«Ваша сессия истекла, войдите заново»: как журналистка потеряла 800 000 рублей из-за поддельного окна входа

«Ваша сессия истекла, войдите заново»: как журналистка потеряла 800 000 рублей из-за поддельного окна входа

В минувшую пятницу 29-летняя Анна из Санкт-Петербурга, финансовый журналист, писала статью о криптовалютных инвестициях. Она активно пользовалась децентрализованной биржей Uniswap, хранила там часть своих средств — около 800 000 рублей в различных токенах.

Она зашла на сайт Uniswap через браузер, как делала это сотни раз. Сайт открылся, всё выглядело привычно. Она подключила свой MetaMask, чтобы проверить баланс, и увидела всплывающее окно:

«Ваша сессия истекла. Пожалуйста, войдите заново для подтверждения безопасности».

Окно было стандартным — такое же, как у MetaMask при длительном бездействии. Анна, не задумываясь, ввела свой пароль от MetaMask.

Ничего не произошло. Окно закрылось, но баланс не загрузился. Анна обновила страницу, но сайт Uniswap вёл себя странно — тормозил, не показывал пулы ликвидности.

Через несколько минут она решила проверить свой кошелёк через другой сервис. Зашла в MetaMask, посмотрела баланс — 0. Все токены были выведены на неизвестный адрес.

Анна не могла поверить своим глазам. Она, финансовый журналист, которая сама писала о безопасности криптовалют, попалась на классический фишинг.

Позже, когда эмоции улеглись, она поняла, что произошло. Она зашла не на настоящий сайт Uniswap, а на его точную копию. Домен отличался на одну букву: uniswap.org вместо uniswap.org? Нет, это был uniswap-app.com. Визуально неотличимо, а в спешке она не заметила подмены.

Поддельное всплывающее окно не было окном MetaMask. Это была подделка, которая просто собирала пароли. Введя пароль, она дала мошенникам доступ к своему кошельку.

Как это произошло

Эта схема называется «Поддельный сайт DeFi-протокола» или «Фишинг через поисковики» . Мошенники создают точные копии популярных децентрализованных бирж и протоколов, а затем выводят их в топ поисковой выдачи через контекстную рекламу.

Шаг 1. Создание сайта-двойника

Мошенники копируют весь интерфейс популярного DeFi-протокола — Uniswap, PancakeSwap, Aave, Curve. Визуально отличить подделку от оригинала невозможно. Домен регистрируют максимально похожий: uniswap-app.com, uniswap.exchange, app-uniswap.org.

Шаг 2. Реклама в поисковиках

Мошенники покупают контекстную рекламу в Google и других поисковиках по ключевым словам: «Uniswap», «обменник криптовалют», «децентрализованная биржа». Их поддельный сайт появляется в топе выдачи выше официального. Жертва, не глядя на домен, переходит по первой ссылке.

Шаг 3. Поддельное окно входа

На поддельном сайте всё работает, как на настоящем, кроме одного: при попытке подключить кошелёк вылезает всплывающее окно, имитирующее запрос MetaMask на ввод пароля. Это окно — не MetaMask, это часть поддельного сайта.

Шаг 4. Кража пароля

Когда жертва вводит пароль, он уходит напрямую мошенникам. С этим паролем они могут разблокировать MetaMask жертвы (если он у неё установлен) или просто получить доступ к кошельку.

Шаг 5. Вывод средств

Получив доступ, мошенники выводят все средства на свои кошельки. Если у жертвы установлен аппаратный кошелёк (Ledger, Trezor), одного пароля недостаточно — нужно физическое подтверждение. Но большинство пользователей хранят средства в горячих кошельках, где пароль — единственная защита.

Почему сработало

1. Привычное действие. Анна подключала MetaMask к Uniswap сотни раз. Всплывающее окно с запросом пароля не вызвало подозрений — она привыкла, что MetaMask иногда просит пароль после перезагрузки браузера.
2. Реклама в поисковике. Поддельный сайт оказался выше настоящего в поисковой выдаче. Анна не проверила домен, потому что доверяла первой ссылке.
3. Качественная подделка. Сайт выглядел абсолютно идентично оригиналу. Даже опытный пользователь мог не заметить подмены.
4. Спешка. Анна торопилась проверить баланс перед написанием статьи. В спешке внимание к деталям снижается.

Как не стать жертвой

1. Никогда не переходите на DeFi-протоколы по рекламе

Вся реклама в поисковиках по криптовалютной тематике — это почти всегда мошенники. Легальные протоколы не нуждаются в рекламе, у них есть репутация и прямой трафик. Если вы видите рекламу Uniswap — это 100% подделка.

2. Сохраните официальные ссылки в закладках

Один раз найдите официальный сайт протокола (через официальные каналы: Twitter, Discord, GitHub) и сохраните его в закладках. Всегда заходите только по закладкам, никогда не вводите адрес вручную и не переходите по ссылкам из поиска.

3. Проверяйте домен до последней буквы

Официальный Uniswap — uniswap.org. Всё остальное (uniswap-app.com, uniswap.exchange, app-uniswap.org) — подделка.

Официальный PancakeSwap — pancakeswap.finance. Официальный Aave — aave.com.

4. MetaMask никогда не просит пароль на сайте

MetaMask просит пароль только при запуске расширения или приложения. Если всплывающее окно с запросом пароля появляется на сайте — это не MetaMask, это подделка. Закройте сайт немедленно.

5. Используйте аппаратный кошелёк для крупных сумм

Ledger, Trezor и другие аппаратные кошельки требуют физического подтверждения каждой транзакции. Даже если мошенники получат ваш пароль, они не смогут вывести средства без нажатия кнопки на устройстве.

6. Установите расширение-блокировщик фишинга

Существуют расширения для браузера (например, Pocket Universe, Wallet Guard), которые предупреждают о подозрительных сайтах и проверяют транзакции перед подписанием.

Что делать, если вы уже ввели пароль

1. Немедленно смените пароль MetaMask. Если вы успели это сделать до того, как мошенники вывели средства, есть шанс сохранить их.
2. Переведите все средства на новый кошелёк. Создайте новый кошелёк в MetaMask и переведите туда всё, что осталось. Старый кошелёк считается скомпрометированным.
3. Если средства уже вывели — обратитесь в официальную поддержку протокола и в полицию. Шансов вернуть криптовалюту почти нет, но это необходимо для статистики и блокировки мошеннических сайтов.
4. Экспортируйте приватные ключи и создайте новый кошелёк. Даже если вы сменили пароль, мошенники могли скопировать seed-фразу.

Как проверить сайт перед подключением кошелька

Перед тем, как подключить кошелёк к любому DeFi-протоколу, задайте себе три вопроса:

1. Откуда я взял эту ссылку? Если из рекламы, из сообщения, из незнакомого источника — не переходите.
2. Какой домен? Официальный домен короткий и известный. Если есть лишние слова — подделка.
3. Что говорит сообщество? Зайдите в официальный Twitter, Discord или Reddit протокола. Если там есть предупреждения о фишинговых сайтах — вы попали на подделку.

Почему даже эксперты попадаются

Анна — финансовый журналист, она пишет о криптовалютах, знает про безопасность. Но мошенники сыграли на двух вещах:

1. Автоматизм. Подключение MetaMask к Uniswap — это действие, которое она выполняла автоматически, не задумываясь. Мошенники воспользовались этим рефлексом.
2. Доверие к поисковикам. Анна привыкла, что первая ссылка в Google — это официальный сайт. Но Google продаёт рекламу мошенникам, не проверяя их.

Друзья, это одна из самых распространённых схем в криптовалюте. Мошенники покупают рекламу в поисковиках, создают идеальные копии сайтов и ждут, когда вы введёте пароль. Пожалуйста, перешлите этот пост всем, кто работает с DeFi.

А вы сталкивались с поддельными сайтами Uniswap или PancakeSwap? Может быть, тоже видели рекламу в поисковиках? Делитесь в комментариях — это предупредит других.

Подпишитесь на канал, чтобы не пропускать новые разоблачения.

#мошенники #криптовалюта #uniswap #metamask #defi #фишинг #безопасность #обман