How the scam operates.
Домен xn--yetherwallet-634f.com использует интернационализированное доменное имя в кодировке punycode, чтобы выдавать себя за знакомый интерфейс некастодиального Ethereum-кошелька. В браузерах, которые отображают unicode-метки доменов без явного предупреждения, в адресной строке выводится строка, визуально неотличимая от легитимного, давно существующего сервиса кошелька. Вероятная внешняя подача сайта повторяет компоновку и брендинг этой узнаваемой платформы, ориентируясь на пользователей Ethereum, которые самостоятельно управляют своими приватными ключами и привыкли к веб-интерфейсам кошельков.
Операционная модель соответствует инфраструктуре фишинга, нацеленного на кражу учётных данных. Жертвы, как правило, попадают на сайт через манипулированные результаты поиска, фишинговые письма или публикации в социальных сетях, содержащие punycode-адрес или его декодированный визуальный эквивалент. Оказавшись на сайте, пользователи получают предложение ввести seed-фразу кошелька, приватный ключ или keystore-файл под предлогом доступа к кошельку или его восстановления. Любые введённые учётные данные передаются оператору, который может немедленно вывести все активы, связанные со скомпрометированным кошельком, без какого-либо дальнейшего участия жертвы.
Обнаружение происходит, когда жертва пытается получить доступ к своему легитимному кошельку и обнаруживает, что средства из него выведены. Транзакции в блокчейне по своей природе необратимы, поэтому возврат средств средствами протокола невозможен после того, как активы были перемещены. Контактные данные на сайте, если они вообще присутствуют, либо не дают никакого ответа, либо используются для затягивания взаимодействия за счёт ложных обещаний решения проблемы: это вторичная схема, характерная для операций такого типа, нацеленных на кражу учётных данных.
Red flags we documented.
- 01Кодировка punycode указывает на гомографическую атакуПрефикс xn-- идентифицирует это как интернационализированное доменное имя в кодировке punycode. Этот приём используется в гомографических атаках для регистрации доменов, содержащих похожие на оригинал unicode-символы, которые во многих браузерах и мессенджерах отображаются визуально идентично доверенным брендовым названиям, эксплуатируя разрыв между тем, как выглядит URL, и тем, куда он на самом деле ведёт.
- 02Визуальная имитация узнаваемой платформы кошелькаСтруктура домена выстроена так, чтобы максимально походить на хорошо известный сервис Ethereum-кошелька. Имитация узнаваемых интерфейсов кошельков является документированной схемой в фишинговых операциях, нацеленных на пользователей некастодиальных криптовалют, чьи активы безвозвратно доступны любому, кто получит их приватный ключ.
- 03Запрос учётных данных является определяющим операционным признакомСайты, имитирующие кошельки такого типа, запрашивают seed-фразы или приватные ключи в рамках предполагаемого процесса подключения или восстановления доступа к учётной записи. Ни один легитимный интерфейс некастодиального кошелька не требует от пользователя вводить seed-фразу или приватный ключ на веб-странице; любая платформа, которая это делает, по определению занимается кражей учётных данных.
- 04Подтверждён в общедоступном чёрном списке CryptoScamDBДомен фигурирует в чёрном списке CryptoScamDB, поддерживаемом сообществом реестре подтверждённых вредоносных криптовалютных адресов и доменов. Включение в него означает, что сайт был независимо отмечен как угроза специалистами по безопасности, действующими вне какой-либо коммерческой заинтересованности.
- 05Отсутствие идентифицируемого оператора или регуляторной регистрацииОперации, использующие приёмы обманной кодировки доменов, не раскрывают ни юридического лица, ни зарегистрированного адреса, ни регуляторной лицензии. У жертв нет ни формального механизма подачи жалоб, ни возможности гражданско-правовой защиты против оператора, который намеренно предпринял шаги для сокрытия своей личности.
What you can do now.
Получите бесплатную оценку дела в течение 24 часов от CryptoLeek +
Расскажите нам, что произошло. Старший аналитик изучит ваше дело в течение 24 часов и пришлёт честный ответ: да, нет или с оговорками относительно возврата средств. Оценка бесплатна. Если мы не можем вернуть средства, мы прямо об этом сообщим, в том числе укажем, в какой (бесплатный) регуляторный канал вам следует обратиться вместо этого. Если мы принимаем дело, мы открываем пронумерованное досье и выставляем письменную смету на фиксированный гонорар за расследование до начала каких-либо работ, рассчитанный исходя из сложности дела, задействованных юрисдикций и ончейн-следа.
Отследите свои средства в блокчейне вместе с нашими аналитиками +
Мы отслеживаем похищенную криптовалюту в сетях BTC, ETH, EVM L2, Solana, Tron и по основным стейблкоинам, используя тот же набор инструментов, что и регуляторы и комплаенс-отделы бирж первого эшелона. Результатом является криминалистический отчёт, привязанный к конкретным хешам транзакций и высотам блоков: это доказательства, на основании которых биржи, платёжные процессоры и юристы действительно предпринимают действия. Возврат средств начинается отсюда.
Возврат средств с привлечением юристов там, где гражданский иск имеет смысл +
Там, где след приводит в юрисдикцию с готовыми к сотрудничеству банками и судами, мы координируем работу с лицензированными адвокатами из нашей сети, охватывающей более 40 юрисдикций, для подачи гражданского иска и вынесения постановлений о замораживании активов (по типу Mareva). Юристы выставляют счета напрямую вам; гонорар CryptoLeek за расследование не зависит от гонораров юристов. Результатом является возврат средств на указанный вами кошелёк или банковский счёт.