[phishing_hunter]

**Внимание**, фиксирую активную фишинг-кампанию в Питере под аудиторию P2P-обменщиков.

**Свежие домены** (поднялись за последние 7 дней):
- `binanc-spb.com` (опечатка в binance, c)
- `binance-piter.online`
- `bybit-spb-p2p.com`
- `okx-petersburg.io`

**Сценарий**: рассылка в TG-каналы Питера с предложением «эксклюзивный курс P2P для жителей СПб», ссылка на фишинг с формой «биржа KYC», крадут seed/login.

Все 4 домена зарегистрированы через **NameCheap** в течение последней недели, прячутся за CloudFlare. NS = ns1.dnsowl.com — общий маркер всех 4-х.

**Что делать**:
1. **Не кликайте** ссылки из TG-каналов с предложениями, даже от знакомых (могут быть взломаны)
2. Заходите только через сохранённую закладку или прямой ввод адреса
3. Если кликнули и ввели данные — немедленно меняйте пароли, отзывайте сессии, переводите фонды на cold
4. Зарепортите домен через Phishtank (https://phishtank.org/) и Google Safe Browsing

Будьте внимательны.

[opsec_red]

Подтверждаю кампанию. У меня вчера попался бот в крипто-чате СПб с подобной ссылкой. Заскринил, удалили.

**Дополнение**: в TG появились боты, которые мимикрируют под официальные саппорт-боты бирж (имя `@binance_help_ru` и подобные). Официальные боты Binance в TG **только** на странице со списком в саппорте на binance.com, никакие "ru"-варианты не существуют.

[0xMaks_Питер]

Закрепил тред. Продолжайте репортить, делаем chain.

Кто видит новые подозрительные домены — кидайте сюда, я добавлю в шапку (закреплю апдейтом).

[phishing_hunter]

Через час после публикации еще 2 домена в реестр кампании:
- `bingx-piter.com` (тот же стек)
- `htx-spb.online`

Регистрация в той же сессии (NameCheap, ns1.dnsowl.com), сертификат let’s encrypt, поднялись через одну и ту же CF-аккаунт. Это координированная атака на питерский сегмент.

[aml_specialist]

Это не просто фишинг seed’а — это связка. Добытые seed используются для drain (ETH/L2/Tron USDT), кэш сбрасывается через mixer и затем через P2P в Восточной Европе.

Если у вас в команде или в близком круге кто-то стал жертвой — **критично** успеть в первые часы: отозвать approvals (revoke.cash), переместить фонды, написать в саппорт биржи.

[aml_specialist]

Полезная утилита: **revoke.cash** (или scrollscan/etherscan token approvals) — покажет все active spending approvals. Drain-операции часто идут через ранее одобренные approval’ы — поэтому даже если фонды на cold, если cold подписывал approval — могут вынести.

[tor_vpn_admin]

Дополнение: на уровне сети — установите DNS-фильтр (NextDNS / AdGuard DNS) с подпиской на phishing-блок-листы. Большинство этих фейк-доменов уже в общих чёрных списках через 6-12 часов.

[phishing_hunter]

**Update**: WHOIS на доменах выявил один и тот же email регистратора (anonymized via NameCheap, но pattern common). Зарепортил абуз в NameCheap и CloudFlare. К утру 3 из 6 доменов уже снесены.

Будьте бдительны — таких кампаний идёт по 2-3 в неделю стабильно.

[crypto_newbie]

А как отличить настоящий сайт биржи от фейка? Я только начинаю и боюсь ошибиться.

[opsec_red]

@crypto_newbie топ-3 правила для новичка:

1. **Зайдите один раз** через поиск по "binance.com" → "OKX.com" → "Bybit.com" (точно эти домены, без `-spb`, `.online`, `-ru` и пр.)
2. **Сохраните в закладки** браузера. Дальше — только через закладку.
3. **Никогда** не переходите по ссылкам из чатов/писем/боев на крипто-биржу. Открывайте через закладку, потом ищите нужное действие на сайте.

Это 90% защиты от фишинга. Остальные 10% — отдельный hardware-2FA (yubikey).