Поддельная биржа вместо настоящей: тайпсквоттинг, клоны доменов и как не попасться

Тайпсквоттинг — регистрация доменов с намеренными ошибками: замена букв (binanse.com), смена зоны (binance.net вместо .com), добавление слов (binance-login.com, binance-pro.net). Злоумышленники скупают десятки вариантов и ставят на каждый точную копию интерфейса биржи. Трафик приходит через контекстную рекламу — объявление выглядит как официальное, URL в превью обрезается. Нюанс: Google и Яндекс периодически блокируют такую рекламу, но новые домены появляются быстрее, чем их успевают удалять.

Три проверки: первая — смотреть на доменную зону. Binance работает только на binance.com, Bybit — на bybit.com. Любой другой TLD (.net, .org, .io с «binance» в названии) — подозрение. Вторая — проверить сертификат: кликнуть на замок, открыть «Сведения о сертификате», убедиться что Common Name совпадает точно с доменом. Третья — не кликать по рекламе в поиске, а открывать биржу только из закладок. Нюанс: кириллические символы в домене (bïnance.com с «і» вместо «i») визуально неотличимы от латинских (coindaily.ru/articles/phishing-v-kripte).

В 2023–2024 годах зафиксированы массовые кражи через клоны Bybit, OKX и MetaMask, продвигаемые через Google Ads. Пользователи вводили логин и пароль на фишинговом сайте, после чего автоматизированные скрипты входили в настоящий аккаунт и выводили средства раньше, чем жертва успевала закрыть вкладку. Суммы потерь — от нескольких тысяч до десятков тысяч долларов на один инцидент. Общий объём потерь от фишинга в крипто в 2024 году превысил 1 млрд долларов по данным отраслевых аналитиков (cryptofishka.com/fishing-v-kripto).

Нет. HTTPS подтверждает только шифрование соединения и то, что сертификат выдан на конкретный домен — не то, что этот домен принадлежит настоящей бирже. Злоумышленник регистрирует binance-secure.com, получает бесплатный сертификат Let's Encrypt за 10 минут — и браузер показывает замок. Пользователь видит «защищённое соединение» и расслабляется. Единственная надёжная проверка — точное совпадение домена в адресной строке с официальным, который вы знаете заранее и добавили в закладки.

Схема простая: покупается контекстная реклама по запросам «binance войти», «bybit регистрация», «okx вход». Объявление оформляется под официальный бренд, отображаемый URL обрезается до «binance.com» — но реальная ссылка ведёт на клон. Google и Яндекс требуют подтверждения рекламодателя, но злоумышленники используют подставные юрлица и постоянно регистрируют новые аккаунты. Защита одна: никогда не кликать по рекламным объявлениям при поиске биржи, только органическая выдача или прямые закладки.

Немедленно: открыть настоящий сайт биржи из закладок (не из истории браузера), войти и сменить пароль. Отозвать все API-ключи. Включить вывод только на верифицированные адреса (whitelist). Если есть подозрение, что данные уже использованы — заблокировать вывод средств в настройках безопасности и написать в поддержку. Параллельно проверить почту: мошенники часто запрашивают код подтверждения через realtime-proxy. Средства, уже выведенные в крипту, вернуть практически невозможно (finvex.ru/fejkovye-kriptokoshelki).

Да. Сервис whois.domaintools.com показывает дату регистрации домена и регистратора. Свежезарегистрированный домен (дни или недели) с именем известной биржи — почти наверняка фишинг. Официальные домены крупных бирж существуют годами. Также можно проверить через ScamAdviser или Web of Trust — они агрегируют жалобы пользователей.