Безопасность Web3-кошельков: избегайте поддельных приложений-кошельков и смишинга

• Web3-кошельки необходимы для доступа к децентрализованному миру, но они являются одной из главных целей мошенников.
• Злоумышленники используют такие тактики, как смишинг (мошенничество через SMS или мессенджеры для кражи паролей, банковских данных и приватных ключей криптокошельков) и поддельные кошельковые приложения, чтобы похитить средства.
• Для защиты активов важно выбрать надежный кошелек, безопасно хранить сид-фразу, проверять подлинность сайтов и приложений, а также быть в курсе новых видов мошенничества.

Любое путешествие в мир децентрализованного интернета начинается с Web3-кошелька. Этот цифровой инструмент выполняет роль паспорта в экосистеме блокчейна, обеспечивая доступ к децентрализованным финансам, NFT и другим цифровым активам. Однако обладание Web3-кошельком — это не просто способ хранения активов, а гарантия того, что доступ к ним останется в ваших руках, независимо от обстоятельств.

Web3-кошелек подключает пользователя к блокчейну, позволяя управлять цифровыми активами и защищая их с помощью закрытых ключей и сид- фраз (обычно состоящих из 12 или 24 случайных слов). Это своего рода мост между физическим миром и цифровой вселенной, обеспечивающий безопасность и доступность средств.

В этой статье мы рассмотрим важность защиты сид-фраз и приватных ключей, разберем распространенные схемы мошенничества, направленные на владельцев Web3-кошельков, и дадим рекомендации по защите активов.

Почему важна защита seed фраз и закрытых ключей

Закрытые ключи и seed фразы — это ключи к вашему цифровому хранилищу. Потеряв их, вы можете навсегда утратить доступ к своим активам, а если они попадут в руки злоумышленников — средства будут украдены без возможности восстановления.

Мошенники постоянно разрабатывают новые способы компрометации кошельков и их seed фраз. Несмотря на схожесть мошеннических схем, они остаются весьма эффективными, особенно против неопытных пользователей. Осведомленность и соблюдение мер предосторожности — ключевые элементы защиты ваших цифровых активов.

Мошенничество с поддельными кошельками

Мошенники создают поддельные Web3-кошельки, дизайн которых полностью копирует интерфейс официальных приложений. Они используют доверие пользователей, предлагая:

1. Создание кошелька с заранее сгенерированной seed фразой.
   • Пользователь получает кошелек с якобы случайной seed фразой.
   • На первый взгляд кошелек работает корректно, и пользователь может внести на него средства.
   • Однако мошенник изначально имеет доступ к счету и моментально выводит средства, как только они поступают на кошелек.
2. Импорт существующего кошелька в мошенническое приложение.
   • Пользователь вводит свою настоящую seed фразу в поддельное приложение или сайт.
   • В результате мошенники получают полный доступ к активам и выводят средства без ведома владельца.

Опасность поддельных приложений

Фальшивые кошельки часто распространяются через сторонние магазины приложений. Пользователи скачивают их, полагая, что устанавливают официальное приложение, и подвергаются риску кражи данных. Как только жертва вводит сид-фразу или начинает использовать кошелек, злоумышленники получают доступ к средствам и похищают их.

Защититься от таких атак можно, загружая кошельки только из проверенных источников, внимательно изучая отзывы, а также проверяя детали разработчика и наличие сертификатов безопасности.

Смишинг: мошенничество через SMS

Как работает смишинг?

1. Маскировка. Жертва получает SMS с предупреждением о подозрительной активности, например о несанкционированном входе в систему или потенциальном взломе аккаунта. Эти сообщения кажутся пришедшими от провайдера и часто группируются с легитимными текстами из-за особенностей работы SMS-систем, создавая ложное ощущение подлинности. В сообщении жертву призывают связаться с указанным номером, чтобы «обезопасить» свой счет, что создает предпосылки для мошенничества.
2. Манипуляция и кража данных. Преступники предлагают жертве перевести средства на «безопасный» кошелек – созданный с помощью seed фразы, которую мошенники предоставляют сами. В некоторых случаях мошенник отправляет поддельную seed фразу кошелька по электронной почте. При ближайшем рассмотрении выясняется, что домен не совпадает с официальным адресом Trust Wallet. Или же мошенник сообщает начальную фразу прямо во время звонка или через другое sms-сообщение, которое будто бы исходит от провайдера и использует страх жертвы, предупреждая о надвигающемся риске для его средств. Утверждая, что предлагают помощь, они могут даже попросить жертву использовать программу для обмена экранами. Под этим предлогом мошенники проводят жертву через создание нового кошелька Web3, ложно уверяя, что это защитят их средства.
3. Потеря активов. Предоставленная жертвой seed фраза дает мошенникам полный доступ к этому «безопасному» кошельку. Полагая, что они создали свой собственный безопасный кошелек, жертвы переводят в него свои средства, но мошенники тут же перехватывают контроль. Пользователь остается при мысли, что он защитил свои средства, а на самом деле он передал их мошенникам.

Примеры реальных случаев

Смишинг с выдачей себя за Binance

Пользователь стал жертвой мошенничества, связанного с выдачей себя за представителя Binance, после того как связался с поддельным номером службы поддержки, предоставленным в сообщении, которое пользователь не запрашивал.

Мошенник, выдававший себя за сотрудника службы поддержки Binance, завоевал доверие пользователя, задавая вопросы, звучащие правдоподобно, например, о том, делился ли он данными учетной записи или вступал ли в подозрительные группы Telegram.

Поверив мошеннику как законному представителю Binance, пользователь следовал его инструкциям и получал доступ к новому кошельку Binance, используя seed фразу, предоставленную мошенником. Полагая, что новый кошелек безопасен, пользователь перевел на него средства, не подозревая, что он контролируется преступником. Это привело к полной потере всех переведенных средств.

Как защитить свой кошелек

• Храните seed фразу в надежном месте. Никогда не передавайте ее третьим лицам. Создавайте кошелек только через официальные платформы.
• Выбирайте надежный кошелек. Используйте кошельки с технологией многосторонних вычислений (MPC) или с поддержкой мультиподписи.
• Используйте аппаратные кошельки. Они обеспечивают максимальную защиту, так как закрытые ключи хранятся в автономном режиме.
• Проверяйте URL-адреса и приложения. Загружайте кошельки только из официальных источников и проверяйте их подлинность.
• Будьте в курсе новых угроз. Следите за обновлениями безопасности и схемами мошенничества через надежные источники.

Заключение

Web3-кошелек — это не просто инструмент, а ваш доступ к децентрализованному миру. Выбор безопасного кошелька — важный шаг, но еще важнее защитить свои закрытые ключи и seed фразы. Мошеннические схемы, такие как поддельные приложения и смишинг, нацелены на неопытных пользователей, поэтому бдительность и осведомленность помогут вам сохранить контроль над своими активами и избежать потерь.