Безопасность
Как проверить сайт кошелька или биржи и не попасть на фишинг
Фишинговый сайт может выглядеть почти как настоящий: логотип, кнопки, красивые формы, даже “поддержка” рядом. Отличие в одном: он хочет вытащить seed-фразу, пароль, код 2FA или заставить вас подтвердить опасное действие.
Короткий ответ
Проверяйте домен, источник ссылки, наличие странных форм, поведение поддержки и то, что именно сайт просит ввести. В крипте безопаснее открыть сервис из сохраненной закладки, чем каждый раз искать его через рекламу.
Что проверить в первую очередь
- Домен написан правильно, без лишних букв и похожих символов.
- Ссылка пришла не из случайного чата или личного сообщения.
- Сайт не просит seed-фразу или приватный ключ.
- Поддержка не пишет первой в Telegram.
- Приложение или расширение скачано из официального источника.
Почему реклама в поиске не гарантия
Частая ошибка - кликнуть первый результат и решить: раз поисковик показал, значит можно. Увы, мошенники умеют покупать рекламу и делать похожие страницы. Поэтому лучше один раз найти официальный сайт, сохранить в закладки и ходить оттуда.
Как выглядит подмена домена
Фишинговые сайты часто выглядят почти как настоящий сервис. Чаще они копируют дизайн настоящего сервиса и меняют одну мелочь в домене: лишнюю букву, дефис, похожий символ, другую доменную зону или слово вроде official, support, verify. При беглом просмотре легко принять похожий домен за настоящий.
Поэтому проверять нужно не только “похож ли сайт визуально”, а откуда вы взяли ссылку. Безопаснее открыть сайт из закладки, которую вы сделали заранее, или перейти с официального аккаунта проекта, чем кликать по письму, рекламе или сообщению “поддержки” в личке.
Когда сайт точно должен насторожить
| Признак | Почему опасно | Что сделать |
|---|---|---|
| Просит seed-фразу | Так можно забрать весь кошелек. | Закрыть сайт и ничего не вводить. |
| Домен отличается от официального | Это может быть фишинг. | Проверить ссылку через официальный источник. |
| Обещает “разблокировать” деньги | Часто это приманка для доступа. | Не платить и не вводить секреты. |
| Торопит таймером | Давление снижает внимательность. | Остановиться и перепроверить. |
Что можно вводить, а что нельзя
Публичный адрес кошелька можно вставить в обозреватель или сервис проверки: он и так виден в блокчейне. TXID тоже публичный. А вот seed-фраза, приватный ключ, файл резервной копии, пароль от биржи и коды 2FA - это секреты. Если сайт просит их для “проверки”, “синхронизации”, “разблокировки” или “возврата средств”, перед вами почти наверняка ловушка.
Хорошая привычка: отдельная закладка
Для бирж, кошельков и обозревателей лучше один раз найти официальный адрес, проверить его и сохранить в закладки. Так меньше риск перейти по рекламной или поддельной ссылке.
Фразы, после которых надо насторожиться
- "Введите seed-фразу для проверки кошелька".
- "Синхронизируйте кошелек вручную".
- "Поддержка поможет вернуть перевод, нужен приватный ключ".
- "Срочно подтвердите, иначе аккаунт будет заблокирован".
Правило двух вкладок
Если сомневаетесь, откройте официальный сайт из закладки во второй вкладке и сравните домен, интерфейс и раздел поддержки. Не вводите данные, пока не уверены. В крипте лишняя минута проверки обычно дешевле, чем один неправильный клик.
Мини-сценарий: вам прислали ссылку на “кошелек”
Представим обычную ситуацию: в Telegram или в комментариях вам пишут, что нужно “подключить кошелек”, “синхронизировать доступ” или “проверить адрес”, и дают ссылку. В этот момент нужно проверить домен, источник ссылки и официальный канал сервиса.
- Не открывайте ссылку в основном браузере, где уже залогинены в сервисы.
- Сначала посмотрите домен глазами: нет ли лишних букв, дефисов, странной зоны.
- Найдите официальный сайт проекта самостоятельно через сохраненную закладку или проверенный источник.
- Сравните адреса. Если отличаются, не вводите данные.
- Если сайт просит seed-фразу, приватный ключ или файл восстановления, закрывайте страницу.
Главная мысль простая: ссылка от незнакомца не становится безопасной только потому, что страница красиво сверстана. В крипте дизайн копируется быстро, а вот вернуть украденный доступ обычно почти невозможно.
Проверка приложения и расширения
Фишинг бывает не только в виде сайта. Поддельные приложения и расширения браузера тоже опасны: они могут копировать название кошелька, логотип, скриншоты и даже отзывы. Поэтому приложение лучше искать не через случайную рекламу, а через официальный сайт проекта, который ведет в магазин приложений или расширений.
Перед установкой проверьте разработчика, количество установок, дату обновления, отзывы с конкретикой и ссылки с официального сайта. Если приложение просит слишком много разрешений, выглядит как клон или появилось недавно, лучше притормозить. В крипте “быстро поставить и потом разобраться” - плохая стратегия.
Что делать, если уже ввели данные
Если вы ввели пароль от биржи на подозрительном сайте, сразу меняйте пароль на официальном сайте, проверьте активные сессии, включите или перевыпустите 2FA, проверьте адреса вывода и напишите в поддержку сервиса. Если ввели seed-фразу или приватный ключ, ситуация серьезнее: такую фразу уже нельзя считать безопасной.
Для некастодиального кошелька нормальная реакция - создать новый кошелек с новой seed-фразой и перевести туда средства, если они еще на месте. Старую фразу нельзя “поменять как пароль”. Это не пароль от сайта, а корневой доступ к кошельку.
Частые вопросы
HTTPS означает, что сайт безопасный?
Нет. HTTPS означает, что соединение зашифровано, но не доказывает честность сайта. Фишинговый домен тоже может иметь замочек в адресной строке.
Можно ли вводить адрес кошелька на сайте проверки?
Публичный адрес сам по себе не секрет. Но если сайт после адреса просит seed-фразу, приватный ключ или “подключить кошелек для полной проверки”, это уже повод остановиться.
Поддержка может написать первой?
В нормальной ситуации поддержка не приходит в личные сообщения и не просит секретные данные. Если вам пишет “саппорт” в мессенджере после вопроса в чате, относитесь к этому как к потенциальному скаму.
Что читать дальше
Для общей картины прочитайте что такое фишинг в криптовалюте. Чтобы понимать, какие данные нельзя раскрывать, разберите seed-фразу и приватный ключ.