Мошенники маскируются под службу безопасности SlowMist: выявлена новая схема кражи приватных ключей

Команда безопасности SlowMist выявила новую схему мошенничества, замаскированную под сервис анализа «рискованных разрешений» в криптокошельках. Пострадавший пользователь обратился за помощью после того, как не смог отозвать одно из них, показанных на подозрительном сайте, замаскированном под SlowMist. Интерфейс ресурса имитировал Revoke — популярный инструмент верификации подписей, и выдавал тревожные сообщения о «рискованной авторизации». Для устранения проблемы пользователю предлагалось ввести приватный ключ.

В ходе расследования выяснилось, что ресурс — фишинговая платформа. Все введенные данные пересылаются напрямую на e-mail адрес злоумышленников — Антифишинговый сервис ScamSniffer также подтвердил злонамеренность создателей сайта. Визуально он полностью копирует интерфейс легитимных инструментов, но любые результаты «проверки» подставляются автоматически — вне зависимости от введенного адреса кошелька.

Организатором атаки стал пользователь @Titanspace3, который ведет активность под видом сотрудника SlowMist и использует аватар популярного крипторасследователя ZachXBT. Он также управляет аккаунтом с 74 тыс. подписчиков в X (Twitter), где комментирует под постами известных криптоэнтузиастов, якобы предупреждая о «проблемах в их кошельках» и указывая ссылку на фишинговый сайт.

Сценарий атаки выстроен по следующей схеме: сначала формируется ощущение срочной угрозы через фальшивые предупреждения; затем жертва направляется на поддельный ресурс; далее под предлогом «отзыва прав» ее просят ввести приватный ключ. Все действия сопровождаются оформлением, похожим на легитимные инструменты безопасности. Эксперты SlowMist подчеркивают, что никогда нельзя вводите свой приватный ключ или seed-фразу ни на одном сайте, независимо от срочности ситуации или визуального доверия к платформе.

Автор

Петр Иванов