Що таке криптофішингКриптофішинг — це форма соціальної інженерії, де шахраї створюють підроблені сайти, що максимально імітують популярні криптосервіси (Binance, Coinbase, MetaMask, Uniswap, Trust Wallet тощо).Мета атаки — викрасти:
Основні типи атак- Typosquatting — binanсe.com, coinbaase.com, metamaskk.io
- IDN / Punycode атаки — xn-- домени (використання схожих кириличних або інших символів)
- Fake ICO / Presale — підроблені передпродажі токенів
- Airdrop scam — «безкоштовна крипта за підключення гаманця»
- Wallet Drainers — змушують підписати approve-транзакцію, після чого гаманець спустошується
Чому це критично- Транзакції в блокчейні незворотні
- Немає банку, який поверне кошти
- Атаки використовують FOMO (страх пропустити вигоду) та довіру до «офіційного» вигляду сайту
СЦЕНАРІЙ ІНЦИДЕНТУУ мережі зафіксовано масову хвилю криптофішингу.За останні 3 дні користувачі втратили понад $500 000 через посилання в Telegram, Discord, X (Twitter) та email.
РОЛЬ УЧНЯВи — SOC Analyst Level 1–3 у команді реагування на інциденти.Ваші задачі:- Провести аналіз підозрілих доменів
- Використовувати OSINT-інструменти
- Класифікувати тип атаки
- Підготувати інцидент-звіт
ПРАКТИЧНА ЧАСТИНА (SOC RUNBOOK) ЕТАП 1. Первинний аналіз домену (Visual Triage)Що робити:- Взяти домен ( НЕ відкривати його в браузері!)
- Порівняти з офіційним:
- MetaMask → https://metamask.io
- Binance → https://binance.com
- Coinbase → https://coinbase.com
- Uniswap → https://uniswap.org
- Зайві слова (support, claim, rewards, airdrop, bonus)
- Typosquatting (помилки в написанні)
- Дивні доменні зони (.xyz, .live, .top, .fun, .site)
- Підозрілі субдомени (login., app., secure., connect.)
ЕТАП 2. WHOIS перевірка (вік і власник)Інструменти:Алгоритм:- Вставити повний домен.
- Переглянути:
- Дату реєстрації
- Країну реєстратора
- Інформацію про власника (якщо не прихована)
- Менше 6 місяців → HIGH RISK
- Прихований whois → підозріло
- Масовий реєстратор (Namecheap, GoDaddy з великою кількістю доменів) → ризик
ЕТАП 3. Перевірка шкідливості (VirusTotal)Інструмент: https://www.virustotal.com/gui/home/urlАлгоритм:- Обрати вкладку URL.
- Вставити домен → Scan.
- Проаналізувати:
- Кількість детектів (0/90 — не гарантія безпеки)
- 1–5 → підозріло
- 5+ → ймовірний фішинг
- Переглянути вкладки Community та Relations (пов’язані домени).
ЕТАП 4. Аналіз поведінки сайту (urlscan.io)Інструмент: https://urlscan.ioАлгоритм:- Вставити домен → натиснути Scan.
- Проаналізувати:
- Скріншот (кнопки «Connect Wallet», форми вводу seed)
- Behavior (запити до wallet API, сторонні скрипти)
- Redirects (перенаправлення)
- Domaiни, з якими взаємодіє сайт
ЕТАП 5. Перевірка криптоактивностіІнструменти:Алгоритм:- Якщо є адреса смарт-контракту — перевірити на Etherscan/BscScan (verified? кількість транзакцій).
- Після інциденту — перевірити approvals на Revoke.cash.
ЕТАП 6. OSINT перевірка- Google: "назва домену" + scam або + phishing
- Перевірити згадки в X (Twitter), Telegram, Discord
- Перевірити проєкт на CoinMarketCap та CoinGecko
ЕТАП 7. ФІНАЛЬНЕ РІШЕННЯ (SOC VERDICT)Визначити:- Тип атаки (Phishing / Airdrop scam / Fake ICO / Wallet drainer)
- Рівень ризику (Low / Medium / High / Critical)
- Обґрунтування (мінімум 3 факти з інструментів)
- Рекомендацію користувачу
РОБОТА ДЛЯ УЧНЯSOC-АНАЛІЗ: ТАБЛИЦЯ ДОСЛІДЖЕННЯ КРИПТОФІШИНГУ
📁 Формат: Excel / Google Sheets (рекомендовано)
🧾 ГОТОВА ТАБЛИЦЯ ДЛЯ ЗАПОВНЕННЯ
Після заповнення відправити informgry@gmail.com
Скопіюй у Google Sheets:
| Домен | WHOIS (вік домену) | VirusTotal (detections) | urlscan.io (ключові знахідки) | Тип атаки | Ризик | Висновок / Рекомендація |
|---|---|---|---|---|---|---|
| binance-exchange.com | ||||||
| metamask-support.io | ||||||
| coinbasee.com | ||||||
| claim-uniswap.org | ||||||
| xn--metamask-4va.com | ||||||
| official-bnb-airdrop.live | ||||||
| app-metamaskk.com | ||||||
| pancakesvvap.finance | ||||||
| trustwallet-rewards.xyz | ||||||
| ledger-live-connect.com |
🧠 ЯК УЧНІ МАЮТЬ ЗАПОВНЮВАТИ (ЧІТКІ ПРАВИЛА)
🟡 1. WHOIS (вік домену)
📌 Інструмент:
https://who.is
https://www.whois.com/whois/
Що писати:
- дата створення
- “< 6 місяців = HIGH RISK”
- прихований власник
🔵 2. VirusTotal
📌 Інструмент:
https://www.virustotal.com
Що писати:
-
приклад:
5/93 detections -
або:
clean / suspicious / malicious
🟣 3. urlscan.io
📌 Інструмент:
https://urlscan.io
Що писати:
- “login page clone”
- “wallet connect button detected”
- “redirect to suspicious domain”
- “crypto phishing template”
🟠 4. Тип атаки
Обрати з списку:
- Phishing (login/seed theft)
- Airdrop scam
- Fake ICO / Presale
- Wallet drainer
- Typosquatting combo
🔴 5. Ризик
- Low
- Medium
- High
- Critical
🟢 6. Висновок записати в тілі листа
Мінімум 2–3 речення:
- чому сайт небезпечний
- які індикатори це довели
- що робити користувачу
КЛЮЧОВІ ОЗНАКИ ФІШИНГУ- Запит seed-фрази
- «Connect wallet + approve»
- Обіцянка limited airdrop
- Тиск часу («24 години»)
- Дуже новий домен
ЗАХИСНІ ПРАВИЛА SOC (обов’язково запам’ятати)- Ніколи не вводити seed-фразу на жодному сайті.
- Використовувати тільки bookmarks для переходу на офіційні сайти.
- Перевіряти кожен домен через OSINT-інструменти.
- Використовувати hardware-гаманець (Ledger / Trezor).
- Регулярно перевіряти approvals на Revoke.cash.
МІНІ-КЕЙСКористувач отримує повідомлення:«You won 0.5 ETH airdrop → binance-airdrop.live»Після підключення MetaMask і підписання транзакції — втрата коштів.Завдання: Проаналізуйте кейс за повним runbook і напишіть, які саме етапи допомогли б запобігти втраті.
ДОМАШНЄ ЗАВДАННЯ (Level 3)Знайдіть 2–3 реальні підозрілі крипто-посилання в Telegram / X / Discord.Проаналізуйте їх за повним алгоритмом і заповніть таблицю.
ВИСНОВОКSOC-аналітик — перша лінія захисту Web3.Більшість втрат у криптовалюті відбувається не через злом гаманців, а через успішну соціальну інженерію.«Think like an attacker. Verify everything. Trust nothing.»
Немає коментарів:
Дописати коментар