Мошенники под видом налоговых органов крадут криптовалюту: как защитить свои активы

Атака начинается с электронного письма, якобы отправленного от имени Belastingdienst (Налоговой службы Нидерландов) или MijnOverheid (официального правительственного портала). В письме сообщается о новых налоговых правилах, введенных в 2025 году, и требовании срочно заполнить декларацию о криптоактивах. Мошенники используют тактику давления: указывают короткие сроки выполнения и угрожают штрафами за неисполнение.

Важно отметить, что в Нидерландах действительно требуется декларировать криптовалюту, но это делается в рамках стандартной налоговой отчетности, а не через отдельную форму. Однако многие пользователи не знают об этом, что и используют злоумышленники.

Перейдя по ссылке из письма, пользователь попадает на поддельный сайт, который выглядит как официальный государственный портал. Дизайн, шрифты, логотипы и даже упоминание системы DigiD (используемой для авторизации в госуслугах) - все создано для максимального правдоподобия.

На сайте жертву просят ввести личные данные:

• ФИО и домашний адрес
• Дату рождения
• Электронную почту и номер телефона
• Банковский счет (IBAN)
• Название кошелька (например, MetaMask, Trust Wallet)
• В некоторых случаях - сумму криптоактивов на кошельке

В зависимости от версии фишингового набора, мошенники используют один из двух способов доступа к кошелькам жертв.

1. Кража сид-фразы

После заполнения формы пользователя просят ввести сид-фразу (12 или 24 слова) для «подключения кошелька». Как только фраза попадает в руки злоумышленников, они мгновенно получают доступ к активам жертвы. Данные передаются через Telegram-бота или сохраняются в админ-панели мошенников.

Фишинговые сайты также используют скрипты, препятствующие анализу: блокируют сохранение страницы, запрещают использование кнопки «Назад», предотвращают открытие инструментов разработчика. Это усложняет обнаружение мошенничества.

2. Криптодренаж через WalletConnect

В более сложной версии атаки мошенники внедряют функцию WalletConnect, позволяющую взаимодействовать не только с обычными кошельками, но и с кошельками на основе смарт-контрактов (например, Safe, Argent). Жертву просят отсканировать QR-код для «подтверждения декларации», после чего запускается вредоносный скрипт, отправляющий транзакции на вывод средств.

В этом случае используется модифицированная версия Inferno Drainer - известного инструмента для кражи криптовалюты. После подключения кошелька жертва получает запрос на подписание транзакции, которая на самом деле передает контроль над активами злоумышленникам.

Мошенники постоянно совершенствуют методы атак, используя социальную инженерию и технические уловки. Владельцам криптовалют важно оставаться бдительными и соблюдать базовые правила безопасности. Если вы столкнулись с подобной схемой, немедленно сообщите об этом в правоохранительные органы и специализированные кибербезопасностные компании.

Domains

• 176-65-134-35.cprapid.com
• 25280-6588.s3.webspace.re
• 66-63-187-130.cprapid.com
• 6rbcc.com
• belastingcryptotoeslagen.info
• clientennota-webnl.ddns.info
• crypto-aangifte.mljnoverheldportaal.com
• cryptoaangifteportaal.com
• digid-online.nl
• mijnaangifte-2025.com
• mijnoverheid-nl.com
• mijnoverheld-app.duckdns.org
• nlweb-wetgeving.dnsrd.com
• securedauth-nl.su
• securedauth-no.su
• sheckautnl.com

SHA256

• 1649ad550c63513e4b3f77e23ecac040890192c70381ea350d699162ba9626d9
• 342336d738165a465820f98e730cc39aeacfb47f90d7c09e4ec66bf5312e7e6f
• 5e73f708c447d1843ced8f884dc7f58a496f23a237955266bbf87b8977a04cce
• 96cdbb9f0456d0c46889ac322e434de40edf18974a7c887490c409779234a356
• de94e8790ca66cde0920b7dd4e7a32f400400275326e4918096316180ad93c74
• f8226ca8f41f616dc7773ba37d7b73197eb7674954597dbeda5ee8ed91f4e275