SMS-фишинг атакует крипто-инвесторов: как не потерять свои деньги

В 2025 году смишинг (SMS-фишинг) стал одной из главных угроз для крипто-держателей. Мошенники массово отправляют поддельные сообщения от имени бирж и кошельков, и всё работает. Вот почему это опасно и как защитить себя.

Что происходит на самом деле

Мошенник отправляет SMS якобы от вашей биржи: «Обнаружена подозрительная активность. Подтвердите личность сейчас: [ссылка]». Звучит срочно, правда? Жертва кликает, вводит данные на поддельном сайте — и вот уже баланс обнулен.

По данным отчётов, смишинг работает примерно в 30% случаев. Это потому, что:

1. Создают панику — угроза блокировки аккаунта или потери средств заставляет людей действовать без размышлений.

2. Подделывают источник — сообщение выглядит как официальное, номер похож на реальный.

3. Обещают награду — бесплатный BTC, подарочная карта на $500 — включает жадность.

Типичные схемы

Схема 1: «Требуется обновить KYC-данные, иначе аккаунт заблокируют». Человек загружает скан паспорта мошеннику, и его данные идут в продажу или используются для кражи личности.

Схема 2: «Позвоните в поддержку» — номер в сообщении поддельный, мошенник выманивает коды 2FA или пароли.

Схема 3: Вредоносная ссылка устанавливает спайвар на телефон, который потом читает все SMS и пароли.

Чем смишинг отличается от других атак

• Фишинг — через email (менее срочно, легче проверить)
• Вишинг — голосовой звонок (требует мастерства мошенника)
• Фарминг — подмена DNS, перенаправление на поддельный сайт (более техническое)

Смишинг остаётся самым эффективным, потому что SMS читают быстро, без проверок.

Красные флаги SMS

✋ Никогда не открывайте ссылки, если:

• Сообщение требует срочно что-то сделать
• Просит ввести пароль, seed-фразу, приватный ключ
• Содержит ошибки в написании или странный стиль (даже хорошие биржи иногда пишут формально, но не режут глаза)
• От неизвестного номера
• Обещает награду, которую вы не выигрывали

Как защитить себя

1. Не кликайте на ссылки в SMS

• Если сомневаетесь, откройте браузер и введите адрес биржи вручную
• Проверьте, какой адрес на самом деле (наведите курсор на ссылку, если это SMS в мессенджере)

2. Включите многофакторную аутентификацию

• Используйте приложения вроде Google Authenticator или Authy, а не SMS 2FA
• SMS 2FA всё ещё лучше, чем ничего, но легче всего перехватываемая
• Лучший вариант — аппаратные ключи (Ledger, Trezor) или ключи доступа

3. Никогда не делитесь конфиденциальной информацией

• Биржи/кошельки никогда не запросят пароль или приватный ключ
• Даже если звонит якобы служба поддержки, попросите обратный номер и перезвоните сами

4. Используйте аппаратные кошельки

• Храните большие суммы в оффлайне (Ledger, Trezor, Coldcard)
• На своём девайсе мошенник ничего не украдёт

5. Следите за активностью

• Регулярно проверяйте историю входов на бирже
• Если видите странные попытки входа — немедленно измените пароль

6. Обновляйте знания

• Мошенники постоянно придумывают новые схемы
• Следите за новостями в проверенных источниках

Что делать, если вас уже развели

1. Немедленно заблокируйте номер мошенника
2. Измените пароли на всех аккаунтах (если ввели данные)
3. Включите 2FA на всех сервисах (если ещё не сделали)
4. Отключите API-ключи на бирже, если их скомпрометировали
5. Сообщите в биржу через официальный канал поддержки
6. Заморозьте кредит (если передали паспорт или другие данные)
7. Следите за операциями в течение месяца — проверьте банки, крипто-кошельки, соцсети

Главная идея

В криптомире вы — сами себе банк. Никто не защитит ваши средства, кроме вас. Мошенники полагаются на спешку и панику. Если SMS требует срочных действий — это почти всегда мошенничество. Проверьте через официальный сайт/приложение, и всё встанет на места.