SSP Editorial Team

Фишинговые атаки на пользователей криптовалют (и как их распознать)

·7 мин. чтения·Автор: SSP Editorial Team
Обложка SSP Security с иконками кошелька, ключа, щита и чипа, иллюстрирующая руководство по фишинговым атакам на криптовалюты.

Фишинг — самый распространённый способ, которым пользователи самостоятельного хранения теряют деньги. Не взломанный шифр, не скомпрометированный приватный ключ — убедительное сообщение, сайт-двойник или транзакция, которая выглядит рутинной, пока это не так. Криптография вашего кошелька надёжна, и злоумышленник знает об этом, поэтому он полностью её обходит и атакует единственную часть системы, которую можно уговорить поступить неправильно: вас. Каждый год миллиарды теряются из-за связанного с криптовалютами мошенничества и социальной инженерии, и большинство случаев начинается с фишингового сообщения, а не с технического эксплойта.

Эта статья разбирает, на что конкретно нацелен криптофишинг, какие шаблоны вы можете научиться распознавать с первого взгляда и как дизайн SSP помогает — и честно говорит о том, где он не может вас защитить.

Что фишинг на самом деле атакует

Фишинг против пользователя самостоятельного хранения нацелен на одно из трёх: сид-фразу, одобрения или подпись. Украдите сид — и злоумышленник владеет каждым аккаунтом, который из него выводится, навсегда. Обманите вас с предоставлением одобрения токена — и они смогут выводить конкретные активы в удобное для них время. Получите вашу подпись под одной вредоносной транзакцией — и средства переместятся за один блок.

Все три объединяет одно: вы должны действовать. Злоумышленник не может залезть в ваш кошелёк и ничего взять; им нужно, чтобы вы напечатали, кликнули, одобрили или подписали. Эта зависимость — также ваше преимущество: у каждой атаки есть момент, когда вы можете её остановить, если знаете, как этот момент выглядит.

Шаблоны, которые можно распознать

Криптофишинг использует небольшой набор приёмов. Как только вы можете их назвать, попасться на них становится намного сложнее.

Поддельные сайты кошельков и тайпсквоттинг в рекламе

Старейший приём — клон реального кошелька или биржевого сайта, размещённый на домене-двойнике и часто поднятый на вершину поисковой выдачи в виде платной рекламы. Страница выглядит идеально и существует по единственной причине: собрать вашу сид-фразу или обманом заставить вас подключиться и что-то подписать. Относитесь к строке поиска как к враждебной среде. Найдите настоящий сайт один раз, проверьте его и добавьте в закладки — а затем всегда открывайте только через эту закладку. SSP никогда не попросит вашу сид-фразу на веб-сайте, а настоящее расширение устанавливается из официального браузерного магазина, а не из поисковой рекламы. Если вы не уверены, как вообще выглядит легитимный расширенный кошелёк, прочитайте браузерные расширения-кошельки — объяснение.

Запросы на ввод сид-фразы

Это заслуживает отдельного правила, потому что оно абсолютно: ни один легитимный кошелёк никогда не попросит вас напечатать сид-фразу на веб-сайте, в форме, во всплывающем окне или в DM. Не для «проверки», не для «синхронизации», не для «получения» чего-либо. Ваш сид вводится ровно в одном месте — внутри самого программного обеспечения кошелька, при первоначальной настройке или восстановлении. SSP принимает вашу сид-фразу только внутри расширения или мобильного приложения для этой цели и никогда на веб-странице. Если что-то другое запрашивает её — это попытка кражи, точка. Об общей дисциплине её защиты читайте в лучших практиках хранения сид-фразы.

Фишинг одобрений и дренеры кошельков

Более новый и хитрый вариант: вредоносный dApp не запрашивает вашу сид-фразу вовсе. Он просит вас подписать то, что выглядит как обычная транзакция, — но действие представляет собой одобрение токена или setApprovalForAll, который передаёт контракту злоумышленника право перемещать ваши токены или NFTs. Вы сохраняете владение своими ключами; вы просто подписали право на свои активы, и дренер кошелька заберёт их позже — иногда спустя недели. Защита — понять, что такое одобрение, и держать их краткосрочными. Прочитайте одобрения токенов — права доступа, которые вы постоянно выдаёте, а затем отзовите те, которые вам больше не нужны.

Отравление адресов

Отравление адресов эксплуатирует привычку копировать и вставлять. Злоумышленник отправляет крошечный или нулевой перевод на ваш кошелёк с адреса, специально созданного так, чтобы выглядеть как один из тех, которые вы уже используете, — с теми же первыми четырьмя и последними четырьмя символами. Затем он оседает в вашей истории, и когда в следующий раз вы копируете «известный» адрес из прошлых транзакций — вы берёте их адрес и отправляете средства прямо злоумышленнику. Исправление механическое: никогда не копируйте адрес из истории транзакций и проверяйте полный адрес, символ за символом — а не только первые и последние четыре. Двойник может совпадать по обоим концам и при этом полностью отличаться в середине.

Самозванство в DMs

Если кто-то первым пишет вам в Discord, Telegram или X, утверждая, что является «официальной поддержкой», — это мошенничество по умолчанию. Реальная поддержка не пишет вам в DMs, и ни один администратор, модератор или «бот проверки» никогда не потребует вашу сид-фразу, приватный ключ или подключения кошелька для «верификации». Признак — срочность: «ваши средства в опасности, действуйте немедленно» существует для того, чтобы вы не успели подумать. Закройте DM и обращайтесь в поддержку только через канал, к которому вы пришли самостоятельно.

Вредоносные запросы на подпись / слепая подпись

Самый технический приём просит вас подписать сообщение, а не транзакцию — payload Permit, eth_sign или непрозрачный блоб, который вы не можете прочитать. Они могут авторизовать перевод токенов или одобрения вне блокчейна, иногда без затрат на газ и без очевидного предупреждения. Правило: понимайте, что вы подписываете, прежде чем подписать, и относитесь с глубоким подозрением к любому запросу, который вы не можете расшифровать. Когда вы подключаетесь к dApps, знайте, как работают сессия и её запросы на подпись — что такое WalletConnect и как он работает с SSP подробно разбирает этот аспект.

Как дизайн SSP помогает — и где нет

SSP — это кошелёк multisig с порогом 2 из 2: каждая транзакция должна быть со-подписана на втором устройстве, SSP Key, прежде чем она может быть транслирована. Это даёт вам второй экран, на отдельном устройстве, показывающий запрос ещё раз до его выполнения — настоящая вторая поверхность проверки, которой нет у однодевайсного кошелька. Расширение также никогда не запрашивает вашу сид-фразу на веб-странице, что закрывает самый распространённый маршрут сбора данных по умолчанию.

Вот честная часть: multisig — не лекарство от фишинга. Если перед вами вредоносная транзакция и вы одобряете её в расширении и подтверждаете на вашем SSP Key — кошелёк делает ровно то, что вы ему сказали. Второе устройство защищает вас от единственного скомпрометированного девайса, подписывающего самостоятельно, — оно не защищает вас от двукратного одобрения плохого действия. Поэтому читайте оба экрана: если адрес назначения, сумма или действие не совпадают с тем, что вы намеревались сделать, — отклоните на SSP Key. Защита от фишинга в конечном счёте по-прежнему лежит на вас. Почему эта ответственность того стоит — суть статьи почему самостоятельное хранение важно сейчас.

60-секундная самопроверка на фишинг

Прежде чем что-то подписать, выполните следующее:

  1. Проверка URL — вы пришли через собственную закладку или по ссылке/рекламе от кого-то? Если это не ваша закладка — остановитесь.
  2. Проверка сид-фразы — что-то запрашивает вашу сид-фразу? Если да — это мошенничество, всегда, без исключений.
  3. Читайте SSP Key — действие и сумма на вашем втором устройстве точно совпадают с тем, что вы намеревались сделать?
  4. Проверка адреса назначения — проверьте полный адрес получателя, а не только первые и последние четыре символа.
  5. Проверка DM — всё началось с нежелательного сообщения или срочного «действуй сейчас»? Относитесь к этому как к угрозе.
  6. Гигиена одобрений — отзывайте устаревшие одобрения токенов, которые вам больше не нужны, чтобы забытое одобрение не было использовано позже.

Если какой-либо шаг провален — отклоните и уходите. Упущенная возможность ничего не стоит; подписанный дренер может стоить всего.

Продолжайте изучение

Фишинг — лишь один слой более широкой личной практики безопасности. Укрепите остальное с помощью статьи гигиена браузерных расширений для пользователей криптовалют и составьте всё в регулярный план с чеклистом операционной безопасности для криптовалют. Для отслеживания этих атак в более широкой экосистеме отчёты APWG Phishing Activity Trends и FBI's IC3 — надёжные первоисточники.

Поделиться статьёй

Похожие статьи

Seed-фраза из двенадцати слов, напечатанная на бумажной карточке рядом с аппаратным кошельком

Лучшие практики хранения seed-фразы

Что такое seed-фраза, как хранить её, не теряя и не сливая, и как мультиподпись 2-of-2 в SSP меняет модель угроз.

7 min read
Квадратная обложка руководства SSP по одобрениям токенов ERC-20 и неограниченным allowance

Одобрения токенов: разрешения, которые вы продолжаете раздавать

Как работает approve() в ERC-20, почему неограниченные allowance рискованны и что каждое взаимодействие с dApp тихо выдаёт из вашего SSP-кошелька.

8 min read
Обложка по безопасности SSP с иконками кошелька, ключа, щита и чипа на тёмно-синей квадратной карточке

Гигиена браузерных расширений для криптопользователей

Безопасность браузерных расширений: проверяйте установки, минимум привилегий, опирайтесь на LavaMoat, а SSP 2 из 2 подстрахует.

6 min read