Фишинговая кампания на криптоналогах: новые угрозы и тактики мошенников
Источник: www.group-ib.com
Новая волна фишинговых атак на криптовладельцев: мошенники используют тему налогообложения
В начале 2025 года исследовательская компания Group-IB обнаружила масштабную мошенническую кампанию, направленную на криптовладельцев, особенно в Нидерландах. Центром атаки стала тема налогообложения криптоактивов — злоумышленники прикидываются официальными налоговыми органами, в том числе налоговой инспекцией США, чтобы вызвать у жертв панический страх и заставить их перейти на фальшивые сайты.
Механика фишинга: способ обмана и сбор данных
Основной способ атаки — рассылка электронных писем, в которых жертв призывают срочно подать налоговую декларацию по криптовалюте. Письма содержат ссылки на фишинговые веб-страницы, визуально практически неотличимые от легитимных порталов правительственных учреждений. Среди элементов, которые вводят в заблуждение:
- имитация логотипов и фирменной верстки соответствующих органов;
- формы, запрашивающие личную информацию: полное имя, адрес проживания, дату рождения, контакты;
- данные банковских счетов и сведения о поставщиках криптокошельков;
- специальные поля, в которых пользователи вводят количество принадлежащих им криптоактивов — дополнительный уровень доверия.
Это создает у жертв иллюзию официальности и вынуждает их раскрывать важные личные данные.
Два направления атаки: кража фразы и вредоносные транзакции
Group-IB выявила, что мошенническая кампания использует две основные тактики:
- Кража исходной (seed) фразы кошелька. Это позволяет злоумышленникам получить полный контроль над криптоактивами жертвы.
- Использование вредоносных смарт-контрактов для автоматического опустошения кошельков после подключения к поддельному приложению.
Для защиты от анализа фишинговых страниц мошенники внедрили специальные скрипты, которые блокируют средства отладки. Так, скрипт check.js мешает исследователям и антивирусным системам детально изучать страницы, что значительно затрудняет выявление вредоносных действий.
Интеграция WalletConnect и новые векторы атак
В ещё более усовершенствованной версии атаки злоумышленники используют функциональность WalletConnect. Это позволяет им нацеливаться на кошельки, основанные на смарт-контрактах, а не только на закрытых ключах.
Суть метода:
- жертве предлагается отсканировать QR-код для подключения кошелька к вредоносному DApp;
- подключение происходит через последнюю версию скрипта wallet-connect.js, связанного с функционированием инфицированного приложения Inferno Drainer;
- после подключения жертва получает якобы безобидные запросы на транзакции, например, «проверку права собственности» на активы;
- после одобрения этих запросов кошелек автоматически опустошается вредоносными транзакциями.
Эволюция социальной инженерии: от вознаграждений — к страху и срочности
Группа злоумышленников отказалась от классических сценариев фишинга с обещаниями airdrop’ов и вознаграждений. Теперь они делают ставку на психологические приёмы, вызывая чувство паники и безотлагательности, выдавая себя за государственные органы. Этот сдвиг подтверждает тенденцию к усложнению методов социальной инженерии в сфере криптовалют.
«Такое развитие событий подчёркивает важность как технологической защиты, так и образовательных кампаний, направленных на повышение осведомленности пользователей», — отметили эксперты Group-IB.
Выводы и рекомендации
На фоне постоянно меняющегося ландшафта угроз кибербезопасности меры защиты должны включать:
- использование многофакторной аутентификации и аппаратных кошельков;
- проверку официальных сайтов и отказ от перехода по подозрительным ссылкам из электронных писем;
- проведение регулярного обучения пользователей и проведение информационных кампаний;
- использование современных антивирусных и антифишинговых решений, способных выявлять сложные вредоносные скрипты.
В условиях растущей популярности криптовалют и усиления фишинговых атак ключевой приоритет — _не только защита технологий, но и осознанность самих пользователей_.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
