Нова хвиля крипто-дрейнерів: як хакери спустошують гаманці росіян під виглядом інвестицій
Криптовалютний ландшафт у Росії зіткнувся з агресивною новою загрозою. Щонайменше три хакерські угруповання активізували атаки на користувачів, використовуючи шкідливе ПЗ — дрейнери. Зловмисники вправно маскують свої злочинні схеми під легітимні партнерські програми для інвесторів, що робить цю хвилю особливо небезпечною.
Фахівці профільного підрозділу F6 Digital Risk Protection зафіксували масштабну кампанію, що стартувала наприкінці травня — на початку червня. За цей короткий період було запущено щонайменше 15 сайтів-приманок, кожен з яких містив прихований код крипто-дрейнера. Це програмне забезпечення створене з єдиною метою — миттєво спустошити підключений криптогаманець.
Механіка обману: від бонусу до повної крадіжки
Сценарій атаки відточений до автоматизму. Користувачів заманюють обіцянкою відкрити інвестиційний рахунок з вітальним бонусом у 50 USDT. Для активації цієї «щедрої» пропозиції жертві пропонують підключити свій гаманець, відсканувавши QR-код через офіційний додаток.
Ключовий момент — користувач самостійно схвалює транзакцію, думаючи, що активує бонус. Насправді він надає зловмисникам повний доступ на виведення всіх коштів: криптовалюти, токенів і навіть NFT. Як тільки авторизація на фальшивому сайті завершена, дрейнер миттєво перевіряє баланс кількома запитами та виводить усі доступні активи.
Експерти виділили три основні типи приманок, які використовують угруповання:
- Інвестиційні рахунки: Обіцянка бонусу за реєстрацію.
- Активність у Telegram: Пропозиція вигідної купівлі «зірок» (внутрішньої валюти месенджера).
- Бонусні програми: Роздача безкоштовних токенів за підключення гаманця.
За оцінками старшого аналітика F6 Марії Синіциної, дрейнери — не нова технологія. Кілька років тому вони активно використовувалися проти англомовної аудиторії, після чого їхня активність спала. Нинішня хвиля — це рецидив, але тепер цілеспрямовано націлений на російськомовну спільноту. Вона закликає власників криптовалют з крайньою обережністю ставитися до будь-яких ресурсів, що експлуатують свіжі інфоприводи.
Як захистити свої цифрові активи
Фахівці F6 вже направили заявку на блокування виявлених шкідливих ресурсів, однак шахраї оперативно створюють нові домени замість закритих. Тому ключова відповідальність лягає на самих користувачів.
Ось основні правила безпеки, які я, як аналітик, наполегливо рекомендую дотримуватися:
- Ніколи не переходьте за посиланнями з рекламних оголошень. Вводьте адресу сайту вручну.
- Ретельно перевіряйте доменне ім'я. Шахраї часто реєструють адреси, співзвучні відомим брендам.
- Перевіряйте дату створення сайту через Whois-сервіси. «Свіжі» домени — червоний прапорець.
- Для брокерської діяльності в РФ потрібна ліцензія ЦБ. Завжди звіряйте офіційні ресурси брокера на сайті Банку Росії.
- Будь-які акції перевіряйте виключно на офіційних майданчиках. Якщо сумніваєтеся, надішліть підозрілий сайт на платформу «Антифішинг» від F6.
Думка експерта: Ця кампанія — яскравий приклад того, як соціальна інженерія та технічні вразливості зливаються воєдино. Найтривожніше — це адаптація старих, але ефективних схем під нову аудиторію. Російські інвестори історично менш досвідчені в питаннях безпеки DeFi, ніж їхні західні колеги, що робить їх ідеальною мішенню. Поки індустрія не виробить єдині стандарти верифікації dApp-підключень, єдиним захистом залишається тотальна параноя та холодні гаманці для довгострокового зберігання.