How the scam operates.
Оператор зарегистрировал домен, чья кодировка punycode в большинстве браузеров отображается визуально неотличимо от широко известного сервиса кошелька Ethereum. Сайт якобы предлагает тот же интерфейс, ту же функциональность и тот же фирменный стиль, что и легитимная платформа, которую он имитирует, представляя себя как надёжный инструмент для управления Ether и токенами ERC-20. Целевая аудитория: любой держатель активов на базе Ethereum, который ищет интерфейс кошелька или сохранил в закладках похожий по виду адрес.
Механика этого класса атак хорошо задокументирована. Пользователям, попавшим на сайт, предлагается войти в кошелёк или импортировать его, как правило, путём ввода seed-фразы, приватного ключа или keystore-файла. Сервер оператора негласно перехватывает эти учётные данные. Поскольку для доступа к кошельку достаточно лишь приватного ключа или seed-фразы, никакого дальнейшего взаимодействия не требуется: оператор может вывести средства жертвы в любой момент после отправки учётных данных. Визуальная имитация домена приводит к тому, что большинство пользователей не замечают ничего необычного во время ввода или сразу после него.
Развязка обычно наступает, когда жертва замечает непредвиденную исходящую транзакцию на своём легитимном кошельке или пытается получить доступ к средствам, которых там уже нет. К этому моменту компрометация завершена и необратима: транзакции в блокчейне невозможно отозвать, а seed-фразу или приватный ключ после их ввода следует считать безвозвратно скомпрометированными. Восстанавливая ход событий, жертвы нередко обнаруживают, причём лишь задним числом, что в посещённом ими URL содержались подстановки символов Unicode, незаметные невооружённым глазом.
Red flags we documented.
- 01Гомографический шаблон интернационализированного доменного имени (IDN)Домен зарегистрирован в кодировке punycode, что является техническим признаком наличия в нём символов вне набора ASCII, призванных визуально имитировать ASCII-аналоги. Это признанный приём обмана, применяемый специально для подделки легитимных веб-адресов в браузерах и в превью ссылок, где отображаемый текст выглядит идентично настоящему сервису.
- 02Подтверждённое присутствие в чёрном списке CryptoScamDBДомен фигурирует в публично поддерживаемом чёрном списке CryptoScamDB, проверяемом сообществом реестре подтверждённой фишинговой и мошеннической инфраструктуры. Включение в чёрный список отражает поступившие сообщения об инцидентах и проверку сообществом, а не просто автоматическое срабатывание по подозрению.
- 03Сбор учётных данных через имитацию интерфейса кошелькаИмитация нацелена на момент наибольшей уязвимости: когда пользователь импортирует кошелёк или входит в него, вводя seed-фразу или приватный ключ. Любые учётные данные, введённые на такой платформе, немедленно становятся доступны оператору, при этом никаких технических препятствий для последующего вывода активов нет.
- 04Ни одна легитимная платформа не использует приёмы с доменами-двойникамиЗарекомендовавшие себя сервисы кошельков и финансовые платформы не регистрируют Unicode-варианты собственных доменов для использования клиентами. Существование данного домена не несёт никакой легитимной функции; его единственная очевидная цель: визуальный обман в момент ввода учётных данных.
- 05Необратимость после отправки учётных данныхВ отличие от мошенничества с картами или банковских переводов, для кражи активов в блокчейне не существует механизма возврата платежа или отмены транзакции. После того как seed-фраза перехвачена, а активы перемещены в блокчейне, возврат средств целиком зависит от добровольной реституции со стороны оператора, чего в операциях подобного рода не происходит.
What you can do now.
Откройте бесплатную оценку дела за 24 часа в CryptoLeek +
Расскажите нам, что произошло. Старший аналитик изучит ваше дело в течение 24 часов и пришлёт честный ответ по перспективам возврата: да, нет или при определённых условиях. Оценка бесплатна. Если вернуть средства невозможно, мы прямо об этом скажем, в том числе укажем, в какой (бесплатный) надзорный орган вам следует обратиться вместо этого. Если мы беремся за дело, мы заводим пронумерованное дело и до начала любых работ выставляем письменное предложение с фиксированным гонораром за расследование, рассчитанным с учётом сложности дела, задействованных юрисдикций и цепочки транзакций в блокчейне.
Отследите свои средства в блокчейне вместе с нашими аналитиками +
Мы отслеживаем похищенную криптовалюту в сетях BTC, ETH, L2-решениях на базе EVM, Solana, Tron, а также по основным стейблкоинам, используя тот же набор инструментов, что и регуляторы и комплаенс-команды бирж первого эшелона. Результат: криминалистический отчёт, привязанный к конкретным хэшам транзакций и высотам блоков, то есть к доказательствам, на которые реально реагируют биржи, платёжные провайдеры и юристы. Возврат средств начинается отсюда.
Возврат средств с помощью юристов там, где гражданский иск имеет смысл +
Когда след приводит в юрисдикцию с сотрудничающими банками и судами, мы координируем работу с лицензированными адвокатами из нашей сети, охватывающей более 40 юрисдикций, для подачи гражданского иска и получения постановлений о замораживании активов (по типу Mareva). Юристы выставляют счета вам напрямую; гонорар CryptoLeek за расследование не зависит от гонораров юристов. Итог: средства возвращаются на указанный вами кошелёк или банковский счёт.