Фішинг у криптовалютах: схеми, ознаки, захист

Як часто ви отримуєте email від криптобірж? З майже стовідсотковою ймовірністю можна стверджувати, що вам регулярно «прилітають» різноманітні промо-пропозиції. Маркетинговий спам дратує, але це не проблема, і зазвичай усе легко вимикається в налаштуваннях облікового запису. 

Трейдер, трохи занепокоєний (все ж півмільйона на кону), переходить за посиланням з листа на сайт, який виглядає точнісінько, як справжній Binance — той самий інтерфейс, ті самі кольори. Він вводить логін, пароль, код 2FA з телефону. Система «обробляє запит» кілька секунд… і все ок — «доступ відновлено». Трейдер видихає з полегшенням і заспокоєно згортає вкладку сайту.

Він навіть уявить не може, що його криптогаманець вже порожній.

Понад $500,000 зникли за ніч. Десятки транзакцій на незнайомі адреси, які, своєю чергою, здійснюють транзакції на адреси криптомікшерів. Звісно, далі буде звернення до кіберполіції, буде кримінальне провадження, розшук кіберзлочинців… але гроші зникли. Безповоротно. Назавжди.

На щастя, це вигадана історія. Але схожі ситуації реально трапляються майже щодня і в слідчих кіберполіції в провадженні знаходяться тисячі реальних випадків криптофішингових шахрайств.

Криптофішингове шахрайство: що це та як це працює? Розглянемо приклад із нашим уявним трейдером. У листі, який він отримав начебто від «служби безпеки Binance», була маленька відмінність між справжнім сайтом Binance і фейковим. Одна зайва літера в домені: binanncе.com замість binance.com коштувала півмільйона доларів.

Уявіть собі, у 2024 році через фішингові атаки в криптосфері постраждало понад 330 тисяч користувачів на суму близько $500 млн, а загальні втрати від криптошахрайств (включно з фішингом) у 2024 році оцінюються в $12 млрд. Насправді сума може бути значно більшою, бо багато хто просто не хоче зізнаватися, що їх ошукали, або думає, що вже нічого не можна зробити.

Найгірше те, що фішинг — це досі головна причина втрати крипти. Він навіть обійшов зламані біржі та діряві смартконтракти! Шахраям не треба возитися з блокчейном, вони просто полюють на Вас — на вашу неуважність, довірливість, жагу до швидкого збагачення або страх щось втратити.

Виходить, що прості психологічні трюки працюють краще за будь-які хакерські штучки. Поки всі в криптоіндустрії вигадують суперскладні системи захисту, шахраї просто пишуть: введіть свою seed-фразу сюди для перевірки, і люди їм вірять!

У цій статті ми детально розберемо, що таке той криптофішинг, як саме дурять людей зараз, як не потрапити на гачок і що робити, якщо вас уже ошукали.

Що таке криптофішинг і чому він такий ефективний

Криптофішинг — це коли злодії прикидаються крутими криптосервісами, щоб виманити ваші секретні ключі, паролі або змусити Вас підписати якусь дурницю.

Здається, нічого особливого, як звичайний фішинг банківських карток. Але є дещо, що робить його дуже небезпечним.

Чому фішинг у криптовалютах особливо небезпечний?

• Необоротність транзакцій

Якщо у вас вкрали крипту, то все, кінець. Немає до кого подзвонити та сказати: Поверніть мої гроші!. Блокчейн просто робить те, що йому кажуть.

• Анонімність працює проти жертви

Приватність, яку всі так люблять у криптовалютах, допомагає шахраям ховатися. Відстежити транзакцію можна, але знайти того, хто за цим стоїть, майже нереально.

• Відсутність регулювання

Більшість криптопроєктів не страхують гроші користувачів. Якщо ви віддали доступ до свого банківського рахунку або криптогаманця — відповідальність несете тільки ви.

• Складність для новачків

Крипта — це як джунглі з купою незрозумілих слів, дивних програм і різних мереж. Новачки часто губляться і не розуміють, що роблять: що підписують та кому дозволяють доступ до крипти. Ну, а шахраї тільки цього й чекають.

• Жадібність і FOMO

Безплатно роздаємо $1,000 за реєстрацію!, Стейкінг під 125 % річних!, Тільки сьогодні крутезний NFT із супер знижкою! — такі повідомлення ми бачимо постійно в соцмережах, бо в більшості користувачів історично склався такий стереотип, що в криптоіндустрії начебто гроші сиплються з неба. А де великі гроші, там завжди крутяться шахраї, які не сплять і шукають собі чергову жертву.

Хто стає жертвами

Хто сказав, що на фішинг криптовалют попадаються лише новачки? Дарма!

На гачок можуть потрапити будь-хто:

• Бувалі інвестори з крутими портфелями (як у тій історії на старті)
• Програмісти та інші технарі (ламають, навіть, їхні робочі інструменти)
• Власники NFT та колекціонери (через липові барахолки)
• Трейдери (на фейкових ботів і сигнали)
• Навіть працівники криптокомпаній (через фішинг у LinkedIn)

Мета зловмисників

Що саме намагаються вкрасти криптофішингові шахрайства?

• Seed-фраза (12/24 слова) — це головний ключ від вашого криптогаманця. Хто має цей ключ, той і гроші забирає!
• Приватні ключі — це ще один спосіб зайти в конкретний гаманець, як альтернатива seed-фразі.
• Паролі від бірж — це, як ключ до сейфа, де лежать усі ваші криптоактиви на різних платформах.
• Підпис дивної транзакції — тут треба бути уважним! Може здаватися, що ви просто підписуєте щось просте, типу створення NFT, а насправді — даєте дозвіл на виведення всіх своїх токенів із гаманця без обмежень.

Як розпізнати криптофішингову атаку?

Найкращий захист — це вміння розпізнати атаку до того, як стане пізно. Ось основні ознаки, що перед вами фішинг у крипто.

Ознаки крипто фішингу

Підозріла URL-адреса

Це найпоширеніша та найпростіша для перевірки ознака. Шахраї реєструють домени, які виглядають майже ідентично справжнім:

• unisvvap.com замість uniswap.com (подвійна «v» замість «w»)
• metamask-wallet.io замість metamask.io (додане слово)
• binancе.io замість binance.com (інший домен)
• trust-wallet.com замість trustwallet.com (додана риска)
• binace.com замість binance.com (пропущена «n»)

Як розпізнати криптофішингові шахрайства?

Терміновість і тиск

Шахраї використовують штучну терміновість або розганяють паніку, щоб ви діяли на емоціях, не перевіряючи інформацію:

• ваш гаманець заблокують за дві години!
• Сьогодні останній день, щоб вхопити халявний airdrop!
• Зафіксовано підозрілу активність, треба негайно підтвердити дані!
• Усього 50 місць на попередній продаж!

Справжні команди дають час на роздуми.

Занадто хороші пропозиції

Якщо пропонують щось дуже вигідне, то скоріше за все, це обман:

• Примножимо ваші Ethereum вдвічі за добу!
• Отримайте безплатний airdrop на 10 000 доларів — просто під’єднайте гаманець!
• Ілон Маск роздає біткоіни — тисніть сюди!

У світі криптовалют не буває легких грошей від незнайомців.

Незапитані повідомлення

У Telegram раптом MetaMask Support шле повідомлення, хоча ви їх не кликали? Або Binance Security Team пише на пошту про проблеми, яких у вас немає? Ще й адмін проєкту в Discord особисто пропонує щось цікаве?

Справжні сервіси першими в приват ніколи не пишуть. Якщо щось серйозне — ви побачите сповіщення в додатку або в особистому кабінеті.

Запит seed-фрази або приватних ключів

Пам’ятайте, раз і назавжди: жодна реальна платформа ніколи не питатиме вашу seed-фразу.

Забудьте про:

• Підтвердження особистості
• Повернення доступу
• Оновлення версії
• Бонус за участь

Якщо хтось виманює seed-фразу — це 100 % аферисти. Без варіантів.

Граматичні помилки та дивний дизайн

Навіть якщо фішингові сайти виглядають круто, є кілька речей, які можуть видати їх:

• Помилки в словах або граматиці.
• Коли переклад злетів із глузду (якщо сайт має кілька мов).
• Логотипи та картинки виглядають дешево.
• Не ті кольори або шрифти.
• Немає посилань на сторінки в соцмережах або контакти.

Обов’язково звертайте увагу на оформлення та стилістику сайтів. Наявність недоліків може вказувати на те, що перед вами сайт-підробка.

Підозрілі дозволи при підключенні гаманця

Коли ви під’єднуєте ваш гаманець до DeFi чи NFT, будьте пильними, як ніколи!

• Чи не забагато хоче той сайт? Раптом йому замало просто доступу до якихось токенів, і він лізе до всіх?
• Чи не списує він гроші відразу після підключення?
• Адреса смартконтракту — точно та, що треба?

Завжди перевіряйте, що саме ви підписуєте гаманцем.

Як протидіяти та уникнути фішингу в крипто?

Перевіряйте все двічі

Перш ніж щось вводити чи підписувати:

• Переконайтеся, що сайт справжній, звіривши адресу з офіційним сайтом.
• Пошукайте в Google по запитах: [назва проєкту] шахрайство або [назва проєкту] фішинг.
• Зазирніть в офіційні соцмережі. Раптом там є попередження!
• Ретельно перевіряйте адреси крипто гаманців на які робити перекази. Шахраї часто перехоплюють дані у буфері та використовують підроблені фішингові крипто гаманці.

Використовуйте офіційні джерела

Посилання на сайти беріть тільки з:

• Офіційного Twitter/X проєкту (перевірте галочку верифікації)
• CoinMarketCap або CoinGecko (там є посилання на офіційні сайти)
• Закладок у вашому браузері

Не поспішайте!

Якщо на вас тиснуть, щоб ви діяли швидко, знайте — це може бути шахрайство!

• Спочатку перевірте інформацію.
• Уточнюйте все в офіційних джерелах проєкту.
• Поговоріть із тими, хто вже має досвід у цій справі.

Використовуйте окремий гаманець для експериментів

Заведіть «тестовий» гаманець із мінімальною сумою для підключення до нових DeFi-протоколів, mint NFT тощо. Якщо щось піде не так — втратити небагато.

Регулярно перевіряйте дозволи

Хочете переконатися, що ваші токени в безпеці? Тоді вам варто зазирнути на Revoke.cash. Там ви зможете побачити, яким смартконтрактам ви колись дали доступ до своїх коштів і, якщо треба, швиденько цей доступ припинити. Бо знаєте, буває, що ви вже й забули про якийсь сайт, а він досі має права на ваші токени. Краще перевірити зайвий раз, ніж потім шкодувати!

Поширені схеми криптофішингу

Начебто, ви вже трохи розібралися, тож давайте перейдемо до конкретних шахрайських схем, з якими можна зіткнутися. Нові способи обману вискакують постійно, але ці старі перевірені часом, тому будьте пильні!

Фішингові сайти-клони бірж та гаманців

Шахраї роблять фейкові копії популярних криптосайтів, як Binance чи MetaMask. Усе виглядає точно як оригінал. Потім вони розкидають посилання на ці підробки через рекламу в Google, неправдиві новини, коментарі в соцмережах, і навіть SMS та email. Ви заходите на фішинговий сайт, заповнюєте логін і пароль (або seed-фразу для відновлення гаманця) — і ці дані миттєво потрапляють до шахраїв. Усе, ваші дані вже в їх руках! Злочинці швиденько заходять на справжній сайт і виводять звідти всі ваші гроші. Будьте пильні!

Атаки ботів на сайти чи системи OTP

Навіть якщо адреса сайту чи email відправника виглядають справжніми та належать відомому сервісу, це не привід розслабитися та не пильнувати. Можливо, що саме зараз на цю платформу йде хакерська атака або атака ботів. Яскравий приклад — фішингова електронна пошта crypto.com. У 2025 році відбулася масована атака на систему одноразових паролів (OTP) платформи Crypto.com. Люди отримували листи від [email protected] з кодами підтвердження, хоча ніколи там не реєструвалися. У листі писали: "Не ви робили запит? Тоді зв'яжіться з нами" і давали посилання на chat.crypto.com. Таким чином, шахраї намагалися створити фейкові акаунти на чужі email, розсилаючи тисячі запитів на OTP-коди.

Poisoned Ads — отруєнні рекламні посилання

Poisoned Ads — це коли шахраї платять Google, Bing чи соцмережам, аби їхні фішингові сайти вискакували в пошуку вище справжніх.

Чому це працює? Бо люди звикли довіряти пошуковикам, а Google просто бере гроші за рекламу, не перевіряючи сайти.

Приклад: шукаєте Uniswap, а перша реклама веде на unisvvap.com. Підміну непомітно, бо все виглядає, як справжнє.

Фейкова підтримка в соцмережах

Уявіть, ви пишете у X, Reddit або Discord про проблему з Binance, та через хвилину вам відповідає начебто підтримка в особисті повідомлення: Давайте розв’яжемо питання з виведенням, скидайте код 2FA сюди!

Мить — і ви втрачаєте купу грошей.

Чому їм вірять? Бо копіюють аватарки, імена, пишуть грамотно і знають деталі вашої проблеми.

Щоб не попастись:

• Не відповідайте на особисті повідомлення підтримки.
• Перевіряйте галочку верифікації.
• Пишіть у підтримку тільки через офіційний сайт або додаток. Справжня підтримка першою в особисті не пише.

NFT та Airdrop-фішинг

Отримали повідомлення: «Гей! вам пропонують 5 тисяч токенів ProjectX, і для цього треба під'єднати гаманець?». Обережно! Це може бути пастка!

Схоже на звичайну пропозицію, але насправді це фішинг. Під виглядом підтвердження вони крадуть ваші криптоактиви.

Пам’ятайте, безплатний сир буває тільки в мишоловці!

Компрометація програмного забезпечення та розширень

Фішинг з ПЗ це більш технічна, але надзвичайно небезпечна схема.

Шкідливі браузерні розширення:

Підроблені версії MetaMask, Phantom, Trust Wallet у магазинах розширень. Вони виглядають ідентично справжнім, мають схожі назви, але містять шкідливий код, який:

• Перехоплює seed-фразу при створенні або відновленні гаманця
• Підміняє адреси одержувачів у транзакціях
• Крадуть дані для входу на біржі

Зламані бібліотеки та пакети:

Шахраї завантажують в npm, PyPI або інші репозиторії пакети з назвами, схожими на популярні (typosquatting):

• web3.js → web3js (без крапки)
• ethers.js → etherjs

Розробники випадково встановлюють підроблений пакет — і шкідливий код потрапляє в їх проєкт, крадучи приватні ключі користувачів.

Оновлення з фішингових сайтів:

Критичне оновлення MetaMask доступне. Завантажте зараз за посиланням — такі повідомлення приходять email або з’являються на фішингових сайтах.

Фальшиві пропозиції роботи та «інсайди»

Отримали пропозицію роботи в LinkedIn від крутої криптофірми? Зарплата $150k і цікавий проєкт? Звучить класно, але обережно! Завантаживши файл із тестовим завданням, можна зловити троян, який викраде ваші криптоактиви.

Хтось злив інсайд або інформацію про партнерство, після якого токен начебто злетить у космос? Не поспішайте купувати на підозрілій DEX — ризикуєте втратити все.

Як не потрапити?

• Оцініть профіль рекрутера. Чи давно він в LinkedIn? Чи багато в нього зв’язків?
• Перевірте компанію на шахрайство в Google.
• Ніколи не завантажуйте файли від невідомих.

Повідомлення про «підозрілу активність»

Це класичний метод соціальної інженерії, адаптований для криптосфери.

Наприклад, ви отримали підозрілий email чи SMS про вхід у Binance з китайської IP-адреси або про термінову синхронізацію MetaMask? Ігноруйте! Не ведіться на пропозиції зберегти seed-фразу в хмарі або ввести її на будь-якому сайті. Шахраї грають на вашому страху втратити гроші.

Що робити, якщо ви отримали такі повідомлення?

• Ігноруйте такі повідомлення.
• Ніколи не переходьте за посиланнями із повідомлень
• Перевірте офіційний додаток — там буде реальне попередження, якщо проблема існує.
• Вводьте seed-фразу ТІЛЬКИ при відновленні гаманця в самому додатку.

Що робити, якщо ви стали жертвою

Вас атакують, що робити?

1. Небезпечно використовувати скомпрометований фішинговий крипто гаманець. Швидко перекиньте все на новий гаманець! Час — гроші! Створіть новий гаманець із новою фразою та миттєво переведіть туди всі свої криптоскарби, кожен токен і NFT. Шахраї не дрімають, їхні боти вистежують жертв. Рахунок йде на секунди!
2. Відкличте всі дозволи! Зайдіть на Revoke.cash чи Etherscan (для Ethereum) і відкличте всі-всі дозволи для смарт контрактів. Трохи витратити на газ, але зате врятуєте решту.
3. Змініть паролі всюди! Якщо ви всюди ставили один і той же пароль, то зараз саме час усе поміняти на всіх криптобіржах типу Binance, Coinbase, Kraken і на всіх інших платформах.
4. Якщо ви використовували SMS, перейдіть на автентифікатор або апаратний ключ.
5. Підозрюєте фішингове або зловмисне ПЗ? Знешкодьте його! Видаліть дивні розширення в браузері, запустіть антивірус на комп’ютері (Malwarebytes, ESET NOD32). Знесіть підозрілі програми зі смартфона. Якщо все дуже погано — перевстановіть операційну систему.
6. Перевірте всі ваші гаджети, де є криптогаманці: комп’ютери, телефони, планшети. Шкідливе ПЗ має можливість «перескакувати» між пристроями.
7. Зверніться до біржі (якщо викрали звідти)! Зразу пишіть у підтримку через офіційний сайт: опишіть, що сталось, і попросіть заморозити акаунт та все розслідувати. Можливо, вони встигнуть зупинити шахраїв.
8. Зафіксуйте всі докази/ Збережіть усе, що є! Зробіть знімок з екрана фішингового сайту (адреса, вигляд), транзакцій (хеші, адреси), повідомлень від шахраїв, email, SMS. Це треба для поліції (хоча повернути гроші навряд вдасться) та щоби попередити інших.

Мінімізація наслідків криптофішингу

• Чи можна повернути вкрадені кошти?

Правду кажучи, найчастіше повернути вкрадене з блокчейну неможливо, бо там немає кнопки назад. Але іноді шанс є.

• Якщо злодії використовують біржу

Є варіант, що вкрадені гроші засвітяться на великих біржах, як Binance чи Coinbase. Тоді треба одразу повідомити біржу про шахрайську адресу, попросити заморозити кошти й надати докази, що це крадіжка. Великі біржі зазвичай допомагають поліції та можуть заблокувати рахунки злочинців.

• Якщо вкрали багато

Коли сума сягає сотень тисяч, варто найняти компанію, що розслідує блокчейн-злочини (наприклад, Chainalysis), заявити в поліцію та співпрацювати з міжнародними агентствами (Інтерпол, ФБР). Можна ще й винагороду запропонувати за корисну інформацію.

• Білі хакери

Буває, що хакери зламують систему, щоби показати її слабкі місця, а потім повертають гроші. Але це трапляється рідко.

Висновок

Захист крипти — це більше про пильність, а не про технічність. Блокчейн — міцний горішок, а от людська неуважність — це справжня біда.

Щоб зберегти ваші гроші:

• Нікому не показуйте seed-фразу. Ніколи! Навіть, якщо обіцяють плюшки чи лякають проблемами. Seed-фраза — це ваш суперскарб.
• Дивіться на URL сайтів! Одна зайва літера — і ви втратили все. Уважність понад усе!
• Краще — закладки, ніж пошук. Шахраї купують рекламу, щоби підсунути фейкові сайти першими.
• Дуже щедра пропозиція — це обман. Безплатний сир тільки в мишоловці.
• Сумніваєтеся — перевірте двічі. Навіть офіційне повідомлення є сенс самостійно перевірити на офіційному сайті.