Як розпізнати спроби фішингових атак, які спрямовуються на вас електронною поштою, та захистити свої цифрові активи
1. Що таке фішинговий електронний лист? Чому так важливо бути пильними?
По суті, фішинговий лист — це «вовк в овечій шкурі», тобто цілеспрямована спроба обдурити одержувача, змусивши його повірити, що лист надіслано довіреною особою або установою, (наприклад, біржею, банком або іншою організацією). Використовуючи універсальні тексти, зловмисник намагається обманним шляхом змусити вас:
🔑 Розкрити свій пароль, сід-фразу або код підтвердження, необхідні для доступу до акаунту
🖱️ Натиснути на шкідливе посилання або відкрити вкладення зі шкідливим вмістом
💸 Переказати кошти на гаманець, який контролює зловмисник, але адреса якого може бути схожою на вашу власну
Оскільки ончейн-транзакції незворотні, після передачі ваших активів зловмиснику відновити їх надзвичайно складно.
🌰 Поширені сценарії фішингових атак, які спрямовуються на учасників криптовалютного ринку:
1️⃣ Зловмисник видає себе за співробітника біржі (наприклад, агента служби підтримки клієнтів): «На вашому акаунті відбулися підозрілі дії. Нам необхідно провести перевірку з метою запобігти можливим ризикам. Будь ласка, перейдіть за цим посиланням, щоб підтвердити вашу особу!»
2️⃣ Фейкові повідомлення про ейрдропи: «Отримайте свою нагороду в BTC: просто привʼяжіть гаманець!»
3️⃣ Фейкове сповіщення системи безпеки: «У ваш акаунт здійснено вхід із нового місцерозташування. Завантажте вкладення, щоб переглянути записи про вхід.»
2. П’ять вірних ознак того, що перед вами фішинговий лист!
1. 📩 Підроблена адреса електронної пошти, яка схожа на легітимну
Хакери створюють адреси відправників і домени, які дуже схожі на справжні (офіційні), щоб ввести вас в оману й змусити повірити в те, що електронного листа надіслала особа або організація, яку ви знаєте та якій довіряєте.
Приклад: електронна адреса хакера: no-reply@p2p-kucoin.com; при цьому офіційна електронна адреса KuCoin завжди закінчується на @kucoin.com.
2. ✅ Офіційні ідентифікатори безпеки
Переконайтеся, що в тексті отриманого вами листа міститься ваш унікальний антифішинговий код. Якщо ви налаштували антифішинговий код, його буде включено в кожне повідомлення від нашої платформи. Якщо ви налаштували код, але його не включено в текст електронного повідомлення, то воно на 100% є шахрайським!
Приклад: після налаштування антифішингового коду користувач отримує фішингового листа, яке не містить коду.
3. ⚠️ Створення термінової ситуації та паніки, щоб змусити жертву діяти негайно
Зловмисники розуміються на принципах соціальної інженерії та часто використовують тиск на жертву з метою налякати її та змусити діяти швидко, без роздумів. Уявіть собі: у вашій скриньці лист із текстом «Ваш акаунт буде заморожено протягом 24 годин, якщо до цього часу ви не підтвердите свої дані!» Необізнаний користувач може піддатися паніці та натиснути на шкідливе посилання. —— Нагадуємо, що справжні повідомлення від серйозної організації ніколи не міститимуть погроз і тиску на користувачів.
4. 🔗 Приховані посилання, що ведуть на підроблені вебсайти
Графічні елементи в тілі листа (наприклад, кнопки, зображення), а також посилання можуть перенаправляти користувача на шахрайський вебсайт (наприклад, www[.]kucoin-login[.]com). Якщо ви вводите свої облікові дані на подібному сайті, хакери отримують доступ до них і можуть перевести собі всі ваші активи. Рекомендуємо навести курсор на кнопку (в жодному разі не натискайте на неї!) — це дозволить перевірити справжність посилання.
Нижче наведено приклад фішингового листа, що містить шкідливе посилання. Натиснувши «Отримайте $KCS», ви потрапите на фальшиву сторінку входу на платформу KuCoin, де вас попросять ввести імʼя користувача та пароль, що дозволить шахраям вкрасти вашу інформацію та активи.
5. 📎 Вкладення або зображення, що приховують шкідливе програмне забезпечення
Остерігайтеся файлів у форматах .exe, .zip та .docm — вони можуть надати хакерам доступ до вашого компʼютера.
3. Використовуйте функції безпеки KuCoin для належного захисту акаунту
🔐 Функція 1: офіційний інструмент верифікації від KuCoin
Будь-яке SMS, електронне повідомлення або посилання на вебсайт, у якому міститься заклик перейти на платформу KuCoin, можна перевірити на предмет легітимності, використовуючи наш офіційний інструмент верифікації за адресою https://www.kucoin.com/cert.
Якщо після перевірки ви бачите повідомлення «Цей ресурс не належить KuCoin», вас перенаправляють на шахрайський ресурс.
Офіційний інструмент верифікації KuCoin можна використовувати для перевірки не тільки вебсайтів, а й електронної пошти, акаунтів у соціальних мережах і номерів телефонів.
🔐 Функція 2: антифішинговий код
Мета: налаштувавши антифішинговий код, ви бачитимете ваш унікальний антифішинговий код у кожному отриманому від нас електронному листі, що дозволить вам легко перевірити його легітимність.
Як налаштувати: фраза для захисту від фішингу (захисна фраза для електронної пошти/входу/виведення коштів)
Важлива порада: перш ніж вчиняти будь-які дії, завжди перевіряйте наявність антифішингового коду в електронному листі, «отриманому від платформи» — якщо електронний лист від «KuCoin» не містить антифішингового коду, не вчиняйте жодних дій.
🔐 Функція 3: обовʼязкова двофакторна автентифікація (2FA)
Мета: навіть якщо ваш пароль стане відомий хакерам, вони не зможуть обійти другий рівень перевірки, як-от мобільні коди верифікації або Google Authenticator.
Рекомендації:
Надавайте перевагу Google Authenticator або апаратним ключам (наприклад, YubiKey), а не SMS-верифікації (SIM-карту може бути перехоплено).
Регулярно перевіряйте розділ «Керування пристроями» і видаляйте незнайомі пристрої.
🔐 Функція 4: сповіщення про вхід/операції
Активуйте сповіщення електронною поштою, SMS та push-сповіщення в розділі «Керування сповіщеннями», щоб бути в курсі активності акаунта та заморозити його в разі виявлення підозрілих дій.
4. Отримали підозрілий електронний лист? Виконайте ці три кроки!
1. 🚫 Не натискайте на елементи, що містяться в такому листі, і не відповідайте на лист. Збережіть наявні докази та повідомте про отриманий лист.
Негайно видаліть лист або завантажте його як EML-файл і повідомте про отриманий лист в один із цих способів:
📌 Користувачі Gmail:
1️⃣ Відкрийте підозрілий лист → Натисніть на три крапки в правому верхньому куті → Виберіть «Завантажити повідомлення».
2️⃣ Система автоматично збереже лист як файл .eml. Надішліть файл до служби підтримки нашої платформи для проведення розслідування.
Користувачі Outlook:
1️⃣ Відкрийте підозрілий лист → Натисніть на три крапки в правому верхньому куті → Виберіть «Завантажити».
2️⃣ Система автоматично збереже лист як файл .eml. Надішліть файл до служби підтримки нашої платформи для проведення розслідування.
2. 📝 Відкрийте офіційний вебсайт, самостійно ввівши адресу.
Якщо вам потрібно виконати операції з акаунтом, завжди вводьте URL-адресу біржі вручну, а не переходьте за посиланнями в електронних листах.
3. 🔍 Перевірте налаштування безпеки.
Регулярно перевіряйте свій антифішинговий код, налаштування 2FA та своєчасно оновлюйте пароль.
5. Памʼятайте, що офіційні представники ніколи…
❌ Не проситимуть вас назвати свій пароль, надісланий в SMS код підтвердження або сід-фразу
❌ Не перенаправлятимуть вас на завантаження неофіційного додатка в електронному листі
❌ Не проситимуть вас вимкнути налаштування безпеки (наприклад, вимкнути 2FA)
Захист ваших активів починається з елементарних кроків!
Увійдіть у свій акаунт і переконайтеся, що всі вищезазначені функції безпеки ввімкнені. Шо більше захисних функцій активовано, то менший ризик.
Якщо у вас виникли запитання, звʼяжіться зі службою підтримки або напишіть нам у чат у правому нижньому куті офіційного вебсайту. Служба безпеки KuCoin радо допоможе перевірити справжність будь-якого електронного листа. —— Пам'ятайте, що агент служби підтримки ніколи не закликатиме вас здійснити переказ коштів!