Социальная инженерия в крипто: как работают фейк-модераторы Discord и Telegram

Мошенники мониторят публичные каналы крипто-проектов и реагируют на сообщения пользователей с проблемами («не могу подключить кошелёк», «транзакция зависла»). Сразу после публичного сообщения в личку приходит «помощник» с никнеймом, похожим на официальный (одна буква отличается, добавлен символ). В Discord мошенники используют аккаунты с теми же аватарками и ролями, что и настоящие модераторы — визуально отличить невозможно без проверки ID. Риск: атака начинается в секунды после вашего поста — скорость реакции создаёт иллюзию официальной поддержки.

Типовые сценарии: 1) просьба «верифицировать» кошелёк, введя seed-фразу на поддельном сайте; 2) просьба подключить кошелёк к «официальному» инструменту восстановления — это drainer; 3) просьба выполнить «тестовую транзакцию» для диагностики — транзакция оказывается approve вредоносному контракту; 4) просьба установить «официальное» приложение или расширение с удалённым доступом. Общий признак всех схем: создание срочности («ваши средства в опасности, действуйте немедленно»). Риск: паника заставляет пропустить стандартные проверки — именно на это и рассчитан мошенник.

В Discord у каждого аккаунта есть уникальный числовой User ID — нажмите правой кнопкой на аватарку → «Copy User ID». Настоящих модераторов можно найти в официальном списке сервера (вкладка Members). Проверьте: совпадают ли User ID аккаунта, написавшего вам в личку, с ID модераторов из официального списка. Любое расхождение означает фейк. В Telegram: проверьте username через поиск официального канала — не по совпадению имени, а по полному адресу аккаунта. Риск: мошенники могут взломать реальный аккаунт модератора — даже верный ID не даёт 100% гарантии; никогда не делитесь seed ни с кем.

Схема: фейк-модератор просит установить программу удалённого доступа (AnyDesk, TeamViewer) под предлогом «помочь настроить кошелёк». Получив доступ к экрану, злоумышленник видит seed-фразу, пароли и данные кошелька — или сам управляет компьютером для вывода средств. Легитимная техподдержка крипто-протоколов никогда не запрашивает удалённый доступ к устройству — у децентрализованных протоколов нет «серверной стороны», которую нужно синхронизировать с вашим компьютером. Риск: даже демонстрация экрана без передачи управления опасна — seed-фраза на экране видна злоумышленнику.

Мошенник пишет от имени модератора: «Вы выбраны для получения airdrop — перейдите по ссылке и подключите кошелёк». Сайт визуально копирует официальный ресурс проекта, но при подключении кошелька запрашивает approve вредоносного контракта или перенаправляет на drainer. Варианты: «ваш кошелёк квалифицирован» или «claim доступен только 24 часа» — классическое создание срочности. Легитимные airdrop всегда анонсируются публично в официальных каналах и никогда не требуют подключения кошелька через ссылку из личного сообщения. Риск: официально выглядящий сайт и логотип проекта не подтверждают легитимность — проверяйте URL и адрес контракта.

Если только перешли — не подключайте кошелёк, закройте вкладку. Если подключили кошелёк, но не подписывали транзакций — немедленно отзовите все approvals через revoke.cash. Если подписали транзакцию — проверьте историю кошелька на Etherscan: выведены ли средства. Если seed-фраза была введена — немедленно переведите все оставшиеся средства на новый кошелёк с новой seed-фразой. Скомпрометированный адрес больше никогда не использовать. Риск: злоумышленники могут не выводить средства сразу — они ждут пополнения кошелька; не оставляйте активы на скомпрометированном адресе.

Крайне редко и только в специфических случаях (нарушение правил сервера). Для решения технических проблем с кошельком настоящая поддержка никогда не инициирует личную переписку — она отвечает публично или направляет в официальную тикет-систему.