Кейлоггер — программа, которая записывает каждое нажатие клавиш и делает скриншоты экрана, включая момент ввода seed-фразы. Чаще всего он попадает на устройство вместе с пиратским ПО: торрентами, крэками, «активаторами». Антивирус помогает, но не перехватывает всё — часть вредоносов обходит сигнатурный анализ.
Вредонос перехватывает данные на двух уровнях: фиксирует нажатия клавиш (keylog) и делает скриншоты через заданные интервалы или при открытии целевых окон (криптокошельков, браузерных расширений). Если пользователь вводит seed-фразу вручную или она отображается на экране — вредонос её видит. Часть троянов дополнительно мониторит буфер обмена: скопировал адрес кошелька — адрес подменился на адрес атакующего.
Пиратский софт — популярный вектор распространения стилеров и кейлоггеров, потому что пользователь сам запускает файл с правами администратора и отключает антивирус «чтобы не мешал». Kaspersky зафиксировал трояны в фишинговых приложениях даже в App Store; в пиратском ПО порог входа для атакующего ещё ниже. Криптоинвестор особенно уязвим: компрометация одного устройства даёт доступ ко всем кошелькам на нём.
Антивирус сравнивает файл с базой сигнатур известных вредоносов. Новый или модифицированный троян сигнатуры не имеет — детект нулевой. Поведенческий анализ (мониторинг того, что программа делает) работает лучше, но медленнее. По данным Kaspersky, FakeWallet-стилеры регулярно появляются в магазинах приложений именно потому, что код слегка меняется между версиями и проходит автоматические проверки.
Нет. Скан перед запуском ловит только известные сигнатуры. Часть вредоносов активируется не сразу: распаковывается позже, загружает вторичный пейлоад из сети или срабатывает через несколько дней. Безопаснее запускать незнакомые файлы в изолированной среде (виртуальная машина без доступа к кошелькам) или не запускать вовсе.
Частично. Ledger и Trezor подписывают транзакции внутри устройства — приватный ключ никогда не покидает чип. Но кейлоггер может подменить адрес получателя в буфере обмена, и пользователь отправит крипту атакующему, не заметив подмены. Поэтому адрес получателя всегда нужно сверять на экране самого аппаратного кошелька, а не в браузере.
Стилер — вредонос, который одноразово собирает данные и отправляет их атакующему: пароли из браузера, файлы кошельков, cookies сессий. Кейлоггер работает постоянно в фоне и пишет всё, что происходит на устройстве. На практике современные трояны совмещают оба механизма. Согласно исследованию на Habr, оба типа активно нацелены именно на криптопользователей из-за высокой ценности данных.
Смартфон не безопаснее по умолчанию. Kaspersky зафиксировал FakeWallet-стилеры в официальном App Store; Android-устройства ещё более открыты. Аппаратный кошелёк с физическим подтверждением транзакций безопаснее любого смартфона.
| Тип вредоноса | Как собирает данные | Типичный вектор заражения |
|---|---|---|
| Кейлоггер | Записывает нажатия клавиш и скриншоты в реальном времени | Пиратский софт, крэки, торренты |
| Стилер | Одноразово выгружает пароли браузера, файлы кошельков | Фишинговые приложения, поддельные сайты |
| Клипбординг-троян | Подменяет адрес кошелька в буфере обмена | Расширения браузера, пиратский ПО |
| FakeWallet | Имитирует интерфейс легитимного кошелька и крадёт seed | App Store / Google Play (поддельные приложения) |
| Критерий | Отдельное устройство только для крипты | Основной рабочий компьютер |
|---|---|---|
| Риск заражения через повседневные задачи | Минимальный — торренты и браузинг не ведутся | Высокий — любой скачанный файл потенциально опасен |
| Контроль установленного ПО | Полный — только кошельки и браузер | Ограниченный — много стороннего ПО |
| Стоимость решения | Б/у ноутбук от 15 000–25 000 ₽ | 0 ₽, но риски существенно выше |
| Удобство для активной торговли | Ниже — нужно переключаться | Выше — всё под рукой |
| Защита seed-фразы при вводе | Высокая (изолированная среда) | Низкая при наличии кейлоггера |
Торренты, крэки и «активаторы» — основной канал распространения стилеров и кейлоггеров. Если нужен пиратский контент — только на отдельном устройстве без кошельков.
Kaspersky, ESET или аналог с включённым эвристическим модулем. Поведенческий анализ ловит новые вредоносы без сигнатур. Отключать антивирус «для установки» — верный способ заразиться.
Перед подтверждением транзакции сверять адрес на дисплее Ledger / Trezor, а не в браузере. Клипбординг-троян подменяет адрес в интерфейсе, но не на экране самого устройства.
Seed вводится только при первоначальной настройке аппаратного кошелька офлайн. Любой сайт или приложение, требующее seed-фразу, — мошенничество.
Раз в неделю — полное сканирование. Незнакомый процесс с высокой нагрузкой на CPU или сетью в диспетчере задач — повод для расследования до следующего входа в кошелёк.
Смартфон не безопаснее по умолчанию. Kaspersky зафиксировал FakeWallet-стилеры в официальном App Store; Android-устройства ещё более открыты. Аппаратный кошелёк с физическим подтверждением транзакций безопаснее любого смартфона.
Да, обязательно. Если вредонос мог зафиксировать ввод seed-фразы или скопировать файлы кошелька — считайте её скомпрометированной. Создайте новый кошелёк на чистом устройстве и переведите активы туда до того, как удалите старый.
Помогает снизить риск, но не устраняет его полностью. Часть вредоносов определяет виртуальную среду и не активируется в ней. Виртуальная машина должна быть изолирована от хоста: без общих папок, без доступа к кошелькам на основной системе.
Налог возникает при получении дохода (продажа, обмен). Факт взлома и восстановления сам по себе не создаёт налогового события. Убытки от кражи крипты в РФ пока не признаются налоговым вычетом — законодательство в этой части не проработано.
Запустите полное сканирование антивирусом с актуальными базами, проверьте список запущенных процессов и автозагрузку (Autoruns для Windows). Если есть сомнения — переустановите систему с нуля перед любыми операциями с кошельками.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
