Обережно: Телефонні шахраї хочуть вашого доступу до API

Основні моменти

• Дивна хвиля шахрайських дзвінків, що атакують користувачів, вводячи їх в оману щодо змін API
• Дізнайтеся про цю схему і як захистити себе
• Налаштуйте 2FA та ключі доступу, перевіряйте дзвінки, заблокуйте ваше API

Все починається з телефонного дзвінка нізвідки. Звучить досить правдоподібно. Хтось, хто стверджує, що він з служби підтримки, розповідає вам про "термінові проблеми безпеки" з вашим рахунком. Вони, здається, знають, про що говорять. Вони проводять вас через зміну деяких налаштувань API. Здається розумним.

Але це не так.

Налаштувавши ці параметри, ви щойно передали ключі від вашого королівства. Шахраї тепер можуть викачувати ваші кошти прямо в свої кишені.

Це остання телефонна афера, яка вражає користувачів криптовалюти в 2025 році. Досить кмітливо, чесно кажучи. Ці злочинці експлуатують довіру – наш природний інстинкт вірити людям, які звучать офіційно. Коли хтось звучить впевнено і готовий допомогти, ми знімаємо свою охорону.

Команди з управління ризиками відстежують цю проблему. Це досить дивно, наскільки ефективним це виявилося. Але ваша обізнаність, напевно, є найкращою зброєю проти цього.

Як насправді працює цей шахрайство

Дзвінок здається справжнім. Професійний голос. Номер на вашому номері виклику виглядає офіційно. Вони створюють терміновість: "Ваш обліковий запис може бути скомпрометований! Нам потрібно терміново виправити налаштування вашого API!"

Багато людей вважають цю історію правдоподібною. Не божевільно довіряти комусь, хто звучить так, ніби намагається допомогти. Тому вони входять у систему і слідкують за подіями, не усвідомлюючи, що відбувається.

Протягом кількох годин трапляється катастрофа. Ті «невеликі зміни» в дозволах API? Вони дозволяють шахраям ініціювати виведення коштів прямо на їхні гаманці.

Технічна сторона справи

API є серцем цього шахрайства. Це зазвичай корисний інструмент для трейдерів, які хочуть автоматизації. Але коли жертви розширюють дозволи API – особливо дозволяючи виведення коштів – зловмисники отримують серйозний контроль.

Оскільки ви внесли ці зміни зі свого пристрою, системи безпеки не фіксують нічого підозрілого. Все виглядає нормально ззовні. Тим часом ваш обліковий запис вже зламано.

Люди зараз діляться жахливими історіями в соціальних мережах. Порожні гаманці. Підозрілі дзвінки. Спільнота починає нервувати.

Реальний вплив на реальних людей

Цифри негарні. Досі постраждало десятки користувачів. Втрати від кількох сотень до тисяч у USDT. Окрім грошей, є психологічний удар. Багато хто думав, що насправді захищає себе, лише щоб виявити, що їх обдурили.

Часування погіршило ситуацію. Ці атаки наростали під час нестабільного ринку наприкінці липня. Трейдери шукали можливості. Ідеальний відволікання. Шахраї вдарили, коли охорона була ослаблена.

Що таке BIN у шахрайстві?

На відміну від шахрайства з API, але варто знати – атаки BIN націлені на перші кілька цифр платіжних карт (Банківські ідентифікаційні номери). Шахраї використовують ці номери як відправну точку для генерації потенційних номерів кредитних карток за допомогою автоматизованих програм.

Вони по суті грають у гру на вгадування, запускаючи алгоритми, які створюють варіації чисел, починаючи з відомих BIN, а потім тестуючи, які з них працюють.

Ви зазвичай помітите незвичайні патерни відхилених транзакцій під час атак BIN. Злочинцям потрібно спробувати багато комбінацій, перш ніж знайти дійсні дані картки. Це не те ж саме, що наша API-шахрайство, але показує, наскільки креативними можуть бути ці люди.

Захистіть себе

Найкраще працює багатошарове захист. Спробуйте ці:

1. Увімкніть 2FA: Використовуйте додаток-автентифікатор або апаратний ключ. Навіть при скомпрометованому доступі до API для виведення коштів необхідний цей другий етап перевірки.

2. Налаштуйте ключ доступу: Це аутентифікація, стійка до фішингу. Використовує ваш відбиток пальця або пристрій для підтвердження. Значно надійніше, ніж лише паролі.

3. Довіряй, але перевіряй: Ніколи не змінюйте налаштування API на основі непрошених дзвінків. Покладіть слухавку, а потім зв’яжіться з підтримкою самостійно через офіційні канали.

4. Забезпечте ці налаштування API: Регулярно перевіряйте свої дозволи. Не дозволяйте виведення коштів, якщо це не є абсолютно необхідним. Часто змінюйте ключі.

5. Слідкуйте за своїм рахунком, як яструб: Щоденні перевірки транзакцій та входів. Налаштуйте сповіщення про виведення.

6. Досліджуйте схеми шахрайства: Це не цікаве читання, але може врятувати ваші кошти.

7. Повідомте про дивні дзвінки: Покладіть слухавку, запишіть номер, скажіть підтримці, що сталося.

8. Призначений криптопристрій: Не обов'язково, але корисно – окремий пристрій лише для криптовалют зменшує ризики.

Швидка порада: Якщо ви вже змінили налаштування API після підозрілого дзвінка, змініть свій пароль ЗАРАЗ, відключіться від Інтернету та зв'яжіться з підтримкою, щоб анулювати всі ключі API.

Останні думки

Ці підроблені дзвінки підтримки хитрі. Але ти розумніший.

Будьте пильні. Дотримуйтеся офіційних каналів. Ніколи не змінюйте налаштування API, тільки тому, що вам сказали про це по телефону. Додайте ці додаткові шари безпеки, такі як ключі доступу та апаратна двофакторна аутентифікація.

Команди з безпеки постійно борються з цими загрозами. Не зовсім зрозуміло, як може еволюціонувати наступна хвиля шахрайств. Але жодна система не перевершує поєднання вашої обізнаності та безпеки платформи. Разом ми можемо не допустити шахраїв і зберегти ваші кошти в безпеці.