Фишинг крипто-биржи: фейк-почта, клон сайта и запрос 2FA

Жертве приходит письмо, визуально неотличимое от настоящего: логотип биржи, фирменный стиль, подпись «службы безопасности». Текст создаёт тревогу — «зафиксирован вход с нового устройства», «требуется подтвердить аккаунт», «вывод средств приостановлен». В письме есть кнопка или ссылка, ведущая на поддельный сайт-клон. Обман выдают детали: адрес отправителя на чужом домене, лишние буквы или другой домен верхнего уровня в ссылке, давление срочностью. Цель — заставить вас перейти и ввести логин, пароль и код 2FA. Настоящая биржа не присылает ссылок для срочного ввода паролей. При любом таком письме заходите на сайт вручную через закладку, а не по ссылке из сообщения.

Клон — это копия официального сайта биржи на похожем, но чужом домене. Внешне страница входа идентична оригиналу, но всё, что вы вводите, уходит мошенникам. Распознать клон помогает проверка адресной строки по буквам: злоумышленники используют опечатки, дефисы, другой домен верхнего уровня или поддомены, маскирующиеся под бренд. Подозрительны новые домены, отсутствие привычного функционала, требование ввести seed-фразу при «входе». Никогда не переходите на биржу по ссылкам из писем, рекламы и сообщений — открывайте сайт вручную через сохранённую закладку. Менеджер паролей тоже помогает: он не подставит сохранённый пароль на поддельном домене, и это само по себе сигнал тревоги.

Двухфакторная аутентификация (2FA) — это второй код помимо пароля, обычно из приложения-аутентификатора или СМС. Зная только пароль, мошенник не войдёт, поэтому ему нужен ваш код 2FA в реальном времени. Схема: вы вводите данные на сайте-клоне, мошенник тут же подставляет их на настоящую биржу, а сайт-клон просит ввести код 2FA — и вы сами передаёте его злоумышленнику. Иногда код выманивают «сотрудники поддержки» в Telegram под предлогом «проверки». Запомните: код 2FA — это разовый ключ входа, его нельзя сообщать никому и нигде, кроме официального приложения. Аппаратный ключ безопасности защищает лучше СМС, потому что не передаётся через переписку.

В почте: чужой домен отправителя, обращение «уважаемый клиент» без имени, ссылки на сторонние адреса, вложения, угрозы блокировки. В SMS: короткие ссылки, требование срочно «подтвердить» аккаунт, незнакомые номера, коды, которые вы не запрашивали. В Telegram: аккаунты «поддержки», написавшие первыми, без официальной верификации, с просьбой перейти по ссылке или назвать код. Общие маркеры везде одинаковы: срочность, запрос секретов, поддельные ссылки, контакт по их инициативе. Любой из этих признаков — стоп-сигнал. Официальные сервисы не пишут первыми в личку и не запрашивают пароли и коды. Проверяйте каналы только через официальный сайт биржи, а не через контакты из подозрительных сообщений.

Действуйте по минутам. Если успели ввести данные на клоне — немедленно смените пароль от аккаунта и почты, завершите все активные сессии. Перенастройте 2FA, лучше на приложение-аутентификатор или аппаратный ключ вместо СМС. Если есть доступ к средствам — выведите их на безопасный кошелёк, seed-фраза которого не скомпрометирована; при утечке seed-фразы старый кошелёк считайте потерянным. Обратитесь в официальную поддержку биржи через проверенный канал и зафиксируйте инцидент. Если затронуты банковские карты — срочно блокируйте их через банк. Сохраните все доказательства: письма, ссылки, скриншоты. При краже подайте заявление в полицию. В крипте операции необратимы, поэтому скорость реакции критична.

Украденные средства сами по себе доходом не считаются и НДФЛ не создают, но тема налогов важна в общем контексте. Доход от инвестиций облагается НДФЛ по общим правилам: например, купоны облигаций, включая ОФЗ, по ставке 13%, а при крупном годовом доходе действует прогрессивная шкала со ставкой 15% сверх установленного порога. Документы об уплате налога и происхождении средств помогают при спорах с банком по антиотмывочным правилам. Отдельно остерегайтесь схем, где мошенники под видом «налоговой» или «финмониторинга» требуют оплатить «налог» или «комиссию» для разблокировки средств — это тоже фишинг. Настоящие госорганы так не действуют и не просят переводов на сторонние кошельки.

Да, мошенники точно копируют стиль и логотип. Проверяйте домен отправителя и не переходите по ссылкам — заходите на сайт вручную.