Соціальна інженерія: як працює обман без коду
У криптосвіті більшість атак не пов’язані з хакерством у класичному розумінні. Хакеру не обов’язково ламати смарт-контракт чи мережу — достатньо змусити вас самих передати доступ до своїх активів.
Це і є соціальна інженерія — психологічна маніпуляція, спрямована на те, щоб людина добровільно видала критичну інформацію або виконала дії, вигідні зловмиснику.
Замість того, щоб використовувати технічні вразливості, атаки соціальної інженерії експлуатують людські вразливості, такі як довіра і наївність, щоб отримати доступ до конфіденційної інформації або контроль над цифровими активами.
Термін: Соціальна інженерія — це техніка обману, при якій зловмисник експлуатує людську довіру, а не технічні вразливості.
Як шахраї полюють на крипто-користувачів
Хакери ретельно вивчають поведінку користувачів у Telegram, Discord, Twitter, форумах, щоб у потрібний момент “зловити” людину на звичайному запиті — допомогти з NFT, повернути транзакцію, або прикинутися техпідтримкою.
Найчастіші сценарії:
| Сценарій | Як це працює |
|---|---|
| Фейкова підтримка | Вас додають у чат або пишуть в DM як “адміни”/“техпідтримка” |
| Фішингове посилання | Надсилають сайт, схожий на оригінал (наприклад, “airdrop claim”) |
| Фейковий airdrop | Пропонують “бонус” — потрібно під’єднати гаманець |
| Шахрай у Discord | Пишуть у приватні повідомлення з “пропозицією” від DAO чи проєкту |
| Twitter giveaway | Пости з “надішли 1 ETH — отримаєш 2” від фейкових акаунтів |
Telegram: головний осередок крипто-шахрайства
Telegram став зручним інструментом для злочинців через можливість масового спаму, ботів і відсутність верифікації.
Як розпізнати шахрая в Telegram:
- Пише у приват, хоча ви не залишали запитів
- Імітує адміна каналу (такий самий аватар, ім’я)
- Надсилає посилання без пояснень
- Вимагає seed-фразу або встановлення децентралізованого додатку
- Додає вас до групи, яка зроблена точно так само, як та, де ви вже спілкуєтесь.
Порада: Увімкніть в Telegram “заборонити повідомлення від незнайомих”, забороніть додавати вас до груп та ніколи не передавайте seed-фразу.
Discord: атаки через інвайти, підміни акаунтів і фейкові дропи
Discord дуже популярний у Web3, але одночасно — вразливий. Багато спільнот атакують шляхом викрадення прав адміна або створення клонів серверів.
Основні шахрайські схеми:
- Підроблені Discord-сервери із запрошенням
- Масові пінги у загальному чаті про “дроп прямо зараз”
- Приватні повідомлення від “адміна”
Порада: Не заходьте на Discord-посилання без перевірки. Увімкніть 2FA та ніколи не під’єднуйте гаманець напряму у Discord через розширення.
Twitter (X): giveaway-шахрайства і бот-мережі
Twitter — ключовий майданчик для анонсів. І саме тому його часто використовують для шахрайств через giveaway-пости.
Як працює афера:
- Створюється акаунт, що імітує відомий бренд (наприклад, @VitalikButerin_, @uniswapeth)
- Публікується пост про “подяку спільноті” з обіцянкою подвоїти суму
- Посилання веде на сайт, де просять під’єднати гаманець
Порада: Завжди перевіряйте офіційний акаунт (синя галочка, кількість підписників, твіти в історії). Ніхто ніколи не просить переслати токени просто так.
Як шахраї використовують електронну пошту для атак
Електронна пошта — ще один популярний інструмент соціальної інженерії. Шахраї маскуються під відомі криптобіржі, гаманці або DApps, надсилаючи листи з фейковими повідомленнями про «підозрілу активність», «бонуси», «нові токени» або «оновлення акаунту».
Як це працює:
- Ви отримуєте лист нібито від MetaMask, Binance або OpenSea.
- У ньому є терміновий заклик до дії: “підтвердьте транзакцію”, “перевірте акаунт”, “заберіть airdrop”.
- Посилання веде на підроблений сайт, який виглядає як оригінальний.
- Після підключення гаманця зловмисник отримує контроль над активами.
На що звертати увагу:
- Перевіряйте e-mail-адресу відправника (часто використовують схожі адреси, наприклад: support-binance.com замість binance.com).
- Не натискайте на кнопки або посилання в листі, якщо не впевнені у джерелі.
- Офіційні сервіси рідко надсилають листи з проханням під’єднати гаманець або терміново авторизуватись.
Порада: Завжди відкривайте сайт вручну, вводячи URL у браузері. Не заходьте через листи, навіть якщо вони виглядають правдоподібно.
10 порад, щоб не стати жертвою соціальної інженерії
- Ніколи не передавайте seed-фразу. Нікому. Ніколи. Навіть “адміну”.
- Вимкніть повідомлення від незнайомців у Telegram та Discord.
- Завжди перевіряйте URL сайту перед тим, як підключати гаманець.
- Додайте офіційні DApps до закладок у браузері.
- Не підписуйте транзакції, якщо не розумієте, що підписуєте.
- Розділіть гаманці: один для зберігання активів, інший — для DApps.
- Використовуйте revoke-сервіси для відкликання дозволів на токени.
- Не переходьте за посиланнями з чату без перевірки.
- Підпишіться на офіційні акаунти проєктів.
- Думайте, перш ніж натиснути — Web3 не про поспіх.
Висновок
Соціальна інженерія — головна загроза у світі крипти. Вона не вимагає знань коду, лише слабкості уваги. Найбільші злочини — не через хак, а через те, що люди самі передають доступ.
У Web3 ви сам собі банк. І найкраща зброя проти обману — здоровий скепсис і базова цифрова гігієна.
Що таке багбаунті в крипті
ТОП-10 порад для безпечної взаємодії з DApps
