Мошенничество с криптовалютой: схемы обмана

Как меня пытаются обмануть каждый месяц

Я веду канал про инвестиции и DeFi и почти каждый месяц наблюдаю одно и то же: кому-то из подписчиков или мне лично прилетает свежая «схема». Скриншоты коплю уже привычно: фейковые аккаунты в Telegram, заманивание в «приватные» чаты, боты с «гарантией дохода», «подарки премиум-подписки». Кажется, что все это избитые трюки, но у мошенников постоянное R&D: вчера был один формат, сегодня уже другой — чуть изящнее, чуть правдоподобнее. И если раньше было просто «перешли денег», то сейчас упор на социальную инженерию и вашу спешку.

Самые частые крючки я вижу такие:

• Лесть и срочность. «Вы потрясающий специалист! Ищу именно вас. Готов оплатить сейчас».
• Имитация реальности. Голосовые, Zoom/Meet-звонки, «коллега тоже подключится».
• Переезд в «приват». «Есть закрытая группа/бот/комната, надо быстро перейти, иначе потеряем шанс».
• Подмена личности. Клон моего профиля: фото те же, а в нике одна буква заменена (например, две «о» превращаются в «у»).
• «Подарки» и «акции». Ссылки на «премиум-год бесплатно», «airdrops», «личные билеты» — а внутри фишинговая страница.

Мне регулярно пишут: «Саша, это вы?» — и присылают скрин такого «двойника». Увы, кто-то все равно ведется: «Наверное, удалил переписку» — и дальше идет по инструкции злоумышленника. Поэтому я рассказываю про конкретные механики — чтобы вы узнали их вживую и отключили автоматизм руки, тянущейся нажать «Открыть ссылку».

Самая опасная сцена — Zoom/Meet и подмена ссылок

Это сценарий, который я считаю самым коварным. Вам пишет «клиент»: восхищается вашими услугами и хочет «годовое обслуживание» — допустим, сразу на 300 000 ₽ и прямо сегодня. Разумеется, «без проблем переведет на Сбер», но просит созвониться «чтобы обсудить детали». На звонке — абсолютно живой человек: спокойно говорит, шутит, иногда подключает «друга», у которого «тоже есть интерес на 300 000» (мол, уже 600 000 на столе). Дальше начинается легкая возня со связью: «В Zoom меня выбрасывает, давайте в Meet», «Я не могу зайти по вашей ссылке, перейдем по моей?».

Ключевой момент — ссылка. Вам кидают не meet.google.com, а что-то вроде meet-room[.]… или zoom-online[.]…, иногда с одной пропущенной буквой, или с кириллической «о», или лишними символами. Текст ссылки может выглядеть прилично («Созвон здесь»), а внутри «зашит» другой URL: правой кнопкой мыши это видно, но кто в суете проверяет? В итоге вы попадаете на фишинговую страницу, которая может:

• запросить «доступ к микрофону/камере» и под этим предлогом загрузить скрипт,
• попросить авторизацию Google/Zoom «для синхронизации встречи»,
• ненавязчиво выманить пароли, токены, куки — все, что лежит в вашем браузере.

Мой личный протокол здесь железный:

• ссылки в звонки кидаю только я;
• домен проверяю буква в букву;
• если собеседник настаивает, что «только по его ссылке», — разговор окончен.

И еще: лучше открывать встречу в отдельном «чистом» профиле браузера без автосохраненных паролей.

Реальный случай: как у знакомого увели Bybit через почту и 2FA

Недавно у знакомого угнали аккаунт на Bybit. Мы до сих пор не восстановили всю цепочку событий, но картина такая. Он перешел по «пригласительной» ссылке на «онлайн-встречу»; дальше, судя по следам, на устройство попал фишинговый софт, который собрал пароли, сохраненные в браузере, и дал злоумышленникам доступ к почте. С почтой все остальное — дело техники:

• запросили сброс пароля на бирже;
• инициировали восстановление 2FA;
• подтвердили все через почту;
• письма-подтверждения удалили (в корзине часть осталась, по ней и восстановили таймлайн).

Я не до конца понимаю, как именно обошли вторую факторную, возможно, ее не было на почте, а доступ к SIM/телефону не потребовался. Важно другое: браузер как «кошелек паролей» — это риск. Если злоумышленник зашел в вашу почту, он за пять минут подтверждает любые сбросы и меняет привязки.

Поэтому мой базовый набор обороны:

• Не храню ключевые пароли в браузере. Менеджер паролей с отдельной мастер-фразой и без автозаполнения в неизвестных формах.
• Почта под биржи — на отдельном ящике с отдельной 2FA и длинным паролем.
• Проверяю настройки восстановления: резервные коды, привязки устройства, альтернативные адреса — все лишнее отключаю.
• Любую странную ссылку открываю в изолированном профиле/песочнице.

Самое неприятное, что в таких атаках вы не видите «красной лампы»: голос живой, разговор логичный, «клиент» не торгуется — просто аккуратно ведет к нужной кнопке.

Клоны в Telegram и «добрые помощники» в личке

Это прямо эпидемия. Клон делает аккаунт «как у меня»: та же аватарка, описание, а в нике — незаметная замена одной буквы (две «о» на «у», латиница на кириллицу). После этого «Саша» пишет моим подписчикам: «Кто-то запускает airdrop, начисляют 10–100 тыс., хотите — помогу участвовать. Мне тоже реферал капнет». Или просит «поделиться отзывом о курсе», а дальше дает инструкцию «как пополнить на бирже». Параллельно гоняют спам про «премиум-подарок на год» — там внутри тоже ссылка-ловушка.

Как отличаю и что советую:

• Нет истории переписки? Это не «я удалил чат», это не я.
• Ссылка и ник — проверяйте посимвольно.
• Любая «акция» с навязчивым переносом в «закрытый чат/бот» — почти наверняка скам.
• Личные гарантии, «100% выплата», «последние места» — красный флаг.
• Не обсуждайте деньги в личке с «новичком, который спрашивает про курс» и «просит показать, где нажать». Это не помощь, это подводка к депонату.

И, пожалуйста, если получили от «меня» странный оффер — перепроверьте контакт через мой закрепленный канал/сайт или просто спросите в общем чате. Один запрос — и вы экономите себе деньги и нервы.

Сид-фразы и «кошельки с подарком»: две ловушки

На YouTube мне иногда прилетает тонкий фишинг. В комментариях «обычный пользователь» спрашивает: «Как вывести USDT из SafePal на Binance? У меня есть seed-фраза». Дальше «случайно» выкладывает саму фразу. Идея простая: кто-то из читателей импортирует этот seed, видит якобы баланс — и пытается «спасти дармовые деньги». В этот момент запускается связка скриптов/ботов, и все, что вы заведете на этот «подарочный» кошелек, уходит моментально.

Похожая, но более распространенная — схема «нехватка газа»:

1. Мошенник публикует адрес, на котором «лежит большой баланс» (пусть даже «100 ETH»).
2. На адресе нет газовой монеты сети (ETH/BNB/MATIC — смотря где).
3. Жертва импортирует адрес, видит «богатство» и докидывает газ «на попробовать»: 2–10 долларов.
4. На кошельке давно подписан смарт-контракт/бот, который следит за поступлением газа и автоматически выводит все — и «подарок», и ваш газ — на адрес злоумышленника.

Как распознать:

• Пробейте адрес в сканере блокчейна. Если там каждые 5–10 минут одинаковые транзакции «пополнить газ → мгновенный вывод» — это капкан.
• Не отправляйте газ на чужие адреса «проверить». В 100% случаев вы «проверите» только скорость бота.
• Никогда не импортируйте чужие seed-фразы. Это как подобрать «ключ от квартиры», где на дверях уже прикручен насос, высасывающий все при любой попытке войти.
• Запомните: никто «случайно» seed не публикует.

Если вы уже «зашли посмотреть», остановитесь на этом моменте. Любое «докину чуть-чуть газа» превращается в «минус чуть-чуть денег», а по масштабу — в тысячи таких «чуть-чуть» у мошенников ежедневно.

Железная гигиена: «холод» и сегментация рисков

Я использую аппаратный кошелек (например, SafePal): устройство вне интернета, подтверждение операций через QR-сканирование между телефоном и «палкой», плюс пин-код на самом устройстве. Это сильно повышает порог взлома: даже если телефон заражен, без физического подтверждения на «железке» транзакция не уйдет. Но важно понимать: если ваш seed утек — никакая железка не спасет. Seed — это и есть ключ к деньгам.

Мои базовые правила, которые прижились практикой:

• Разделяю кошельки по задачам. Отдельный кошелек/аккаунт — для экспериментов, отдельный — для «основной подушки», холодный — для долгого хранения.
• Суммы распределяю. Дошел до психологического порога (у каждого он свой: 500 $, 5 000 $, 50 000 $) — создаю новый кошелек и перевожу часть туда.
• Новые проекты — только с песочницы. На «свежие» протоколы захожу с отдельного адреса. Даже если его «повредит», к основным средствам мостика нет.
• Пароли и 2FA — в порядок. Длинные фразы, отдельная почта под биржи, менеджер паролей, резервные коды 2FA лежат офлайн.
• Ссылки и файлы — с подозрением. Любая встреча — по моим ссылкам; любые вложения от незнакомцев — в корзину.

Еще момент. Иногда приложения на iPhone/Android просят «доступ ко всем фотографиям». Я встречал жалобы, что дальше «умные» фильтры ищут на снимках номера, коды, листочки с паролями. Подтвердить это технически я не могу, но я просто не даю полного доступа и не храню seed/коды на фото. Бумага и сейф — старомодно, зато работает.

Мои правила, которые уже спасали меня и подписчиков

Суммирую то, чем реально пользуюсь каждый день. Этот чек-лист у меня в голове и в заметках:

• Ссылки — только свои. Не перехожу по чужим Meet/Zoom/«комнатам». Домен проверяю вручную.
• Изолирую среду. Для незнакомых ссылок — отдельный профиль/песочница без паролей и расширений.
• Почта — крепость. Отдельный адрес под биржи, длинный пароль, 2FA, минимум методов восстановления.
• Seed — вне устройств. Никаких фото/сканов/облаков. Бумажные копии и физическая дисциплина.
• Никакого «газа на чужой кошелек». Бесплатный сыр — это смарт-контракт с автодренажом.
• Не спорю с «клиентом», который «торопится». Спешка — инструмент социальной инженерии.
• Сегментирую капитал. Эксперименты — отдельно, основа — отдельно, холод — отдельно.
• Проверяю ник и историю чатов. Любой «клон» — в бан и репорт.

Я не питаю иллюзий: мошенники будут всегда. Их сила — в правдоподобии и нашей человеческой спешке. Наша сила — в рутине маленьких проверок. Как только вы перестаете «автоматом» кликать и начинаете жить по своим правилам безопасности, 95% проблем просто не происходят. Я это вижу по себе и по подписчикам: те, кто однажды «обжегся», потом становятся внимательнее — и удивляются, как легко было избежать беды. Пусть вы будете из тех, кто не обжигается вовсе.