" Возможно, вы слышали этот термин мимоходом и задавались вопросом, что такое Airdrop.
На самом деле пониманию мало помогает тот факт, что этот термин связан с множеством новых форм технологий, с которыми вы, возможно, никогда не сталкивались напрямую. Это один из тех странных способов, с помощью которого мошенники делают с вашими счетами странные вещи, о которых вы понятия не имеете.
Но можете больше не беспокоиться, потому что мы представим вам реальный пример Airdrop phishing. Не волнуйтесь: при создании этого документального фильма ни одна обезьяна не пострадала.
Что такое Airdrop?
Как ни странно, этот термин весьма широко применяется. Первоначально он относился к устройствам Apple: AirDrop — технология передачи файлов по Wi-Fi и Bluetooth, разработанная компанией Apple и впервые представленная в операционных системах OS X Lion и iOS 7.
Возможно, вы также слышали упоминания AirDrop в связи с троллингом: AirDrop — это классная функция цифровой передачи на гаджетах Apple, которая позволяет отправлять фотографии, видео и другие документы напрямую другим пользователям Apple. Проблема в том, что если у вас нет правильных настроек, тролли поблизости могут отправить на ваше устройство кучу нежелательных изображений.
Но зачем мы об этом вспоминаем? Ни одна из этих вещей не связана с теми Airdrops, о которых мы говорим сегодня.
Так о каком типе Airdrop мы говорим?
Airdrop сегодня — это рекламная тактика, направленная на людей, использующих криптовалюту/Web3: бесплатная раздача монет и токенов новым пользователям или тем, кто уже владеет определенной криптовалютой. Эффективный маркетинговый прием, позволяющий новому проекту быстро выйти на широкую аудиторию и развить сообщество.
Хорошая, в общем, штука, для всех: и для команды проекта, и для пользователей.
И для мошенников тоже, увы.
Как правило, бесплатные токены в кошелек пользователя вносятся за выполнение какой-нибудь нехитрой задачи вроде публикации твита о новой криптовалюте (это Bounty Airdrop), подписки на новостную рассылку, регистрации на сайте проекта (Sign Up Airdrop). Иногда бесплатными токенами проекты вознаграждают своих вероноподданных – активных пользователей сообщества (эксклюзивный Airdrop). Есть вариант, при котором новый токен создается в результате хардфорка, и тогда его раздают владельцам старого токена блокчейна (хардфорк Airdrop). Есть так называемый стекинг Airdrop – в ходе него пользователи, имеющие определенную криптовалюту, получают новый токен, кардинально отличающийся от того, которым они уже владеют.
И есть скам, который под Airdrop умело маскируется. О нем-то мы и поговорим.
Поскольку Airdrop обычно вознаграждают первых пользователей определенных валют или сообществ, этот тип вознаграждения может быть выдан без каких-либо условий для всех, кто хочет участвовать в действии, и это отличный способ сохранить эмоциональную вовлеченность людей в их деятельность в Web3. Есть множество примеров успешности такой тактики.
Что касается того, как именно вы получаете Airdrop, то есть несколько разных способов. Эти самые первые пользователи могут обнаружить, что бесплатный Airdrop автоматически распределяется по их адресам, если у них есть определенный уровень инвестиций в сервис, раздающий вознаграждение. Это нормально и хорошо. Очень сильно тревожиться надо тогда, когда предполагаемый Airdrop запрашивает у вас средства или, что еще хуже, вашу фразу для входа / восстановления.
Никто никогда не должен просить об этом.
Но Airdrops очень популярны, и именно поэтому вступают в действие мошенники с фишинговыми атаками.
Распространенная тактика фишинга Airdrop
Фиш-страницы Airdrop пытаются заманить в ловушку как можно больше пользователей криптовалюты. Независимо от того, насколько известна выбранная вами цифровая валюта или насколько необычен ваш кошелек, мошенничество просто ждет вас.
Фиктивный сайт, представленный ниже, выглядит довольно гладко, с бегущей строкой вверху. «Получите бонус за вознаграждение/аирдроп», — умоляют вас.
Фишинговый Airdrop.
Нажав на кнопку, вы попадете на страницу выбора кошелька. Там для вас заботливо перечислили множество кошельков и сервисов. MetaMask, Solflare, Binance, Digitex, Argent – если вы используете какой-то криптовалютный кошелек или сервис, есть большая вероятность, что он где-то есть в списке.
Кошельки на любой вкус
Но собственно выбор не имеет большого значения. Нажав на любой из кошельков, вы получите сообщение о том, что произошла ошибка. Ой, что же делать, что делать?! Подключиться вручную — вот, что вам сейчас предложат мошенники. А для этого попросят отправить им свою фразу, закрытый ключ или хранилище ключей.
Нажатие «Подключиться» приостанавливает работу сайта на секунду, а затем выбрасывает вас на страницу 404, не найденную, содержащую «отправлено» в URL-адресе. В этот момент вам остается только надеяться, что код 404 является подлинным и ничего не было отправлено мошенникам.
Некоторые сайты ориентированы только на пользователей одного кошелька. Вот один из них, предназначенный для пользователей MetaMask, с просьбой ввести их фразу для восстановления:
«Введите секретную фразу…».
Но вот что сообщает официальная поддержка MetaMask:
«Чтобы получить поддержку, откройте MetaMask и перейдите к «Поддержка» или «Получить помощь» в раскрывающемся меню. Не доверяйте любому, кто отправил вам предложение о поддержке в личном сообщеним. НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ вы никогда не должны сообщать свою секретную фразу восстановления кому-либо или вводить ее на каком-либо сайте!»
Фишинг Airdrop на тему обезьян
Обезьяны, конечно же, являются самой популярной приманкой, когда речь идет о фишинге Airdrop. Совсем недавно с помощью компрометации Instagram были украдены NFT Ape на сумму около 3 миллионов долларов. Все, что связано с обезьянами, является гигантским знаком доллара в небе для мошенников, и разнообразие поддельных страниц отражает это.
Все мои обезьяны скоро исчезнут.
Этот конкретный сайт просил посетителей запросить до 10 NFT Bull & Ape, а затем затребовал различные пароли / фразы восстановления. Предполагаемая страница T&C ведет к ошибке 404, а страницы с файлами cookie и политикой конфиденциальности переходят на страницы из несвязанного приложения кошелька. Это действительно похоже на то, что вызывает у вас доверие и чему вы хотите передать свою фразу восстановления?
Фишинг Airdrop «Подключи свой кошелек»
Здесь мошеннический сайт проверяет, установлен ли у вас кошелек, и, если нет, предлагает вам установить его, а затем подключить его к сайту.
Вот аккаунт с 60 тысячами подписчиков, который утверждает, что является проектом Moonbirds, предлагающим аирдроп NFT:
Фейковый аккаунт в Твиттере, предлагающий поддельные аирдропы.
Когда пользователи начали комментировать этот твит, его авторы блокировали возможность людей отвечать под предлогом «безопасности», чтобы никто другой не мог привлечь внимание к мошенничеству.
«Мы беспокоимся о вашей безопасности…»
Это подлинный аккаунт Moonbirds. Обратите внимание на проверенный статус, которого нет у самозванца:
Ниже вы можете увидеть, как мое уже установленное расширение MetaMask открывается в правом верхнем углу, когда я нажимаю кнопку «Подключить кошелек» на поддельной странице Airdrop.
Подключение расширения к мошенническому сайту.
Подключение вашего кошелька к децентрализованным приложениям (Dapps) является распространенным явлением. С чем вам нужно быть осторожным, так это с подключением к мошенническим сайтам. Если вы начнете предоставлять разрешения или подписывать транзакции, вы можете обнаружить, что средства из вашего кошелька испаряются. Вы должны убедиться, что вы не просто говорите «да» на все, о чем вас спрашивает сайт. Вот кое-какие ответы на часто задаваемые вопросов по MetaMask:
Будьте осторожны с тем, к каким Dapps вы подключаетесь и какие разрешения вы им даете.
Для некоторых типов транзакций требуется предоставление Dapp разрешения на доступ к вашим средствам — бесконечным суммам ваших средств.
На самом деле, были случаи, когда Dapps создавались специально с намерением обмануть пользователей и украсть все их средства после того, как они предоставили такой доступ.
Главное в Airdrop - безопасность
Никому не нужен стресс от потери всей своей цифровой валюты из-за фишинга, независимо от того, в какой форме он происходит. Будь то веб-сайты, запрашивающие фразы для восстановления, или сайты в стиле Dapp, соединяющие кошельки, будьте очень осторожны всякий раз, когда что-то делаете со своим кошельком. У вас почти наверняка не будет второго шанса, если что-то пойдет не так.
