В России зафиксировали новую волну мошеннических сайтов, которые маскируются под инвестиционные платформы и «партнерские программы» для криптоинвесторов. Схема выглядит как обычная промоакция: пользователю обещают бонус 50 USDT, предлагают открыть счет и подключить криптокошелек. На практике сайт получает разрешение на операции с активами, после чего деньги могут уйти с кошелька за несколько действий.
Аналитики F6 Digital Risk Protection обнаружили не менее 15 таких сайтов-приманок. Активность пришлась на конец мая и начало июня 2026 года. В кампании, как минимум, участвовали три группы злоумышленников.
Мошенники делают сайты, похожие на легальные инвестиционные сервисы. На странице посетителю предлагают «стартовый бонус», «партнёрскую программу», «счет для инвестиций» или другой простой повод подключить криптокошелёк. В одном из зафиксированных сценариев фигурировал бонус 50 USDT.
USDT — это стейблкоин, криптовалюта с привязкой к доллару США.
Дальше пользователь видит QR-код и открывает его через приложение криптокошелька. После этого сайт просит подтвердить подключение и подписать запрос. Здесь и спрятана ловушка: подпись может дать сайту право на перевод криптовалюты, токенов и NFT.
Криптодрейнер заставляет владельца подписать опасное действие. Пользователь думает, что подтверждает вход или получение бонуса, а фактически выдает разрешение на списание активов.
Обычный фишинг часто строится вокруг логина, пароля, кода из SMS или сид-фразы. В случае с дрейнером жертва может не вводить пароль вообще. Достаточно подключить кошелёк и согласиться с запросом.
Для неподготовленного пользователя окно подписи в кошельке часто выглядит как обычная часть работы Web3-сервиса. В интерфейсе могут быть длинные адреса, названия контрактов, параметры разрешений и служебные поля. Мошенники пользуются этой сложностью: человек подтверждает действие, потому что не понимает, что именно подписывает.
Зафиксированная кампания нацелена на русскоязычных пользователей. Сайты продвигались как ресурсы для инвесторов. Посетителям предлагали открыть счет, получить бонус и подключить криптокошелек через QR-код.
После подключения вредоносный код проверял баланс и готовил операции на вывод средств. Блокировка домена помогает, но не решает проблему полностью: вместо закрытого сайта быстро появляется новый.
В 2026 году F6 уже фиксировала сотни сайтов, связанных с инвестиционным мошенничеством. В феврале аналитики нашли 499 сайтов-приманок для схем инвестскама. Там использовались фальшивые торговые платформы, обещания дохода, псевдоэксперты, темы криптовалют и искусственного интеллекта.
Для российских финансовых организаций базовая проверка начинается с сайта Банка России. Там можно искать компанию по названию, адресу, ИНН, ОГРН, регистрационному номеру или лицензии. В карточке легального участника рынка нужно сверять не только название, но и официальный домен.
Криптопроекты проверять сложнее. В этом случае стоит начинать с официальных каналов проекта: сайта, верифицированных аккаунтов, документации, репозиториев, объявлений в приложении кошелька или биржи. Ссылка из рекламы, комментария, личного сообщения или случайного Telegram-канала не должна быть точкой входа для подключения кошелька.
Для крупных сумм безопаснее использовать отдельные кошельки: основной — для хранения, отдельный — для экспериментов с сайтами и децентрализованными приложениями. На экспериментальном кошельке не должно быть активов, потеря которых критична.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
