Чем фишинг отличается от drainer-сайта?

Фишинг крадёт seed-фразу или пароль через ввод в форму — мошенник потом сам импортирует кошелёк. Drainer работает иначе — пользователь сам подписывает злонамеренную транзакцию через TON Connect, не отдавая seed. На практике эти схемы часто комбинируются на одном сайте.

Можно ли доверять сайту, у которого есть SSL-сертификат и зелёный замок?

Нет. Let's Encrypt выдаёт бесплатные сертификаты автоматически — мошенники получают их за 5 минут. SSL подтверждает только то, что соединение зашифровано, но не то, что владелец домена легитимен.

Как быстро Telegram банит фейковый сайт-клон?

По нашим наблюдениям 2025 года — от 24 до 72 часов после массовой подачи жалоб. Этого времени хватает мошеннику, чтобы окупить кампанию — средний drainer-сайт собирает $5-50 тыс. за первые сутки.

Что делать, если уже ввёл seed на подозрительном сайте?

Считай кошелёк скомпрометированным. Немедленно создай новый кошелёк с новой seed на отдельном устройстве и переведи туда все активы со старого, пока мошенник не успел сделать это сам. Любая задержка — деньги на адресе атакующего.

Помогает ли расширение для браузера от Tonkeeper или MyTonWallet?

Да, расширения проверяют запросы на подпись и подсвечивают подозрительные адреса. Но против ввода seed в фишинговую форму не помогут — это уровень внимательности пользователя, а не браузера.

Имеет ли смысл проверять адрес сайта по WHOIS?

Для технически продвинутых — да. Свежий домен возрастом 1-7 дней с приватной регистрацией — почти всегда фишинг. Для обычного пользователя достаточно сверки с закладкой и проверки на tonscan/официальном Telegram-канале.

Анатомия фишинга: поддельные сайты TON-кошельков

Каждая вторая потеря средств в TON в 2025 году начинается с клика по поддельной ссылке. SlowMist в годовом отчёте называет фишинг самым активным вектором атаки на пользователей экосистемы — мошенники массово клонируют сайты Tonkeeper, MyTonWallet, STON.fi, Fragment и Getgems. Этот разбор — полная анатомия типичного фейкового сайта: что атакующий копирует, чего копировать не может, и как за 30 секунд отличить настоящий ресурс от подделки. Без этого навыка любой кошелёк уязвим, какой бы технологически продвинутый он ни был.

Жизненный цикл фишингового сайта

Чтобы понимать, на что смотреть, полезно знать, как сайт-клон создаётся и существует.

День 0 — регистрация домена. Атакующий покупает домен, визуально похожий на оригинал. Стоимость — $1-15. Whois-приватность включена сразу.
День 0-1 — клонирование. Скрипт wget или httrack забирает HTML-CSS-JS оригинального сайта. Меняется только адрес backend-эндпоинта, на который уходит submit формы или подпись.
День 1 — сертификат. Let’s Encrypt выдаёт бесплатный SSL по факту валидации DNS. Появляется зелёный замок.
День 1-2 — продвижение. Реклама в Telegram-каналах, рассылка в личку через Telegram-аккаунты, упоминание в боте поддержки. Часто — поддельный пост в “верифицированном” канале через скомпрометированный аккаунт админа.
День 2-4 — сбор урожая. 80% средств собирается в первые 24-48 часов.
День 3-7 — бан. Telegram, антифишинг-сервисы и владельцы оригинала подают жалобы. Сайт уходит в бан, домен утилизируется.
День 8 — рестарт. Новый домен по тому же шаблону.

Главный вывод: домен живёт неделю. Если сайт по адресу, который ты не видел вчера, и его нет в твоей закладке — это потенциально фишинг.

Чем отличается клон от оригинала

Атакующий копирует визуал почти идеально, но есть структурные ограничения. Их и используем для проверки.

Что мошенник копирует точно

HTML, CSS, картинки — забираются автоматически.
Шрифты, иконки, цвета, тексты на главной странице.
Кнопки, формы, верстка под мобильный.
Иногда — даже видеоролики и анимации.

Что мошенник скопировать не может

Доменное имя. Оригинальный tonkeeper.com уже занят, мошенник вынужден взять tonkeeper.io, tonkeeper-app.com, tonkeeper-wallet.online или с подменой буквы — tonkeepeг.com (русская “г” вместо латинской “r”).
История домена. Оригинальный домен зарегистрирован 5+ лет назад, фейк — на этой неделе. Видно через WHOIS или сервис вроде whois.com.
SSL-сертификат от полноценного CA с валидацией организации (OV). Серьёзные проекты в TON чаще используют DV (Domain Validation), но крупные — с валидацией организации. У фейка всегда DV от Let’s Encrypt.
Внутренние ссылки. Часть ссылок на клонированном сайте всё ещё ведёт на оригинальный домен или на 404 — клонирование не идеально.

7 маркеров поддельного сайта

Систематический чек-лист. Достаточно одного срабатывания, чтобы закрыть вкладку.

1. Домен не совпадает с официальным

Сравни строку в адресной строке с тем, что указано на официальной странице проекта в Telegram (закреплённое сообщение в @tonkeeper, @mytonwallet). Внимание к мелочам:

Лишний дефис: ton-keeper.com вместо tonkeeper.com.
Подмена буквы: mytomwallet.com (m вместо n).
Кириллический омоглиф: ton.org где буквы — кириллические “т”, “о”.
Дополнительный поддомен: secure.tonkeeper.io.app-verify.com.
Другая зона: .app, .online, .io, .xyz вместо ожидаемой.

2. Сайт требует ввести seed-фразу

Никогда официальный кошелёк не попросит seed на веб-странице. Импорт seed происходит только в самом приложении (мобильном или расширении), на форме внутри уже установленного клиента. Веб-форма с 12-24 полями для ввода seed — гарантированно фишинг.

3. Запрос на подпись содержит непонятный адрес

При подключении через TON Connect внимательно читай pop-up: какой адрес инициирует запрос (поле Source) и какие jetton-ы перечислены в transfer. Если видишь в transfer свой основной USDT-баланс при попытке “минта” одного NFT — это drainer. Подробнее — в статье про drainer-сайты.

4. Слишком хорошее предложение

Сайт обещает airdrop в 5 000 TON ($25 000+) за подключение кошелька. Реальные airdrop-ы в TON в 2024-2025 (Notcoin, DOGS, Hamster) распределяли токены через Telegram-бот, не через веб-форму с подключением кошелька на стороннем сайте.

5. Отсутствие официальных контактов

На оригинальном сайте Tonkeeper или MyTonWallet есть ссылки на верифицированные Telegram-каналы, GitHub репозиторий, политику приватности. На клоне эти ссылки или ведут “в никуда” (открывают ту же страницу), или ведут на оригинал (мошенник просто забыл переписать).

6. Срочность и давление

“Только сегодня”, “осталось 47 минут”, “адрес кошелька будет заблокирован если не верифицировать в течение часа”. Легитимные сервисы не работают через срочность — это маркер социальной инженерии.

7. Свежий SSL и приватный WHOIS

Технический шаг для продвинутых. Кликни по замку в браузере → Connection is secure → Certificate is valid. Поле Issued On покажет дату выдачи. Если меньше 7 дней назад и issuer — Let’s Encrypt — высокая вероятность фейка. Поле WHOIS на любом стороннем сервисе покажет дату регистрации домена.

Реальный пример из 2025 года

В апреле 2025 года ходила волна сайтов вида getgems-mint.app, tonkeeper-airdrop.com и mytonwallet-claim.io. Все три — drainer-кампании одной и той же группировки Rublevka Team, по данным Recorded Future. Сценарий одинаковый:

Реклама в крупных TON-каналах через скомпрометированных админов.
Лендинг с обратным таймером и обещанием “бесплатного” NFT за 0.1 TON gas.
При подключении кошелька через TON Connect — запрос на подпись с пакетной транзакцией: вместе с минтом NFT уходит подпись на transfer всех jetton-ов и NFT с адреса.

По нашим оценкам и публичным данным tonscan, эта серия сайтов собрала порядка $4-6 млн за месяц до того, как кампания была свёрнута и группа переключилась на Solana.

Алгоритм проверки за 30 секунд

Каждый раз, когда ты собираешься подключить кошелёк к сайту, который видишь впервые:

Сравни домен с закладкой. Если закладки нет — открой Telegram-канал проекта и проверь домен в закреплённом сообщении.
Проверь дату регистрации домена. whois.com или who.is — если меньше месяца, насторожись.
Прочитай запрос TON Connect. Адреса transfer-ов, перечисленные jetton-ы и NFT — должны соответствовать заявленному действию.
Никогда не вводи seed на странице. Это финальное правило, без исключений.

Сетап для практической безопасности

Минимальный набор привычек, которые реально работают:

Только закладки. Заходи на сайты кошельков только через них. Если попал по ссылке от знакомого — всё равно открой закладку и проверь, что URL совпадает.
Browser-расширение от кошелька. Tonkeeper и MyTonWallet проверяют запросы на подпись и предупреждают о known-bad адресах.
Отдельный браузерный профиль. Профиль “crypto” без расширений и истории, отдельный от рабочего и личного. Снижает риск кросс-загрязнения.
Hot wallet с малым балансом. Подключай к dApps только горячий кошелёк с $50-200, не основной. Подробнее про сегментацию — в гайде по seed-фразам.

Каналы доставки фишинговых ссылок

Понимать, откуда жертва попадает на фейковый сайт — половина защиты. Основные каналы 2025-2026 годов:

Реклама в Telegram-каналах

Самый массовый канал. Атакующий покупает рекламный пост в крупном TON-канале (от $200 до $5 000 в зависимости от размера аудитории) и встраивает ссылку на drainer-сайт. Иногда канал крупный и легитимный — администраторы могут не заметить злонамеренную ссылку при автомодерации, особенно если домен ещё не помечен антифишинг-сервисами.

Защита — никогда не кликай по рекламным ссылкам в Telegram. Если интересно посмотреть проект, найди его официальный канал через поиск или закладки.

Сообщения в личку от знакомых

Один аккаунт компрометируется (через SIM-swap или фишинг), и атакующий с него рассылает ссылку всему списку контактов с приветствием “посмотри что я получил”. Ссылка ведёт на drainer.

Защита — если знакомый присылает крипто-ссылку без контекста, позвони ему голосом или напиши через другой канал. Это почти всегда взломанный аккаунт.

”Поддержка” в комментариях публичного чата

Жертва пишет в публичном чате Tonkeeper или TON-комьюнити “у меня не приходит транзакция, помогите”. Через несколько минут в личку пишет аккаунт @tonkeeper_help с предложением “пройти процедуру решения”. Дальше — фишинг или drainer.

Защита — публичные чаты проектов не предполагают личной поддержки. Все легитимные саппорт-каналы публичные, и по любым вопросам пишут только там.

Скомпрометированные посты в верифицированных каналах

Крупный канал с 100k+ подписчиков взламывают через SIM-swap админа. Атакующий публикует пост вида “официальный аирдроп для подписчиков” со ссылкой на drainer. Подписчики кликают, потому что доверяют каналу.

Защита — критически смотри на любые “эксклюзивные” предложения даже в проверенных каналах. Реальные airdrop-ы анонсируются заранее в нескольких источниках, а не только через один канал.

QR-коды в офлайн

Менее массовый, но растущий канал. На криптоконференциях, митапах, выставках встречаются стенды с QR-кодами “получи 5 TON за подписку”. Сканирование ведёт на drainer-сайт. Особенно опасно, потому что в офлайне меньше защитных рефлексов.

Защита — никаких сканирований QR от незнакомых источников, особенно с обещанием бесплатных токенов.

Психология жертвы и почему это работает

Технические факты — это половина истории. Вторая половина — почему люди игнорируют очевидные предупреждения.

FOMO (страх упустить). Таймер “осталось 47 минут до конца раздачи” обходит любую критическую проверку.
Социальное доказательство. Поддельные комментарии под постом (“уже получил 200 TON, спасибо”), отзывы и счётчики выданных наград. Всё фальшивое, всё убедительное.
Авторитет. “Подтверждено TON Foundation”, лого Tonkeeper и MyTonWallet, поддельные галочки верификации в чате. Атакующий специально создаёт визуальную ассоциацию с доверенным брендом.
Усталость от проверок. При 10-й проверке домена в день внимание падает. Атакующие специально запускают кампании в часы пиковой активности (вечером, в выходные).
Эффект свидетеля. “Если бы это было плохо, кто-то бы уже предупредил” — но первые жертвы как раз и не успевают предупредить.

Лучшее противоядие — привычка делать паузу 10 секунд перед любой подписью или вводом seed. Этого хватает, чтобы критическое мышление вернулось.