Классификация фишинга в криптовалютах: spear phishing, clone phishing, фейковые airdrop

Это целевая атака на одного человека: мошенники собирают данные из утечек, соцсетей, форумов — затем шлют письмо с обращением по имени, темой актуальной транзакции или статуса баунти-кампании. Пример: письмо якобы от оператора Lido Finance с сообщением о «новой версии стейкинг-контракта» и ссылкой на фишинговый сайт. Ваша реакция: проверить домен отправителя (всегда сличать с официальным) и не кликать — любой запрос seed-фразы или подписания подозрительной транзакции — красный флаг.

Вы получаете точную копию письма, которое уже получали ранее (например, от Coinbase о смене пароля). Мошенники перехватывают оригинал, заменяют ссылки на фишинговые и отправляют с поддельного, но очень похожего домена (coínbase.com вместо coinbase.com). Отличить можно по мелким несоответствиям: адрес отправителя, грамматические ошибки в теле, необычная срочность. Всегда переходите на сайт вручную через основную закладку, а не по ссылке из письма.

Spear — персональная ловушка с контекстной информацией о вас (имя, кошелёк, активный протокол). Clone — массовая копия легитимного письма без персонализации, но с высокой детализацией макета. Spear требует сбора данных (часто через утечки бирж/эксплореров), clone — доступ к одному оригинальному письму. Оба опасны, но spear обманывает даже опытных — если письмо выглядит как ответ на ваше недавнее обращение в саппорт.

Сообщение в Twitter/Telegram/Discord о раздаче токенов от якобы известного протокола (Uniswap, Aave, Arbitrum). Сайт просит подключить кошелёк (Metamask, WalletConnect) и подписать сообщение — на самом деле это подпись на передачу прав на токены или вывод средств. Признаки: URL отличается на символ (uniswap.finance-airdrop.xyz), отсутствие пин-поста в официальном блоге, требование seed-фразы. Настоящий airdrop никогда не запрашивает seed-фразу — только подпись сообщения для верификации. Проверяйте адрес контракта через Etherscan/блокчейн-эксплорер.

Немедленно отключите устройство от интернета (отключите Wi-Fi, выдерните кабель). Если ввели seed-фразу (мнемонику) — считайте кошелёк скомпрометированным: переведите активы на новый кошелёк (созданный офлайн) как можно быстрее, через мобильное приложение с использованием резервного интернета. Если только подписали транзакцию (approve) — отзовите разрешения через revoke.cash или Etherscan (заплатив газ). Смените пароли на биржах, активируйте 2FA, проверьте наличие активных сессий. Напишите в службу безопасности биржи/протокола. Налоговикам сообщать о краже не обязательно, но убыток не уменьшит налог — ФНС его не признаёт.

1. Встроенные детекторы: Metamask блокирует известные фишинговые сайты; расширения Etherscan Phishing Blacklist, Revoke.cash. 2. Ручная проверка: проверьте домен через whois, сравнивая дату регистрации (свежие — подозрительны). 3. Для DeFi: используйте официальные интерфейсы через app.uniswap.org, app.aave.com — НЕ через поисковик. 4. Проверка адреса контракта через Etherscan — если контракт неверифицирован или создан недавно с низким рейтингом — стоп. 5. Аппаратный кошелёк всегда показывайте детали транзакции на экране устройства — не подписывайте слепую транзакцию.

Немедленно переведите все активы на новый кошелёк (созданный офлайн) через другой компьютер или телефон. Старый кошелёк считайте скомпрометированным — не используйте его никогда.