошелька или приватный ключ для аутентификации пользователя, по своей структуре является мошеннической. Ни один легитимный некастодиальный сервис кошельков не требует передачи этих учётных данных на веб-сервер; они должны оставаться исключительно на собственном устройстве пользователя.
- 05Инфраструктурный шаблон, характерный для фишинга с быстрой ротациейГомографические и тайпсквоттинговые домены, нацеленные на сервисы кошельков, обычно разворачиваются короткими сериями, что затрудняет их закрытие до причинения значительного ущерба. Низкий порог для регистрации почти идентичных доменов-замен означает, что заблокированный адрес может быть быстро заменён тем же оператором.
What you can do now.
Откройте бесплатную 24-часовую оценку дела в CryptoLeek +
Расскажите нам, что произошло. Старший аналитик изучает ваше дело в течение 24 часов и отвечает честным 'да/нет/при определённых условиях' относительно возврата средств. Оценка бесплатна. Если мы не можем вернуть средства, мы прямо об этом сообщаем, в том числе указываем, в какой (бесплатный) регуляторный канал вам следует обратиться вместо этого. Если мы принимаем дело, мы открываем ��ронумерованное досье и выставляем письменную смету на фиксированный гонорар за расследование до начала любых работ, с учётом сложности дела, задействованных юрисдикций и ончейн-следа.
Отследите ваши средства в блокчейне с нашими аналитиками +
Мы отслеживаем похищенную криптовалюту в сетях BTC, ETH, EVM L2, Solana, Tron и по основным стейблкоинам, используя тот же набор инструментов, что и регуляторы и команды комплаенса бирж первого эшелона. Результатом является форензический отчёт, привязанный к конкретным хешам транзакций и высотам блоков, то есть к доказательствам, на основании которых реально действуют биржи, платёжные процессоры и юристы. Возврат начинается здесь.
Возврат с привлечением юристов там, где гражданский иск оправдан +
Там, где след приводит в юрисдикцию с сотрудничающими банками и судами, мы координируем работу с лицензированными адвокатами из нашей сети, охватывающей более 40 юрисдикций, для подачи гражданских исков и получения ордеров о заморозке активов (по типу Mareva). Юристы выставляют вам счета напрямую; гонорар CryptoLeek за расследование не зависит от гонораров юристов. Результатом становится возврат средств на указанный вами кошелёк или банковский счёт.