Добавить в корзинуПозвонить
Найти в Дзене
TON Adoption
80 подписчиков

Социальная инженерия в Telegram крипто-чатах 2026

10 мин
Технический фишинг в TON хорошо изучен: drainer-контракты, поддельные домены, мини-аппы под “tap-to-earn”. Менее обсуждаемая, но более прибыльная для атакующего часть индустрии — социальная инженерия. Это работа не с интерфейсом, а с человеком: с его страхом, доверием, одиночеством, желанием карьерного шанса. В Telegram она особенно эффективна, потому что мессенджер размывает границу между личным и финансовым контекстом. Этот гайд — полевой разбор пяти тактик, которые мы видим в крипто-чатах TON прямо сейчас. Логика проста: эффективность атаки = охват × конверсия / стоимость акта. Telegram оптимизирует все три переменные одновременно. Охват. Публичные крипто-чаты на 10-100 тысяч участников открыты для скрейпинга username-ов. Атакующий собирает базу за один прогон через API, фильтрует по активности в “скам-релевантных” чатах (DEX, NFT, мини-аппы) и получает таргет-лист — обычно несколько тысяч username на одну кампанию. Конверсия. Сообщение от человека, а не от баннера, проходит фильтр
Оглавление

Социальная инженерия в Telegram крипто-чатах 2026

Технический фишинг в TON хорошо изучен: drainer-контракты, поддельные домены, мини-аппы под “tap-to-earn”. Менее обсуждаемая, но более прибыльная для атакующего часть индустрии — социальная инженерия. Это работа не с интерфейсом, а с человеком: с его страхом, доверием, одиночеством, желанием карьерного шанса. В Telegram она особенно эффективна, потому что мессенджер размывает границу между личным и финансовым контекстом. Этот гайд — полевой разбор пяти тактик, которые мы видим в крипто-чатах TON прямо сейчас.

TL;DR

  • Фейковая поддержка кошелька пишет первой и всегда — это признак скама, легитимный support не инициирует переписку.
  • Романтические скамы (pig butchering) — самая дорогая категория по средней сумме потери, заход через долгое знакомство.
  • Имперсонация админа использует кириллические look-alike символы в username и копирует аватар и display name.
  • Job offer от “крипто-рекрутера” заканчивается просьбой “протестировать наше приложение” — это всегда drainer.
  • “Эксклюзивный NFT-подарок” в Telegram-стикере с ссылкой в описании — фишинг 2025-2026 года, новый вектор.

Почему Telegram — самый эффективный канал для крипто-скама

Логика проста: эффективность атаки = охват × конверсия / стоимость акта. Telegram оптимизирует все три переменные одновременно.

Охват. Публичные крипто-чаты на 10-100 тысяч участников открыты для скрейпинга username-ов. Атакующий собирает базу за один прогон через API, фильтрует по активности в “скам-релевантных” чатах (DEX, NFT, мини-аппы) и получает таргет-лист — обычно несколько тысяч username на одну кампанию.

Конверсия. Сообщение от человека, а не от баннера, проходит фильтр недоверия на порядок легче. В Telegram нет визуальной разницы между сообщением от друга и от скаммера — тот же интерфейс, тот же шрифт, та же кнопка “ответить”. Когда жертва открывает диалог, она уже наполовину вовлечена.

Стоимость. Telegram-аккаунт на виртуальном номере стоит 1-3 доллара, баны откатываются пачками. Один оператор ведёт десятки параллельных диалогов через CRM-надстройки. На фоне условного $50 за один Google Ads клик — Telegram это бесплатное золото для атакующего.

Добавь сюда то, что у жертвы кошелёк уже встроен в мессенджер (Wallet, TON Connect-сессии), и схема замыкается: от первого контакта до подписи транзакции — три тапа и пять минут.

Тактика 1: фейковая поддержка кошелька (DM, “верификация”)

Жертва жалуется в публичный чат проекта на проблему — застряла транзакция, не отображается баланс, не подключается TON Connect. Через 30-90 секунд в личку прилетает сообщение с display name “Tonkeeper Support” или “Wallet Help Desk”, username вроде @tonkeeper_support_help, аватар — официальный логотип проекта.

Аккаунт предлагает помочь “прямо сейчас” и просит одно из двух:

  1. Ввести seed-фразу в “защищённую форму восстановления” по ссылке, которая ведёт на сайт-клон.
  2. Открыть “ремонтный мини-апп” — он запрашивает TON Connect на drainer-контракт и сразу списывает балансы.

В обоих случаях операция занимает у атакующего меньше двух минут.

Как распознать. Легитимная команда поддержки никогда не инициирует переписку первой. Tonkeeper, MyTonWallet, Tonhub, Wallet в Telegram — все они работают только через свои публичные каналы поддержки, и только после того, как ты сам пришёл с тикетом. Любое “support” в личке без твоего предварительного запроса в их канале — гарантированно скам.

Как реагировать. Block + Report — без диалога. Не пиши “вы не настоящие”. Не пробуй “проверить” их вопросами. Любое взаимодействие подтверждает, что username активный, и аккаунт уходит в платный список для следующей кампании.

Что НЕ делать. Не пересылай переписку публично без редактирования — твой username и упоминания твоих кошельков попадут в скам-листы. Не нажимай “доказывающие” ссылки от скаммера, даже из любопытства — некоторые ссылки фингерпринтят устройство до клика.

Тактика 2: dating-funnel и pig butchering

Sha zhu pan — китайское название схемы, дословно “разделка свиньи”. Жертву “откармливают” доверием и эмоциональной привязанностью, прежде чем “забить” — единым крупным выводом средств.

Стандартный сценарий длится 3-12 недель.

Неделя 1. Знакомство в Telegram — через random crypto-chat, knowledge group или “случайно ошибся номером” в личке. Аккаунт хорошо прогретый: реальные фото профиля, история сообщений, иногда даже Premium-подписка.

Неделя 2-4. Постепенное углубление контакта. Скаммер делится “личной историей”, показывает фото жизни, иногда подключает голосовые. Криптовалюта впервые упоминается мимоходом — “мой дядя в Гонконге работает на бирже”, “случайно заработала на DeFi”.

Неделя 5-8. “Эксклюзивная” платформа. Жертве показывают приложение или сайт, на котором “семья партнёра” делает 5-15% в неделю на DeFi-стейкинге TON или USDT. Это всегда фейк с фейковым UI, где числа крутятся в браузере. Первый депозит на $50-200 — выводится без проблем (это часть скрипта).

Неделя 9-12. Увеличение ставок. Жертве предлагают занять денег, заложить квартиру, взять кредит. Финальный депозит уходит в десятки тысяч долларов и обратно не возвращается. Партнёр исчезает в течение 24-48 часов.

По Chainalysis 2025, это самая дорогая категория крипто-скама по средней сумме потери на жертву — десятки тысяч долларов против $1-3 тыс. в обычном фишинге.

Как распознать. Любой человек, познакомившийся с тобой онлайн и за 2-8 недель переведший разговор на инвестиции в крипту, — стоп-сигнал. Любая платформа с “эксклюзивной доходностью”, о которой не пишут ни DeFiLlama, ни TON Foundation, — фейк. Любой первый успешный вывод средств — это часть сценария, а не доказательство легитимности.

Что НЕ делать. Не переводи никаких сумм для “теста” — пусть партнёр платит сам. Не показывай ему свои реальные финансы. Не публикуй адреса кошельков в любом контексте, даже если “это просто чтобы я тебе вернул”.

Тактика 3: имперсонация админов (cyrillic lookalike usernames)

В крупном крипто-чате модератор пишет правила или комментирует обсуждение. В этот момент атакующий, который сидит в чате как обычный участник, активирует свой подготовленный аккаунт.

Подделка использует один из трёх трюков:

Cyrillic lookalike. Латинская a заменяется на кириллическую а. Username @admin_tonkeeper визуально неотличим от @аdmin_tonkeeper, где первая а — кириллическая. Telegram это допускает, потому что username нечувствителен только в пределах одного скрипта.

Hidden character. Внутри username — невидимый символ Unicode (zero-width joiner). Визуально не виден, но username технически другой.

Display name clone. Под нечитаемым username — display name “Admin | Tonkeeper” с тем же аватаром, что у настоящего модератора.

После активации фейк пишет в личку участникам чата с “продолжением обсуждения” и предлагает “решение” — обычно одну из тактик 1 (фейк-саппорт) или 4 (job offer).

Как распознать. Telegram показывает в шапке профиля username с символом @. Скопируй его и сравни посимвольно с username реального админа из публичного канала. Если хоть один символ отличается — фейк. Дополнительно: настоящие админы крупных проектов почти никогда не пишут участникам чатов в личку первыми.

Что НЕ делать. Не нажимай ссылки и не подключай кошельки на основании того, что “это сказал админ в личке”. Если сомневаешься, выйди в публичный чат проекта и спроси открыто — настоящий админ ответит публично.

Тактика 4: job offer scam (recruiter → test app → drainer)

В личку приходит “рекрутер” из криптокомпании. Иногда аккаунт похож на legitimate HR в LinkedIn-стиле, иногда представляется как Head of Talent в Telegram-нативном проекте. Предложение всегда выглядит щедро: удалённая работа, $4-8 тыс. в месяц, минимальные требования, “потому что мы быстро растём”.

Воронка занимает 3-7 дней.

День 1. Контакт + резюме job-описания. Запрос на короткий созвон или текстовое интервью.

День 2-3. “Интервью”. Технические вопросы упрощены до уровня “вы понимаете blockchain в общих чертах?”. Жертва расслабляется.

День 4-5. “Тестовое задание”. Просят либо клонировать GitHub-репозиторий и запустить скрипт (с trojanized package.json), либо протестировать “нашу новую крипто-приложение для пользователей” — мини-апп или web-сайт. Тестовое требует подключения кошелька “для проверки UX”.

День 6-7. Подключение кошелька = подпись drainer-транзакции. После этого “рекрутер” не отвечает или говорит “к сожалению, вы нам не подходите”.

Вторая вариация — направленная на разработчиков. Запускается заражённый локальный код с npm-зависимостями, которые крадут seed-файлы из MetaMask, browser-сохранённые сессии и сразу качают кошельки.

Как распознать. Реальный crypto-рекрутинг работает через LinkedIn, AngelList, специализированные джоб-борды (Crypto Jobs List, Web3 Career). Telegram-only найм с щедрым окладом и одиночным “тестовым” в виде запуска кода или подключения кошелька — стандартный паттерн Lazarus Group и связанных кампаний по данным Google Threat Intelligence.

Что НЕ делать. Не подключай рабочий кошелёк к “тестовым” приложениям. Не запускай тестовые задания без изоляции — VM, Docker, отдельная учётка ОС. Не делись seed-фразой или приватными ключами ни в каком формате “для проверки”.

Тактика 5: gift/sticker phishing

Вектор появился в 2024 году с волной Telegram Gifts (upgraded подарков). В 2025-2026 эволюционировал.

В личку приходит подарок — анимированный стикер или Telegram Gift с описанием вроде “Exclusive NFT drop — claim before May 31” и ссылкой в подписи. Иногда подарок выглядит редким (золотой кубок, лимитированный пак), что повышает интерес.

Ссылка ведёт на сайт-клон Getgems или Fragment с интерфейсом “claim”. Подключение кошелька подписывает drainer-транзакцию, обычно через jetton transfer или NFT-операцию с обманным forward_payload.

Альтернативный сценарий: подарок-стикер ведёт не на crypto-сайт, а на phishing Telegram-страницу с просьбой “войти в аккаунт для активации” — это перехват самого Telegram-аккаунта.

Как распознать. Реальные NFT-airdrop-ы анонсируются в публичных каналах проекта до рассылки, а не приходят как сюрприз в личку. Любая ссылка “claim now” в описании подарка от незнакомого аккаунта — phishing по умолчанию.

Что НЕ делать. Не кликай ссылку в описании подарка. Не подключай кошелёк по ней. Не вводи seed-фразу нигде, кроме первой настройки кошелька.

Чек-лист Telegram crypto-hygiene

Минимум, чтобы закрыть 90% сценариев социальной инженерии:

  1. Two-Step Verification на Telegram-аккаунте обязательно. Без cloud-пароля любая социальная инженерия усиливается угоном аккаунта.
  2. Privacy → Phone Number — Nobody. Forwarded Messages — My Contacts. Calls — My Contacts. Закрытые настройки приватности сужают поверхность атаки.
  3. Кто может писать тебе в личку — My Contacts only, если ты не публичная фигура. Crypto-чаты можно использовать в режиме “не принимаю DM”.
  4. Не публикуй адреса кошельков в публичных чатах в любом контексте — это маркер платёжеспособности для скам-листов.
  5. Не публикуй скриншоты с балансами, открытыми TON Connect-сессиями, видимыми username-ами твоих контактов.
  6. Block + Report любого “support” или “admin”, написавшего первым в личку. Без диалога.
  7. Проверяй username посимвольно перед тем, как верить, что ты говоришь с админом. Сверяй с публичным каналом проекта.
  8. Сегментируй кошельки. Hot wallet с малым балансом для мини-аппов и DeFi, cold wallet с Ledger для накоплений. Социальная инженерия достанет максимум hot.
  9. Не запускай “тестовые задания” от Telegram-рекрутеров без VM или Docker-изоляции.
  10. Никогда не вводи seed-фразу нигде, кроме первой настройки кошелька. Никаких ботов, форм, “верификаций”, “восстановлений”.
!Один универсальный фильтрЕсли человек, проект или подарок в Telegram требует от тебя срочности — это всегда красный флаг. Социальная инженерия работает на цейтноте: “получи до полуночи”, “вакансия закроется завтра”, “успей войти в раунд”. Реальные возможности не имеют 5-минутных дедлайнов.

Заключение

Технические защиты — Ledger, segregated wallets, 2FA, проверка домена — закрывают значительную часть векторов. Социальная инженерия остаётся непокрытой по одной причине: она атакует не устройство, а ментальное состояние. Усталость, одиночество, желание заработать, страх потерять, любопытство к “эксклюзивному” — это и есть поверхность атаки. Лучшее правило: в крипте никто не пишет тебе первым с хорошими новостями. Каждый раз, когда так происходит, по умолчанию это попытка скама, пока не доказано обратное.

Если уже попался — действуй как описано в гайде первой помощи при краже TON. Если хочешь закрыть аккаунт от угона — защита Telegram от перехвата.

Источники