Нова хвиля крипто-шахрайства в Росії: дренажі, що маскуються під бонусні програми
За останні тижні я фіксую тривожний сплеск активності щонайменше трьох хакерських угруповань, націлених на російськомовних власників криптовалют. Зловмисники використовують шкідливе ПЗ — дрейнери (drainers), які маскуються під легітимні інвестиційні або бонусні пропозиції. Це не просто рядова афера, а добре скоординована кампанія з використанням соціальної інженерії та технічно просунутих інструментів.
За моїми даними, наприкінці травня — на початку червня було запущено щонайменше 15 фішингових сайтів-приманок. Механіка атаки стандартна, але надзвичайно ефективна. Жертву заманюють обіцянкою вітального бонусу в розмірі $50 в USDT за відкриття інвестиційного рахунку. Для отримання «подарунка» користувачеві пропонують підключити свій криптогаманець, відсканувавши QR-код через офіційний додаток.
На перший погляд, жертва просто підписує транзакцію для інтеграції гаманця. Насправді цей запит відкриває шахраям повний доступ до виведення всіх коштів: токенів, NFT та стейблкоїнів. Щойно авторизація на фальшивому сайті завершена, шкідливе програмне забезпечення миттєво перевіряє баланс і кількома запитами спустошує гаманець. Я виділяю три основні типи приманок, які зараз активно використовуються:
- Інвестиційні рахунки: обіцянка бонусу за реєстрацію.
- Telegram-активність: пропозиція вигідної купівлі «зірок» або преміум-функцій.
- Бонусні програми: роздача безкоштовних токенів за підключення гаманця.
Важливо розуміти, що це не нова загроза. Кілька років тому подібні дрейнери активно використовувалися проти англомовної аудиторії, після чого їхня активність спала. Зараз ми спостерігаємо рецидив, але з чітким фокусом на російськомовному сегменті. Шахраї оперативно створюють нові домени замість заблокованих, тому боротьба з ними нагадує гру в «кішки-мишки».
Як захистити свої активи
Моя рекомендація — категорично уникати переходів за посиланнями з рекламних оголошень, особливо тих, що обіцяють «халяву». Завжди ретельно перевіряйте доменне ім'я ресурсу. Зловмисники реєструють адреси, співзвучні відомим брендам. Використовуйте Whois-сервіси для перевірки дати створення сайту: свіжі домени (до 1-2 місяців) — червоний прапорець. Пам'ятайте, що будь-яка ліцензована брокерська діяльність у РФ ведеться лише на підставі ліцензії ЦБ, і всі офіційні ресурси можна перевірити на сайті регулятора.
Думка експерта: Ця атака — яскравий приклад того, як технічна складність криптоінструментів використовується проти самих користувачів. Поки індустрія не впровадить надійніші механізми підтвердження транзакцій (наприклад, обов'язковий whitelist адрес або тимчасові затримки на виведення), єдиним захистом залишається гранична пильність і здоровий скептицизм до будь-яких пропозицій «безкоштовного сиру».