Скам в криптовалютах: как работает продвинутая схема социальной инженерии с использованием особенностей безопасности Google
---
В мире криптовалют мошенничество давно стало фоном: его так много, что относиться к нему как к экзотике уже не получается. Большинство схем банальны: завлекательные обещания "иксов", закрытые сигналы, "секретные связки" и токены, которые якобы растут по 100% в день, но почему‑то не продаются. Давят на жадность, страх упустить прибыль, подсовывают фишинговую ссылку - и ждут, пока человек сам отдаст им доступ к своим деньгам.
Однако существует куда более изощрённый уровень скама - когда у жертвы вообще не возникает ощущения, что происходит что‑то странное. Ни чудо‑доходностей, ни "волшебной кнопки", ни даже привычных "подозрительных ссылок". Всё выглядит как нормальный рабочий процесс.
Разберём по шагам одну из таких схем, в которой сочетаются продуманная социальная инженерия и использование особенностей работы аккаунта Google.
---
Как выглядит типичный обман в крипте - и чем этот случай отличается
Классический крипто‑скам строится на простых триггерах:
- "Срочно успей, пока не поздно" - чистое FOMO.
- "Только для избранных" - якобы закрытый доступ.
- "Гарантируем доход" - игра на жадности и неопытности.
Жертву подводят к тому, чтобы:
- перевести деньги на кошелёк мошенников,
- подключить свой кошелёк к вредоносному сайту,
- подписать транзакцию, не читая, что именно она делает.
В историях опытных крипто‑юзеров такие схемы распознаются почти мгновенно. Но в нашем случае всё было завёрнуто в бытовой, рутинный рабочий процесс, где ничто не выдавало скам до самого конца.
---
Шаг 1. Мошенники приходят как обычный клиент
Наш герой - назовём его Лёха - маркетолог, который параллельно занимается криптой. К нему регулярно обращаются реальные компании с запросами на продвижение. Процесс всегда один и тот же:
- пишут в мессенджер,
- представляются,
- описывают задачу,
- спрашивают прайс и сроки,
- договариваются о созвоне.
Именно по этому сценарию и зашли мошенники.
От имени "личной ассистентки" написала девушка. Она:
- назвала конкретную строительную компанию;
- эта компания искалась в поиске;
- у неё был нормальный, не свежесозданный сайт;
- юридический адрес - в соседнем с Лёхой городе.
Поведение "ассистентки" было безупречным:
- отвечала на вопросы по делу;
- отправляла голосовые;
- уточняла детали проекта;
- демонстрировала понимание темы;
- вела себя ровно так, как ведут себя реальные помощники директоров, когда подбирают подрядчика.
Стороннему человеку было бы крайне сложно заподозрить подвох. Для Лёхи это выглядело как рядовое коммерческое обращение.
---
Шаг 2. Никаких "супер‑доходностей" - только деловая встреча в Zoom
Когда базовые вопросы обсудили, "ассистентка" предложила следующий логичный шаг:
> "Нужно созвониться с директором. Он даст полные вводные, расскажет нюансы и утвердит условия".
Встречу назначили на вторник, 18:00. Дополнительно отметили:
- директор пунктуален,
- не любит опозданий,
- очень ценит соблюдение договорённостей.
То есть с самого начала вшили важный поведенческий крючок:
- жертву психологически подталкивают ни в коем случае не срывать встречу;
- формируется ощущение значимости: "меня ждёт человек, принимающий решения".
В день звонка за 15 минут до начала у Лёхи уточнили, всё ли в силе, и предупредили, что ссылку на Zoom пришлют ближе к 18:00.
Ссылку прислали ровно в 17:59. Это тоже важно: соблюдение тайминга усиливает доверие - "передо мной ответственный, организованный заказчик".
---
Шаг 3. Социальная инженерия по таймингу: чёткий сценарий
Ссылка вела не на фейковую страницу, а действительно открывала официальное приложение Zoom. Но при попытке зайти Лёха видел сообщение: "Конференция недоступна" или "Хост ещё не начал встречу".
Практически сразу пишет "ассистентка":
- "Вы не заходите, всё ли в порядке?"
Лёха отвечает, что, возможно, есть ошибка в настройках конференции - система его не пускает.
Дальше классический ход социальной инженерии:
- "Вы, наверное, не авторизованы. Зайдите в аккаунт через Google, так проще, Zoom иногда глючит без авторизации".
На этом месте люди чаще всего даже не задумываются: вход через Google - стандартная практика. А когда ты спешишь, боишься опоздать и чувствуешь ответственность перед "директором", проверять каждую деталь уже нет времени.
---
Шаг 4. Скам без очевидного взлома и "кражи пароля"
Ключевой момент схемы в том, что у Лёхи не попросили:
- ни логин и пароль в чистом виде,
- ни смс‑код прямо в мессенджере,
- ни каких‑то явных секретных данных.
Его аккуратно подвели к тому, чтобы он сам:
1. Авторизовался через Google по ссылке, которая визуально была связана с Zoom.
2. Подтвердил доступ стороннему приложению, не вдумываясь, что именно он разрешает.
Технически сценарий выглядел примерно так:
- мошенники регистрируют веб‑приложение с нейтральным или "рабочим" названием: что‑то вроде "Zoom Business Workspace" или "Conference Manager";
- это приложение использует официальный OAuth‑механизм Google - тот самый "Войти через Google";
- Лёха видит привычное окно Google, вводит логин и пароль и жмёт "Разрешить";
- в этот момент его пароль не "украли" - он ушёл прямо в Google, но Google, в свою очередь, выдал приложению мошенников OAuth‑токены;
- с этими токенами злоумышленники получают доступ к почте, Google Drive и другим данным, на которые пользователь дал разрешение.
Формально взлома нет: всё происходит в рамках легальной функциональности. Но по факту - это управляемый перехват доступа к аккаунту.
---
Шаг 5. Пока у тебя крадут крипту, ты занят "делом"
Социальная инженерия на этом не заканчивается. Мошенникам нужно время, чтобы:
- войти в Google‑аккаунт с полученными токенами;
- найти письма с биржами, кошельками, seed‑фразами, приватными ключами или инструкциями по восстановлению доступа;
- запустить сброс паролей на биржах через почту;
- подтвердить входы и вывести средства.
Чтобы жертва не отвлекалась и не заметила уведомления от бирж и сервисов, её в этот момент максимально загружают "рабочими задачами".
Типичный сценарий:
- "Директор уже подключился, но у него немного задержка, давайте пока обсудим ТЗ".
- Просят описать портфолио, кейсы, подходы.
- Могут дать небольшое "тестовое задание прямо на созвоне": придумать структуру рекламной кампании, план продвижения, оценить бюджет.
Человек вовлечён в диалог, сфокусирован на разговоре и, если приходят пуш‑уведомления о входе в аккаунты, просто пролистывает их по привычке, не вчитываясь.
В итоге:
- часть криптовалютных активов может быть выведена ещё во время "созвона";
- то, что не успели вывести сразу, забирают по отработанному сценарию в течение ближайших часов.
---
"Под капотом": что именно используют мошенники в Google
С технической точки зрения в схеме задействовано сразу несколько особенностей экосистемы Google:
1. OAuth‑авторизация "в один клик".
Пользователь привыкает, что "Войти через Google" - это безопасно. Окно входа выглядит стандартно, а кто именно стоит за приложением, читают единицы.
2. Доверие к бренду.
Если страница визуально ассоциируется с Zoom или другим знакомым сервисом, а само окно авторизации - от Google, цепочка доверия замыкается. Человек не думает о рисках.
3. Широкие права по умолчанию.
Многое зависит от того, что запрашивает приложение: иногда это только e‑mail, но часто - доступ к почте, файлам, контактам. Люди автоматически нажимают "Разрешить", даже не читая список прав.
4. Работа с активной сессией.
Если у жертвы уже открыт аккаунт Google в браузере, часть действий вообще не требует ввода пароля: достаточно одного‑двух подтверждений, которые в спешке воспринимаются как рутинные.
---
Является ли это "дырой" в безопасности Google?
Формально - нет. Это не классический уязвимый код, который позволяет взломать систему без участия пользователя.
С точки зрения Google, всё происходит корректно:
- пользователь увидел окно авторизации;
- сам ввёл логин/пароль;
- сам подтвердил, что позволяет приложению доступ к данным;
- сам уже был авторизован на этом устройстве.
Поэтому это скорее логическая уязвимость на стыке человеческого поведения и интерфейсных решений, чем "дыра" в коде.
Но по факту, для жертвы разницы нет:
- доступ к аккаунту получили посторонние;
- через почту и Google‑аккаунт восстановили доступ к биржам и кошелькам;
- криптовалюта исчезла.
---
А как же Google Authenticator - разве он не должен спасать?
Здесь важно понимать несколько моментов:
1. 2FA спасает только там, где оно включено и требовательно настроено.
Если:
- на биржах двухфакторка включена только на вывод,
- а вход в аккаунт и смена пароля можно подтвердить через почту,
то компрометация почты фактически открывает дорогу к деньгам.
2. Auth‑приложения не защищают сам Google‑аккаунт, если включены более удобные методы.
Многие пользователи:
- вместо кода из приложения используют "подтвердить вход на телефоне",
- оставляют резервные способы восстановления: по смс, по запасной почте, по контрольным вопросам.
Если мошенник завладел доступом к почте, он может использовать цепочку восстановления, обходя привычную двухфакторку.
3. Человек сам может "протоптать дорожку" для обхода 2FA.
Например:
- хранить скриншоты QR‑кодов от Authenticator в Google Drive;
- пересылать себе резервные коды на Gmail;
- использовать одно и то же устройство и для хранения ключей, и для переписки, и для всего остального.
В таком случае, завладев аккаунтом Google, злоумышленник получает слишком много.
---
Как не стать жертвой подобных схем: практические рекомендации
1. Разделяйте "рабочую" и "денежную" цифровую жизнь
- Используйте отдельный Google‑аккаунт для крипты, который:
- нигде не светится публично;
- не привязан к соцсетям и рабочим задачам;
- не используется для сервисов, где вы постоянно авторизуетесь туда‑сюда.
- Идеально - отдельный браузер или даже отдельное устройство для работы с финансами и кошельками.
2. Не привязывайте критичные активы к основному e‑mail
- Для регистрации на биржах и кошельках:
- используйте отдельную почту;
- не храните туда же личные переписки, документы, шаблоны, чтобы не было соблазна пользоваться этим ящиком для всего подряд.
3. Следите за тем, кому вы даёте доступ через "Войти через Google"
Каждый раз, когда видите окно с запросом прав:
- смотрите название приложения и домен;
- читайте, какие именно права запрашиваются:
- если там почта, файлы, контакты - это уже серьёзный уровень допуска;
- не давайте широкие права непонятным или "лишним" сервисам.
4. Не воспринимайте спешку как норму
Любой сценарий, который строится на жёстком тайминге:
- "заходите прямо сейчас",
- "директор уже ждёт в Zoom",
- "важно не опоздать, он не любит задержки" -
должен включать внутренний красный флажок. Именно спешка выключает критическое мышление.
5. Храните seed‑фразы и приватные ключи офлайн
- Не пересылайте их себе на почту.
- Не храните в заметках Google, на Google Drive, в облаке мессенджера.
- Используйте:
- бумагу,
- металлические пластины,
- менеджеры паролей с локальным шифрованием (но отдельно от Google).
6. Усильте защиту аккаунта Google
- Включите двухфакторную аутентификацию с приоритетом:
- аппаратного ключа безопасности;
- либо приложения‑аутентификатора,
а не смс и не "подтверждения на этом устройстве".
- Регулярно проверяйте:
- какие устройства имеют доступ к вашему аккаунту;
- какие приложения авторизованы через Google;
- отзывайте всё лишнее.
7. Сохраняйте профессиональную осторожность даже в "рабочем" контексте
Если вы:
- фрилансер,
- консультант,
- маркетолог, дизайнер, разработчик -
вы в зоне риска. Вы привыкли к потоку новых клиентов и запросов, и именно этим пользуются мошенники.
Заведите правила:
- не логиниться никуда "для удобства клиента" во время первого же созвона;
- не вводить пароли и не подтверждать подозрительные запросы в процессе разговора;
- осознанно отнестись ко всем окнам авторизации, всплывающим в этот момент.
---
Почему эта схема так опасна именно для людей из крипто‑сферы
Для новичков в крипте угрозы чаще всего очевидны: сладкие обещания, агрессивная реклама, грубый FOMO. Но чем опытнее человек, тем реже он попадается на такие примитивные вещи - зато тем легче его поймать через область, в которой он не ждёт удара.
У маркетолога, трейдера, аналитика или разработчика:
- плотный рабочий поток;
- постоянные созвоны, брифинги, митинги;
- десятки логинов "через Google" на разных сервисах по работе.
Именно в эту зону привычки и бьют:
- никаких кричащих обещаний;
- нормальный клиент;
- убедительная легенда;
- аккуратная игра на пунктуальности и ответственности.
Результат - человек, который прекрасно знает, что нельзя отправлять seed‑фразу "просто так", сам открывает мошеннику двери через якобы рутинную авторизацию.
---
Итог: где настоящая "дыра" - в Google или в поведении?
Технически в описанном сценарии нет "хакерского взлома" Google. Есть:
- продуманная легенда;
- игра на привычках и спешке;
- использование стандартной связки "Войти через Google";
- широкие разрешения OAuth, которые никто не читает.
Это делает схему особенно опасной: она не похожа на мошенничество и маскируется под рабочий процесс, где вы привыкли доверять.
Защита здесь лежит не только в сфере технологий (2FA, отдельные аккаунты, аппаратные ключи), но и в сфере привычек:
- не делать ничего "на бегу";
- относиться к любой авторизации как к серьёзному действию;
- жёстко разделять личное, рабочее и финансовое пространство в сети.
Чем больше денег крутится в крипте, тем больше будет появляться схем, заточенных под умных, опытных и осторожных людей. А значит, перестать расслабляться - это уже не паранойя, а нормальная гигиена безопасности.
