В январе 2026 года Мартин Кухарж, один из организаторов конференции BTC Prague, получил сообщение в Telegram. Знакомый человек, скомпрометированный аккаунт, привычный контекст — предложение созвониться. Ссылка вела на страницу, визуально идентичную Zoom. Дальше — стандартный сценарий: проблема с аудио, просьба установить обновление. Всё.
Это не фишинг в классическом смысле. Здесь нет подозрительного письма с опечатками и странным отправителем. Это операция по управлению доверием — и именно поэтому она работает даже на опытных участниках крипторынка.
По данным FBI, в 2025 году американские пользователи подали 181 565 жалоб на криптовалютное мошенничество. Средний ущерб на одно обращение — $62 604. Суммарные потери от инвестиционных скамов составили $7,23 млрд из общего объема $11,36 млрд задокументированного крипто-фрода за год.
Отдельная статистика — по атакам через имперсонацию: рост более чем на 1 400% год к году в 2025-м. Средний платеж жертвы вырос с $782 в 2024 году до $2 764 в 2025-м.
За значительной частью этих атак стоит одна структура — Lazarus Group и аффилированные с ней группировки северокорейской разведки. По данным FBI и Mandiant, в 2025 году они похитили $2,02 млрд в криптовалюте — рост 51% к предыдущему году. Атака на Bybit в феврале 2025-го — $1,5 млрд за одну операцию — атрибутирована именно им.
Схема начинается задолго до самого звонка. Атакующие выходят на жертву через Telegram, LinkedIn, email или X. Псевдо-рекрутёр предлагает позицию в Web3 с зарплатой от $16 000 до $44 000 в месяц. «Инвестор» хочет обсудить сделку. «Партнёр» — познакомиться и обменяться контактами. Всё выглядит как обычный деловой контакт, потому что в крипто-индустрии незнакомые люди действительно пишут друг другу каждый день.
Следующий шаг — ссылка на звонок. Жертва видит убедительную имитацию: зал ожидания Zoom с аудио-сигналами других участников, страницу Google Meet с корректным интерфейсом. Домены создаются специально: uswebzoomus[.]com, googlemeetinterview[.]click, 9ooggleactivemeett[.]live. По данным Netcraft и Malwarebytes, операторы заранее готовят резервные домены на разных хостингах — в расчете на неизбежный takedown.
На странице «звонка» появляется сообщение об ошибке: проблема с микрофоном, требуется обновление клиента, необходимо установить расширение. Жертве предлагается скопировать команду в терминал, скачать установщик или запустить скрипт. Этот момент намеренно выглядит технически рутинным. Именно поэтому он работает.
После установки атакующие получают полный доступ: keystroke logging, мониторинг буфера обмена, скриншоты в реальном времени, данные браузера и кошельковых расширений — MetaMask, Trust Wallet, Phantom и других. На macOS — iCloud Keychain. Seed-фразы и приватные ключи, если они когда-либо вводились или копировались на устройстве, считаются скомпрометированными.
Одна из самых технически изощренных деталей — то, что Kaspersky GReAT назвал операцией GhostCall. Атакующие заранее записывают видео с веб-камер предыдущих жертв без их ведома. Во время «звонка» со следующей жертвой они воспроизводят эту запись — жертва видит живой видеопоток реального человека из своего делового окружения.
Это не deepfake в техническом смысле. Это запись реального человека, которого жертва, вероятно, знает. Атакующий остается «с проблемой аудио» и ведет только текстовый чат. Психологически — идеальная ловушка: ты видишь знакомое лицо, слышишь знакомый голос в записи, и у тебя нет никаких оснований для подозрений.
Сразу после компрометации устройства атакующие получают доступ к Telegram-контактам жертвы и немедленно используют её аккаунт для рассылки той же ссылки следующим потенциальным жертвам. Атака распространяется по доверенным деловым сетям без каких-либо внешних признаков.
Lazarus Group, BlueNoroff, UNC1069, TraderTraitor, Famous Chollima — всё это названия субструктур одной операции, которую ведет Разведывательное управление Генерального штаба КНДР. Атрибутированы FBI, Mandiant и Kaspersky.
Отдельного упоминания заслуживает кейс Drift Protocol. Lazarus потратила 6 месяцев на инфильтрацию: лично встречалась с командой на конференциях в нескольких странах, внесла $1 млн реального капитала для создания доверия. Дренирование $286 млн заняло 12 минут. Это не скам — это государственная операция с бюджетом и горизонтом планирования.
По данным Mandiant и Google Threat Intelligence Group, группировка UNC1069 официально зафиксирована за использованием Google Gemini для оперативного ресёрча, генерации персонализированного контента под конкретную жертву и написания кода. Автоматизация атак на уровне государственного актора.
Традиционный совет «не переходи по подозрительным ссылкам» здесь бесполезен. Ссылка выглядит как Zoom. Домен визуально идентичен оригинальному. Собеседник в видеопотоке — реальный человек, которого жертва знает. Установщик подписан валидным цифровым сертификатом — украденным у легитимной компании. Антивирус молчит, потому что часть атакующих использует не кастомную малварь, а перепрофилированное коммерческое enterprise-ПО для мониторинга.
«Мы видим эту схему в расследованиях регулярно. Принципиальное отличие от классического фишинга — здесь нет технического эксплойта. На цепочке транзакция выглядит как легитимная, авторизованная владельцем. Именно поэтому полноценное расследование требует не только on-chain трейсинга, но и реконструкции событий off-chain: хронологии атаки, идентификации вектора входа, анализа устройства. Одного без другого для работы с правоохранительными органами недостаточно.»
Это принципиально другой класс угрозы: операция по управлению доверием, а не технический взлом. Защита должна быть операционной — не только технической.
Для частных владельцев и инвесторов аппаратный кошелёк остается единственным надежным барьером даже при полной компрометации устройства. Seed-фраза, которая никогда не существовала на компьютере, не может быть украдена через малварь. Отдельное устройство исключительно для крипто-операций — без браузинга, звонков и получения файлов — это не паранойя, это операционная гигиена.
Ключевая мера — верификация через альтернативный канал перед любым неожиданным звонком. Если «партнёр» написал в Telegram — позвони ему по номеру из своей адресной книги, не через Telegram. Если «рекрутёр» прислал ссылку на Meet — найди компанию через Google и напиши им напрямую. Один дополнительный шаг закрывает большинство сценариев.
Для компаний и команд: изоляция корпоративных кошельков от рабочих устройств, multisig с разделенными ключами для значимых активов, запрет на установку любого ПО «для звонка» вне согласованного списка. Все обновления клиентов — только через официальные сайты напрямую, никогда через ссылку из чата. И регулярный briefing команды с конкретными примерами актуальных схем — не как compliance-формальность, а как реальная подготовка.
Недооцененная мера: если кто-то из команды или делового окружения был скомпрометирован — немедленно уведомите всех его контактов. Атака через GhostCall распространяется по доверенным сетям мгновенно, и скорость уведомления напрямую влияет на число следующих жертв.
Дренирование Bybit заняло несколько часов. Drift Protocol — 12 минут. После того как средства покинули первичный кошелёк, каждая минута сужает возможности для заморозки.
Типичный паттерн движения украденных средств по операциям Lazarus: немедленный вывод на промежуточные адреса, свопы через DEX для разрыва прямой on-chain связи, bridging на другую сеть, дробление через десятки промежуточных адресов, финальный вывод через OTC-операторов с мягкими KYC-требованиями или конвертация в Monero.
Blockchain forensics в таких случаях позволяет атрибутировать адреса по поведенческим паттернам on-chain, прослеживать движение средств через bridges и свопы, маркировать адреса назначения и направлять уведомления на биржи с запросом заморозки — до фактического вывода. А также структурировать on-chain данные для правоохранительных запросов и судебных процедур. Важно понимать ограничение: если средства уже выведены через небольшие неразмеченные обменники — возможности сужаются, поэтому скорость реагирования критична.
Если инцидент уже произошел — не тратьте время на самостоятельный анализ. Обращайтесь в профильные компании, специализирующиеся на расследовании криптовалютных краж и возврате активов.
