Вход

Как инвестиционный партнёр Hypersphere потерял сбережения в Zoom-фишинге: уроки безопасности в 2025 году

Mehdi Farooq, партнёр по инвестициям в криптофонде Hypersphere, стал жертвой целевой фишинговой атаки, проведённой через поддельный Zoom-звонок. По его собственному признанию, он потерял огромную сумму своих сбережений — всё произошло за считанные минуты, когда злоумышленники получили доступ к его кошелькам через вредоносное обновление.

“Это был не просто звонок. Это была хорошо спланированная операция. Я оставил свои кошельки открытыми, и это стоило мне всего.” – Mehdi Farooq.

🧠 Что такое Zoom-фишинг и как он работает?

Zoom-фишинг — это вид социальной инженерии, при котором мошенники:

  • Представляются знакомыми;
  • Запрашивают видеозвонок “для проверки”;
  • Просит установить “обновление”;
  • Получают доступ к системе;
  • Крадут приватные ключи или seed-фразы.

По данным ThreatFabric, в 2025 году такие атаки выросли на 47% — особенно против профессионалов из VC, DeFi и Web3-проектов.

💣 Как именно произошла атака на Farooq?

Всё началось с Telegram-сообщения от человека по имени Alex Lin, которого Mehdi уже знал ранее. После короткого общения:

  1. Farooq отправил свою Calendly-ссылку;
  2. Была назначена встреча;
  3. Незадолго до звонка предложили перейти на Zoom Business;
  4. На вызове якобы присутствовал “LP Kent”;
  5. Пользователя попросили обновить Zoom;
  6. После установки обновления — все шесть кошельков были опустошены.

Сам Farooq признал: это была его ошибка, что он не хранил средства в холодных кошельках и не ограничил доступ к своим активам.

📊 Сравнение Zoom-фишинга и других видов кражи

Метод Доля от всех афер Средний ущерб Вероятность восстановления
Zoom phishing ~18% $96,000 < 0.1%
Email phishing ~22% $110,000 ~0.5%
Rug pull ~14% $52,000 ~1–2%
Smart contract exploit ~11% $150,000 ~3%

Zoom-фишинг — один из самых массовых и труднообнаруживаемых методов, особенно среди высокопоставленных лиц и VC-партнёров.

🪙 Кто стоит за этой атакой?

По словам Farooq, атака связана с группой dangrouspassword — известной северокорейской угрозой, которая также причастна к серии взломов через:

  • Поддельные DApp;
  • Фишинговые домены;
  • Telegram-боты;
  • Deepfake-звонки;
  • Zero-value transfer.

Особенностью группы является высокий уровень подготовки атакующих: они используют реальные имена, подделывают голоса и создают фальшивые документы для усиления доверия.

📉 Почему даже профессионалы теряют деньги через фишинг?

Хотя Farooq работал в Animoca Brands и понимал основы безопасности, он:

  • Не использовал multi-sig;
  • Хранил активы в горячем кошельке;
  • Не проверил домен перед загрузкой обновления;
  • Не ожидал, что “знакомый” может быть скомпрометирован.

По данным Chainalysis, даже опытные пользователи теряют до $2.1 млн ежегодно через фишинг, потому что доверяют знакомым, но не проверяют технические детали.

🧩 Какие ещё примеры фишинга через видеозвонки?

В 2025 году зафиксированы следующие случаи:

  • BitGo CEO Mike Belshe: получил фейковое письмо от Ledger с QR-кодом;
  • Жертва из Великобритании: потерял $330K после звонка от “Apple Support”;
  • Атака на команду Sovryn: через deepfake-видео и поддельные Google Meet;
  • Phishing через Telegram: боты маскируются под инвестгруппы и DAO;
  • Подделка MetaMask: через фальшивое расширение в Chrome Web Store.

Эти примеры показывают, что видеозвонки становятся одним из главных каналов атак, особенно если злоумышленник использует знакомые имена и лица.

🧠 Экспертное мнение: как обнаруживать и предотвращать Zoom-фишинг?

  • Kriss Pax: “Вы должны проверять каждый запрос на обновление, особенно если он поступает во время звонка. Даже если человек вам знаком.”;
  • CryptoSly: “Никогда не запускайте обновления из непроверенных источников. Используйте sandboxed среду.”;
  • Chainalysis: “Такие атаки требуют новых методов защиты, включая AI-анализ голоса и транзакций.”;
  • ThreatFabric: “Если вы управляете активами, вы должны относиться к себе как к цели номер один.”

🛡️ Как защититься от фишинга через видеозвонки?

  • Используйте cold wallet для крупных сумм;
  • Не скачивайте обновления с непроверенных сайтов;
  • Проверяйте домены через Whois.icu;
  • Отключите автоматическую загрузку файлов;
  • Интегрируйте Revoke.cash;
  • Установите антивирус с защитой от фишинга;
  • Обучайтесь через Dune Analytics dashboards.

Также рекомендуется использовать ENS-домены и встроенные системы мониторинга, чтобы быстро обнаруживать угрозы.

📱 Как обезопасить себя на мобильном устройстве?

Мобильные устройства особенно уязвимы:

  • Telegram и X (Twitter) — частые точки входа;
  • QR-коды легко подделываются;
  • Многие не используют multi-sig;
  • Автоматическая синхронизация кошельков;
  • Нет полноценного контроля за установленными приложениями.

Рекомендуется:

  • Не хранить seed-фразы на телефоне;
  • Использовать специализированные кошельки: BlueWallet, Coldcard;
  • Не открывать ссылки из Telegram;
  • Использовать двухфакторную аутентификацию;
  • Включить режим “read-only” в кошельках.

📈 Связь между Zoom-фишингом и другими видами мошенничества

Эта форма атаки часто сочетается с:

  • Zero-value transfer: отправка пустой транзакции для тестирования;
  • Signature phishing: просят подписать “подтверждение”;
  • DeFi-эксплойтами: через подключение к вредоносным пулам;
  • NFT-подделками: обещания бесплатных коллекций;
  • Поддельными обновлениями: Metamask, Trust Wallet, Ledger.

Поэтому важно не только защищать кошелёк, но и обучаться распознавать угрозы в повседневном цифровом пространстве.

📉 Как атака влияет на рынок и доверие к VC?

Случаи вроде этого:

  • Снижают доверие к криптотрейдингу;
  • Увеличивают интерес регуляторов;
  • Создают FUD вокруг VC-компаний;
  • Повышают спрос на cold storage;
  • Стимулируют развитие prDeFi и RWAfi.

После инцидента с Farooq, TVL в некоторых пулах упало на 6.3%, поскольку пользователи начали выводить средства в более безопасные протоколы.

🛠️ Как происходит техническая сторона атаки?

Преступники могут использовать:

  • Remote Access Tools (RAT);
  • Clipboard hijacking;
  • JavaScript injection;
  • Overlay attacks;
  • WebRTC-перехват;
  • AI voice spoofing.

Как только вредоносное ПО установлено, злоумышленники могут:

  • Считывать данные из браузера;
  • Перехватывать подписи контрактов;
  • Отслеживать историю транзакций;
  • Получать доступ к DeFi-портфелю;
  • Отправить средства через smart contract.

Это делает Zoom-фишинг особенно опасным для VC, трейдеров и разработчиков, которые имеют доступ к большим объёмам.

🧮 Какие метрики указывают на риск Zoom-атаки?

  • Резкий рост числа фишинговых доменов;
  • Связь с Telegram и WhatsApp;
  • Незапланированные встречи через Calendly;
  • Произвольные обновления от “коллег”;
  • Запросы на “подписи” или “проверку”.

Эти сигналы можно отслеживать через Grok-3 и Blockaid, чтобы заранее заметить угрозу.

💡 Какие ещё технологии используют мошенники?

Современные аферисты применяют:

  • Deepfake-видео: имитация встречи с известными личностями;
  • AI voice cloning: звуковая подделка;
  • QR-коды: ведут на фишинговые сайты;
  • Фальшивые обновления: через поддельные домены;
  • Overlay-интерфейсы: поверх кошельков.

Эти подходы позволяют манипулировать доверием даже у опытных пользователей, особенно если атака направлена на эмоциональную реакцию.

🧰 Полезные инструменты для защиты от Zoom-фишинга

Для минимизации рисков используйте:

  • Blockaid: блокировка фишинговых URL;
  • WalletGuardian: анализ подписей;
  • Revoke.cash: отзыв разрешений;
  • Dune Analytics: отслеживание активности;
  • Whois.icu: проверка доменов;
  • PhishFort: база данных опасных доменов;
  • Etherscan: анализ транзакций.

Эти платформы помогут вам не потерять средства из-за одной ошибочной установки, особенно если вы участвуете в VC-инвестициях или DeFi-пулах.

🧠 Какие уроки можно извлечь из этого случая?

  • Не доверяйте голосовым и видео-приглашениям без проверки;
  • Используйте cold wallet для значительных средств;
  • Проверяйте домены перед установкой программ;
  • Отключайте автоподключение кошельков;
  • Интегрируйте ENS и multi-sig;
  • Не открывайте транзакции вне проверенного окружения.

Если вы управляете капиталом, даже одна ошибка может стоить миллионы, поэтому важно постоянно повышать уровень цифровой грамотности.

🚀 Будущее Zoom-атак: будут ли изменения в 2025 году?

Да — и они станут ещё сложнее:

  • Голосовые подделки через ИИ;
  • Видео deepfake с участием “живых” людей;
  • Интеграция с Telegram и WhatsApp;
  • Использование ZK-Rollups для маскировки;
  • Работа через поддельные LinkedIn-аккаунты.

Эти изменения требуют нового уровня защиты, особенно если вы управляете средствами в Web3 или DeFi.

🧱 Какие проекты внедряют защиту от таких атак?

  • MetaMask: предупреждения о фишинговых доменах;
  • Trust Wallet: интеграция с Google Safe Browsing;
  • Phantom: проверка домена перед подключением;
  • WalletGuardian: плагины для Chrome и Firefox;
  • Blockaid: защита от signature phishing.

Также популярным становится “wallet hygiene” обучение — особенно среди VC и семейных офисов, управляющих большими фондами.

🧠 Какие ещё примеры Zoom-мошенничества известны?

За последние годы зафиксированы:

  • Атака на сотрудника Coinbase: через поддельный Microsoft Teams;
  • Подделка от OpenZeppelin: через fake Zoom Meeting;
  • Telegram-боты с фейковыми инвестгруппами;
  • Поддельные обновления через Discord;
  • Deepfake-звонки от “партнёров”.

Эти примеры демонстрируют, что Zoom-фишинг стал частью киберугроз, особенно для высокопоставленных лиц.

🧳 Что делать, если вы стали жертвой?

  1. Не паникуйте: иногда транзакции можно отследить;
  2. Сохраните доказательства: скриншоты, TxID, домены;
  3. Проверьте транзакции: через Etherscan или Blockchair;
  4. Отзовите доступ: через Revoke.cash;
  5. Сообщите в службу поддержки: MetaMask, Binance, Chainabuse;
  6. Заблокируйте IP и домены: через антивирус;
  7. Переведите оставшиеся средства: на холодный кошелёк.

Чем быстрее вы действуете, тем больше шансов минимизировать ущерб, хотя полное восстановление возможно лишь в исключительных случаях.

📊 Ончейн-данные: как быстро крипта уходит после атаки?

После того как Farooq сообщил о взломе:

  • Первые транзакции вниз по цепочке: через 12 секунд;
  • Переводы на Tornado Cash forks: менее чем за 45 секунд;
  • Все средства оказались на CEX через 8 минут;
  • Кошельки полностью опустошены за 23 минуты.

Это говорит о том, что скорость реакции — ваш единственный щит против таких атак, где каждая секунда имеет значение.

🌐 Как Zoom-фишинг связан с другими технологиями 2025 года?

Эта угроза интегрируется с:

  • AI voice spoofing;
  • Telegram-боты;
  • Deepfake-видео;
  • Phishing через X (Twitter);
  • Поддельные обновления через Google Ads.

Эти методы делают Zoom-фишинг одним из самых опасных видов мошенничества, особенно в условиях роста удалённого управления активами.

🧱 Технические детали: как происходит компрометация?

Атакующие используют:

  • Поддельные домены: zoom-business[.]com вместо zoom.us;
  • Вредоносные .exe и .dmg: выдающие себя за обновления;
  • Clipboard hijacking: замена адреса Ethereum на вредоносный;
  • Overlay UI: поверх интерфейса кошелька;
  • JavaScript injections: для получения доступа к браузерному кошельку.

Эти инструменты позволяют получить полный контроль над системой и забрать все активы, включая стейблкоины, NFT и DeFi-токены.

📱 Как проверить Zoom-звонок на безопасность?

Вот что делать перед любой встречей:

  • Проверьте ссылку: она ведёт на официальный домен?
  • Используйте отдельный браузер: например, Tor или Brave;
  • Не подключайте кошелёк до звонка;
  • Проверьте Telegram-аккаунт: не было ли недавних изменений;
  • Используйте multi-sig;
  • Следите за TVL в ваших пулах.

Эти шаги могут помочь не попасть в ловушку даже при наличии доверия к человеку, который вас пригласил.

🧠 Заключение: Zoom-фишинг — угроза номер один для криптосообщества

Zoom-фишинг — это:

  • Массовый способ кражи;
  • Опасность даже для профессионалов;
  • Угроза через соцсети и email;
  • Постоянная модификация под новые технологии.

Если вы управляете криптой, проверяйте каждый звонок, каждую ссылку и каждый запрос на обновление. Потому что в 2025 году ваш виртуальный собеседник может быть не тем, за кого себя выдаёт.

“Цифровая безопасность начинается с одного вопроса: действительно ли этот звонок был запланирован?” – Kriss Pax, аналитик крипторынка.
20.06.2025, 04:59
Новости