Один звонок — минус 783 BTC. Социнженерия победила «железо»

криптовалюта Wasabi кража социальная инженерия ZachXBT
Один звонок — минус 783 BTC. Социнженерия победила «железо»
криптовалюта Wasabi кража социальная инженерия ZachXBT

Пароль, PIN, одноразовый код — всё оказалось бесполезно…

image

Крупная кража криптовалюты показала, насколько уязвимыми остаются пользователи перед атаками социальной инженерии . 19 августа неизвестный владелец биткоинов лишился 783 BTC — около 89 миллионов долларов — после того, как мошенники выдали себя за сотрудников службы поддержки криптобиржи и производителя аппаратного кошелька.

По данным исследователя блокчейна ZachXBT , преступники тщательно замели следы: похищенные средства были переведены в кошелёк Wasabi, который позволяет скрывать историю транзакций. На момент публикации указанный адрес оказался пуст. Примечательно, что инцидент совпал с годовщиной другой громкой кражи — в августе 2024 года злоумышленники похитили 243 миллиона долларов у кредиторов Genesis. В этот раз, как отметил ZachXBT, речь не идёт о северокорейских хакерах .

Такие атаки становятся возможными во многом из-за огромного количества персональных данных, оказавшихся в открытом доступе после утечек из различных онлайн-сервисов. Номер телефона, адрес почты или сведения о пользователе позволяют злоумышленникам убедительно маскироваться под представителей компаний. В условиях, когда искусственный интеллект помогает создавать всё более правдоподобные подделки, отличить реальный звонок или письмо от подставного становится крайне трудно.

Весной 2025 года мошенники уже использовали похожий приём, рассылая письма от имени компании Ledger . В них говорилось о якобы обязательной проверке кошельков после «критического обновления безопасности». Жертвам предлагалось выполнить инструкции, которые вели к компрометации их устройств. Схожим образом фальшивые кампании сегодня охватывают весь крипторынок: подделываются не только производители аппаратных кошельков, но и биржи, сервисы хранения и любые компании, работающие с цифровыми активами.

ФБР в своих рекомендациях напоминает: нельзя отвечать на звонки, письма или сообщения, где просят ввести пароль, PIN-код или одноразовый код подтверждения из SMS или почты. Опасно также публиковать в открытом доступе личные данные вроде номера мобильного, домашнего адреса или другой идентифицирующей информации.

История с кражей почти 90 миллионов долларов подчёркивает, что в мире, где конфиденциальность данных нарушается регулярно, единственной стратегией становится исходная установка: любое обращение должно восприниматься как потенциальная попытка обмана.