Фішингові пастки на X: як хакери крадуть ваші шифрувальні активи (з переліком заходів захисту)

Нещодавно X знову потрапив у неприємності. На початку 2024 року, Хакер атакував офіційний рахунок MicroStrategy, підробивши Аірдроп MSTR, в результаті чого було викрадено понад 1000 ETH (близько 440 тисяч доларів). Це не поодинокий випадок — монета SQUID, фальшиві Аірдропи, Гаманець排幹機(wallet drainer)…… ці слова почали часто з'являтися у випадках крадіжок.

Як хакер підлаштовує пастки

Схема дуже проста:

Перший крок: зареєструвати фейковий акаунт, наслідуючи відомих особистостей або проекти. Ім'я, аватар, стиль публікацій повинні бути максимально схожими на справжні.

Другий крок: Опублікувати привабливі обіцянки — безкоштовний Аірдроп, обмежені переваги, гарантоване стрімке зростання… в комплекті з рибальським посиланням.

Третій крок: жертва переходить за посиланням, щоб підключити гаманець або підписати контракт, приватний ключ/дозвіл викрадено. Ось і все.

Чому криптоактиви особливо легко красти? Причин три:

1. Транзакція незворотна——якщо переказ у блокчейні підтверджено, кнопки скасування немає, поліція також не зможе повернути.
2. Висока анонімність——Хакерам важко бути відстеженими, вартість правопорушень низька
3. Новачки легко можуть бути обмануті — занадто багато людей не розуміють приватних ключів, авторизації та контрактів.

Додавши психологію FOMO та бажання швидкого збагачення, успішність хакерів вражає.

Як ти можеш ідентифікувати?

Основні 5 пунктів:

1. Уважно перевірте URL — зміна однієї літери в доменному імені (microstralegy.com проти microstrategy.com) 99% людей не помітять. Аномальні доменні розширення (.xyz .top), дивні піддомени, слова “support” “bonus” “airdrop” викликають підозру. Якщо не впевнені, просто пошукайте в Google.

2. Перевірте якість аккаунта — новий аккаунт, всі підписники — роботи, раптово починає відправляти спам — це все червоні прапори. Не дайте себе обманути синьою галочкою, тепер синю галочку можна купити.

3. Такі хороші речі не існують — З неба не падає кілька десятків тисяч доларів монет? Не існує. Справжні проекти не змушують вас підключати гаманець до підозрілих сайтів.

4. Зверніть увагу на часові пастки та орфографічні помилки — “залишилось лише 24 години!” “кількість обмежена!” — це все намагається змусити вас імпульсивно зробити покупку. Також слід бути обережними зі змішаною граматикою та відсутніми літерами.

5. Завжди перевіряйте через офіційні канали — краще потрудитися, ніж довіряти незнайомим посиланням. Вводьте URL вручну, перевіряйте офіційний сайт, підтверджуйте сертифікацію в соціальних мережах.

Практичне рішення для захисту

Психологічний рівень: Виробити звичку сумніватися. Історії про швидке збагачення – це отрута.

Рівень дії：

• Встановлення розширення браузера для захисту від фішингу
• Зберігайте великі активи в апаратному гаманеці
• Не кладьте всі яйця в одну кошик

Знання: Розуміння основної логіки блокчейну, приватних ключів, смарт-контрактів. Чим більше ви знаєте, тим менша ймовірність бути обманутим.

Громадський рівень: виявивши фішинговий номер, повідомляйте про нього. Це колективний захист.

Останнє

X вже став полем полювання для криптохакерів. Але якщо ти пам'ятатимеш — добрі справи не приходять раптово, перевірка завжди не завадить, знання — найкраща броня — ти зможеш жити безпечніше.

У криптовому світі немає шляху назад, кожен клік потрібно робити обережно. Ваші активи може захистити тільки ви.