How the scam operates.
Оператор зарегистрировал домен, который при отображении в некоторых браузерах или мессенджерах выглядит визуально идентично адресу широко используемого сервиса Ethereum-кошельков. Техническим средством служит атака IDN-омографа: не-ASCII символы Unicode кодируются по стандарту Punycode, на что указывает префикс ACE-метки «xn--», в результате чего отображаемый URL имитирует узнаваемый бренд. Целевая аудитория, это существующие пользователи данного сервиса, попадающие на сайт через фишинговые ссылки, результаты поиска или типографическую подмену.
Посетителям показывается копия интерфейса, воспроизводящая оформление и порядок доступа подлинной платформы. Операционная цель состоит в захвате учётных данных, а не в предоставлении какой-либо финансовой услуги. Когда пользователь вводит приватный ключ, seed-фразу или файл keystore для доступа к своему wallet, эти данные передаются на инфраструктуру, контролируемую оператором, вместо выполнения какой-либо законной криптографической функции. Баланс кошелька на этом этапе не затрагивается: собранные учётные данные и есть конечный продукт.
Момент обнаружения обычно наступает, когда жертва пытается провести очередную транзакцию и обнаруживает, что её активы выведены, либо когда сторонний исследователь безопасности помечает домен. Поскольку хищение совершается с использованием собственного приватного ключа жертвы, полученного через фишинговую форму, перевод криптографически действителен и не может быть отменён в блокчейне. Оператор не поддерживает ни канала поддержки, ни корпоративной идентичности, ни отслеживаемого присутствия: домен представляет собой одноразовый актив, который отбрасывается после выявления и при необходимости заменяется.
Red flags we documented.
- 01Кодировка IDN-омографа в имени доменаПрефикс Punycode «xn--» указывает на то, что домен использует кодировку интернационализированных символов для создания отображаемого URL, близко напоминающего адрес легального сервиса. Ни одна добросовестная организация не регистрирует такой домен в рабочих целях: эта техника существует исключительно для обмана пользователей, проверяющих ссылку перед переходом по ней.
- 02Подтверждённая запись в чёрном списке CryptoScamDBДомен внесён в общественный чёрный список CryptoScamDB, широко используемый реестр, к которому обращаются провайдеры кошельков, браузерные расширения и исследователи безопасности для блокировки известных фишинговых адресов. Внесение в список свидетельствует о том, что операция была независимо выявлена и задокументирована.
- 03Шаблон интерфейса для ввода seed-фразыСайты этого класса воспроизводят интерфейс подлинной платформы кошельков, чтобы добиться ввода приватного ключа или seed-фразы через веб-форму. Любая платформа, запрашивающая seed-фразу через браузерный интерфейс, действует вопреки устоявшимся практикам безопасности: легальные инструменты для работы с wallet не требуют этого ни при каком обычном сценарии.
- 04Отсутствие какой-либо проверяемой идентичности оператораС этим доменом не связаны ни задокументированный оператор, ни зарегистрированное юридическое лицо, ни регуляторная отчётность, ни инфраструктура поддержки. Легальные платформы финансовых услуг публикуют проверяемые сведения о корпоративной идентичности. Полное отсутствие таких записей соответствует одноразовому фишинговому активу, а не действующему бизнесу.
- 05Нацеленность на владельцев активов в самостоятельном храненииИмитируя инструмент для Ethereum-кошелька, операция целенаправленно ориентирована на пользователей, самостоятельно распоряжающихся своими активами. Эти пользователи единолично контролируют свои средства: после компрометации учётных данных нет ни хранителя, к которому можно обратиться, ни процедуры восстановления доступа к счёту, ни механизма возврата платежа, доступного пострадавшим сторонам.
What you can do now.
Получите бесплатную оценку дела от CryptoLeek в течение 24 часов +
Расскажите нам, что произошло. Старший аналитик изучит ваше дело в течение 24 часов и честно ответит «да», «нет» или «при определённых условиях» относительно возврата средств. Оценка бесплатна. Если вернуть средства невозможно, мы прямо об этом сообщим, в том числе укажем, в какой (бесплатный) регуляторный орган вам следует обратиться вместо этого. Если мы принимаем дело, мы открываем нумерованное досье и до начала любых работ выставляем письменную смету фиксированного гонорара за расследование, рассчитанную с учётом сложности дела, задействованных юрисдикций и цепочки транзакций в блокчейне.
Отследите свои средства в блокчейне вместе с нашими аналитиками +
Мы отслеживаем похищенную криптовалюту в сетях BTC, ETH, L2-решениях EVM, Solana, Tron и по основным стейблкоинам, используя тот же инструментарий, что и регуляторы, а также комплаенс-команды бирж первого уровня. Результатом становится криминалистический отчёт, привязанный к конкретным хэшам транзакций и высотам блоков, то есть к доказательствам, на основании которых реально действуют биржи, платёжные процессоры и юристы. Возврат средств начинается именно отсюда.
Возврат средств с привлечением юристов там, где гражданский иск оправдан +
Когда отслеживание приводит в юрисдикцию с готовыми к сотрудничеству банками и судами, мы координируем работу с лицензированными адвокатами из нашей сети, охватывающей более 40 юрисдикций, для подачи гражданского иска и получения постановлений о замораживании активов (по типу Mareva). Адвокаты выставляют счета вам напрямую: гонорар CryptoLeek за расследование не зависит от их вознаграждения. Результатом становится возврат средств на указанный вами wallet или банковский счёт.