Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Фишинговые ссылки и DNS-подмена: как мошенники копируют сайты криптобирж

DNS hijacking — атака, при которой запрос к легитимному домену биржи перенаправляется на сервер злоумышленника с идентичным интерфейсом. Браузер показывает правильный URL, страница выглядит как оригинал — но введённые логин и пароль уходят мошенникам. Зелёный замок HTTPS не гарантирует подлинности сайта: сертификат можно получить и на фишинговый домен.

Автор: ~8 мин

Что такое DNS hijacking и как он применяется против криптобирж?

DNS hijacking — подмена DNS-ответа: вместо настоящего IP-адреса биржи браузер получает IP сервера злоумышленника. Атака может происходить на уровне роутера (если роутер скомпрометирован), провайдера (редко, но зафиксированы случаи) или локального hosts-файла на компьютере жертвы. Пользователь вводит правильный адрес binance.com или bybit.com, но попадает на клон. Нюанс: HTTPS-замок при этом может присутствовать, если у злоумышленника есть валидный сертификат на похожий домен или он использует SSL-стриппинг.

Источник: Перешёл по ссылке и потерял крипту: разбор атаки

Как проверить подлинность HTTPS-сертификата сайта биржи?

Кликните на замок в адресной строке → «Сертификат» (в Chrome — «Это подключение защищено» → «Сведения о сертификате»). Проверьте три параметра: кому выдан сертификат (Common Name или Subject Alternative Name должен точно совпадать с доменом), кем выдан (крупные биржи используют DigiCert, Sectigo, Let's Encrypt — но сам факт выдачи не гарантирует подлинности), и срок действия. Настоящий Binance использует wildcard-сертификат на *.binance.com — поддомен должен заканчиваться именно на .binance.com, не на .binance.co или .binance-pro.com.

Как проверить и защитить файл hosts на Windows и macOS?

Файл hosts — локальная таблица DNS на вашем компьютере, которая имеет приоритет над внешними DNS-серверами. Вредоносное ПО может добавить в него строку вида «185.x.x.x binance.com» — и все запросы к бирже пойдут на чужой сервер. Проверка на Windows: открыть C:\Windows\System32\drivers\etc\hosts в блокноте. На macOS: /etc/hosts через Terminal (cat /etc/hosts). Там должны быть только строки с 127.0.0.1 и ::1 для localhost. Любые записи с адресами бирж — признак компрометации (habr.com/ru/articles/1001584).

Какие признаки указывают на фишинговый сайт биржи при визуальном осмотре?

Пять маркеров: URL в адресной строке отличается на один символ (bïnance.com с кириллической «i», binance-login.com, binance.com.ru), сертификат выдан на домен, отличный от отображаемого, страница запрашивает seed-фразу или приватный ключ (настоящая биржа никогда этого не делает), отсутствует двухфакторная аутентификация при входе или она выглядит иначе, и скорость загрузки заметно отличается от оригинала. При малейшем сомнении — закрыть вкладку и открыть сайт вручную из закладок (cryptofishka.com/fishing-v-kripto).

Что происходит с деньгами после успешной DNS-атаки и можно ли их вернуть?

После ввода логина и пароля на фишинговом сайте злоумышленник немедленно входит в настоящий аккаунт и выводит средства. При наличии 2FA атака усложняется: нужно перехватить и одноразовый код — это делается через realtime-proxy, который прозрачно передаёт данные. Средства, выведенные в крипту, практически невозвратны — блокчейн-транзакции необратимы. Matchsystems и аналогичные компании могут отследить маршрут средств, но заморозить их на бирже возможно только при быстром обращении (matchsystems.com/ru/ya-pereshyol-po-ssylke).

Источник: Перешёл по ссылке и потерял крипту: разбор атаки

Как защититься от DNS-атак на уровне настроек сети?

Три практических шага: сменить DNS-серверы роутера с провайдерских на Cloudflare (1.1.1.1) или Google (8.8.8.8) — они реже компрометируются на уровне провайдера. Включить DNS over HTTPS (DoH) в браузере: Chrome → Настройки → Конфиденциальность → Использовать защищённый DNS. Регулярно проверять прошивку роутера на обновления — большинство атак на роутеры эксплуатируют известные уязвимости. Дополнительно: добавить сайты бирж в закладки и открывать только оттуда, не по ссылкам из писем и мессенджеров.

Источник: Фишинг в крипто: как не потерять монеты

Можно ли доверять зелёному замку HTTPS при входе на биржу?

Замок означает только то, что соединение зашифровано между вами и сервером. Он не гарантирует, что сервер — настоящая биржа. Сертификат можно получить бесплатно через Let's Encrypt на любой домен, включая фишинговый. Замок — необходимое, но недостаточное условие безопасности.

Эксклюзив от ИнвестХомяка

Техники DNS-атак на криптопользователей: механика и признаки

Тип атакиТочка компрометацииВизуальный признак для жертвы
Hosts-файл (локальный)Вредоносное ПО на компьютереURL правильный, сертификат может быть чужим
Роутер DNS hijackУязвимый роутер или слабый парольURL правильный, нет внешних признаков
Тайпсквоттинг + фишингПользователь кликает на рекламу/ссылкуURL похож, но отличается на символ

HTTP vs HTTPS на фишинговом сайте: что реально защищает

КритерийHTTP (без шифрования)HTTPS (с сертификатом)
Шифрование трафикаНетДа — но только между вами и сервером злоумышленника
Гарантия подлинности сайтаНетНет — сертификат подтверждает домен, не владельца
Видимый признак в браузере«Не защищено» в адресной строкеЗамок — но домен может быть поддельным
Перехват данных третьими лицамиВозможенИсключён — но данные идут на сервер мошенника
Надёжный способ проверкиСверить точный домен в сертификате вручную

Как проверить безопасность подключения к криптобирже за 5 минут

  1. Проверьте URL в адресной строке вручную

    Не копируйте адрес из письма или мессенджера — введите его руками или откройте из закладок. Убедитесь, что домен точно совпадает с официальным: binance.com, bybit.com, okx.com — без лишних символов, дефисов и поддоменов-пустышек.

  2. Откройте сертификат и проверьте домен

    Кликните на замок в адресной строке → «Сведения о сертификате». Поле «Кому выдан» должно точно совпадать с доменом в адресной строке. Несовпадение — немедленно закрыть вкладку.

  3. Проверьте файл hosts на наличие посторонних записей

    Windows: откройте C:\Windows\System32\drivers\etc\hosts блокнотом от имени администратора. macOS/Linux: выполните cat /etc/hosts в терминале. Посторонние строки с адресами бирж — признак заражения.

  4. Смените DNS на роутере на публичные серверы

    Войдите в панель управления роутером (обычно 192.168.1.1 или 192.168.0.1). В настройках DNS замените адреса провайдера на 1.1.1.1 и 1.0.0.1 (Cloudflare) или 8.8.8.8 и 8.8.4.4 (Google). Обновите прошивку роутера до последней версии.

  5. Включите DNS over HTTPS в браузере

    Chrome: Настройки → Конфиденциальность и безопасность → Безопасность → Использовать защищённый DNS → выбрать Cloudflare или Google. Firefox: Настройки → Основные → Параметры сети → Включить DNS через HTTPS. Это шифрует DNS-запросы и исключает перехват на уровне провайдера.

Частые вопросы

Можно ли доверять зелёному замку HTTPS при входе на биржу?

Замок означает только то, что соединение зашифровано между вами и сервером. Он не гарантирует, что сервер — настоящая биржа. Сертификат можно получить бесплатно через Let's Encrypt на любой домен, включая фишинговый. Замок — необходимое, но недостаточное условие безопасности.

Что делать, если случайно ввёл пароль на подозрительном сайте?

Немедленно: открыть настоящий сайт биржи из закладок, сменить пароль и отозвать все активные сессии (раздел «Безопасность» → «Управление сессиями»). Если есть 2FA — не отключать. Проверить историю входов и выводов за последние минуты. При обнаружении несанкционированных действий — заблокировать вывод средств и обратиться в поддержку биржи немедленно.

Защищает ли VPN от DNS hijacking?

Частично. Надёжный VPN шифрует DNS-запросы и направляет их через собственные серверы, что исключает перехват на уровне провайдера и роутера. Но VPN не защищает от заражённого hosts-файла на локальном компьютере — этот уровень атаки не зависит от DNS-серверов. Кроме того, бесплатные VPN сами могут быть источником компрометации.

Как злоумышленники получают HTTPS-сертификат на фишинговый домен?

Let's Encrypt и другие центры сертификации выдают сертификаты автоматически при подтверждении владения доменом — без проверки репутации или назначения сайта. Злоумышленник регистрирует домен bïnance.com или binance-secure.com, проходит автоматическую верификацию и получает валидный сертификат за несколько минут. Браузер покажет замок — визуально неотличимо от оригинала.

Как добавить биржу в закладки правильно, чтобы не попасть на фишинг?

Откройте официальный сайт биржи, набрав адрес вручную в первый раз. Проверьте сертификат. Только после этого добавьте в закладки через Ctrl+D (или Cmd+D на Mac). В дальнейшем открывайте биржу только из этой закладки — никогда по ссылкам из писем, Telegram-каналов или рекламных объявлений.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники