Фейковая AML-проверка: как мошенники крадут крипту через подпись транзакции

Продолжаю цикл заметок о мошенниках, которые пытаются нас обмануть. В ближайших публикациях хочу собрать разные кейсы — от совсем наивных до хорошо замаскированных. Сегодня — свежий случай из практики.

Как выглядит сценарий

Мошенник, как обычно, притворяется заказчиком. Он задаёт вопросы о вымышленном проекте, уточняет детали, просит оценку бюджета и сроков. Но есть один маркер, который сильно выделяет эту схему: желание начать «прямо сегодня».

Это почти всегда подозрительно. У реальных клиентов цикл принятия решения, как правило, длиннее: от недели до нескольких месяцев. У нас в работе бывали ситуации, когда обсуждение и согласования тянулись по полгода — и это нормально для B2B, особенно в Web3 и разработке.

В чём уловка

Как только я подтверждаю готовность работать, «клиент» переводит меня в «бухгалтерию». Там мне сообщают, что якобы не могут отправить оплату в криптовалюте, пока я не пройду AML-проверку кошелька.

Дальше дают ссылку на сайт, который выглядит как amlbot.com, но на самом деле это его клон. На этом фейковом сайте просят:

• подключить некостодиальный кошелёк;
• подписать транзакцию;
• взаимодействовать с контрактом, который никому не известен.

Именно в этот момент происходит ключевая атака: подпись транзакции в «проверочном» интерфейсе может оказаться разрешением на вывод средств или другим опасным действием. Снаружи это выглядит как формальность, но фактически вы сами подтверждаете операцию.

Что удалось быстро проверить

• Домен зарегистрирован недавно (в прошлом году) — это не похоже на зрелый сервис с историей.
• На YouTube обнаружились свежие видео и шортсы, загруженные буквально за день до того, как мне написали.
• Визуально сайт почти неотличим от оригинала — копия сделана аккуратно, чтобы усыпить бдительность.

Мои выводы и рекомендации

Эта схема опасна тем, что играет на доверии к знакомому бренду и на желании «быстро закрыть сделку». Поэтому повторю простые правила, которые реально спасают:

• Будьте особенно осторожны с некостодиальными кошельками.
• Не подключайте кошелёк куда попало, даже если сайт «выглядит знакомо».
• Никогда не подписывайте транзакции, если вы на 100% не уверены, что сервис честный и вы понимаете, что именно подписываете.

Если вам пишут «заказчики», которые торопят старт «сегодня», а затем резко переводят разговор в оплату через странные проверки — воспринимайте это как красный флаг и перепроверяйте всё: домен, историю проекта, реальный сайт сервиса, адрес контракта.

Тема важная, поэтому дальше в цикле разберу и другие кейсы — с примерами того, какие маркеры повторяются и как выстроить минимальную защиту команды.