SMS-фішинг атакує крипто-інвесторів: як не втратити свої гроші

У 2025 році смішинг (SMS-фішинг) став однією з головних загроз для крипто-холдерів. Шахраї масово розсилають підроблені повідомлення від імені бірж та гаманців, і все працює. Ось чому це небезпечно і як захистити себе.

Що відбувається насправді

Шахрай надсилає SMS нібито від вашої біржі: «Виявлено підозрілу активність. Підтвердіть особу зараз: [посилання]». Звучить терміново, правда? Жертва клікає, вводить дані на підробленому сайті — і баланс вже обнулено.

За даними звітів, смішинг працює приблизно у 30% випадків. Це тому, що:

1. Створюють паніку — загроза блокування акаунта або втрати коштів змушує людей діяти без роздумів.

2. Підробляють джерело — повідомлення виглядає офіційно, номер схожий на справжній.

3. Обіцяють винагороду — безкоштовний BTC, подарункова карта на $500 — включає жадібність.

Типові схеми

Схема 1: «Потрібно оновити KYC-дані, інакше акаунт заблокують». Людина завантажує скан паспорта шахраю, і її дані йдуть на продаж або використовуються для крадіжки особистості.

Схема 2: «Зателефонуйте в підтримку» — номер у повідомленні підроблений, шахрай виманює коди 2FA або паролі.

Схема 3: Шкідливе посилання встановлює спайвар на телефон, який потім читає всі SMS і паролі.

Чим смішинг відрізняється від інших атак

• Фішинг — через email (менш терміново, легше перевірити)
• Вішинг — голосовий дзвінок (вимагає майстерності шахрая)
• Фармінг — підміна DNS, перенаправлення на фейковий сайт (більш технічне)

Смішинг залишається найефективнішим, бо SMS читають швидко, без перевірок.

Червоні прапорці SMS

✋ Ніколи не відкривайте посилання, якщо:

• Повідомлення вимагає терміново щось зробити
• Просить ввести пароль, seed-фразу, приватний ключ
• Містить помилки у написанні або дивний стиль (навіть хороші біржі іноді пишуть формально, але не ріжуть око)
• Від невідомого номера
• Обіцяє винагороду, яку ви не вигравали

Як захистити себе

1. Не клікайте на посилання в SMS

• Якщо сумніваєтесь, відкрийте браузер і введіть адресу біржі вручну
• Перевірте, яка адреса насправді (наведіть курсор на посилання, якщо це SMS у месенджері)

2. Ввімкніть багатофакторну автентифікацію

• Використовуйте застосунки на кшталт Google Authenticator або Authy, а не SMS 2FA
• SMS 2FA все ще краще, ніж нічого, але її найлегше перехопити
• Найкращий варіант — апаратні ключі (Ledger, Trezor) або ключі доступу

3. Ніколи не діліться конфіденційною інформацією

• Біржі/гаманці ніколи не запитають пароль або приватний ключ
• Навіть якщо телефонує нібито служба підтримки, попросіть зворотний номер і передзвоніть самі

4. Використовуйте апаратні гаманці

• Зберігайте великі суми офлайн (Ledger, Trezor, Coldcard)
• На вашому пристрої шахрай нічого не вкраде

5. Слідкуйте за активністю

• Регулярно перевіряйте історію входів на біржі
• Якщо бачите дивні спроби входу — негайно змініть пароль

6. Оновлюйте знання

• Шахраї постійно вигадують нові схеми
• Слідкуйте за новинами у перевірених джерелах

Що робити, якщо вас вже ошукали

1. Негайно заблокуйте номер шахрая
2. Змініть паролі на всіх акаунтах (якщо ввели дані)
3. Увімкніть 2FA на всіх сервісах (якщо ще не зробили)
4. Вимкніть API-ключі на біржі, якщо їх скомпрометовано
5. Зверніться до біржі через офіційний канал підтримки
6. Заморозьте кредит (якщо передали паспорт чи інші дані)
7. Слідкуйте за операціями протягом місяця — перевіряйте банки, крипто-гаманці, соцмережі

Головна ідея

У криптосвіті ви — самі собі банк. Ніхто не захистить ваші кошти, окрім вас. Шахраї розраховують на поспіх і паніку. Якщо SMS вимагає термінових дій — це майже завжди шахрайство. Перевірте через офіційний сайт/додаток, і все стане на свої місця.