Как хакеры крадут сид-фразы через рекламу Google Ads: фишинг MetaMask 2026

Хакеры крадут сид-фразы через рекламу Google Ads, используя фейковые копии сайта MetaMask, которые выглядят идентично оригиналу. В 2025 году эта схема стала одним из главных способов кражи криптовалюты — несмотря на общее снижение фишинговых потерь на 83%, угроза остаётся реальной. Мошенники покупают рекламные объявления по запросам вроде «MetaMask download» или «MetaMask extension», создают сайты-клоны с доменами, отличающимися одной буквой, и ждут, пока жертва сама введёт свою секретную фразу восстановления. Звучит просто? Потому что так оно и есть — и именно поэтому работает.

Фишинг через поисковую рекламу — это когда злоумышленник покупает объявление в Google, которое появляется выше органических результатов поиска. Вы ищете «MetaMask official» или «скачать MetaMask», кликаете на первую ссылку с пометкой «Реклама» — и попадаете на поддельный сайт, который визуально не отличить от настоящего.

Почему это работает в 2025 году? Во-первых, пользователи привыкли доверять рекламе Google — мол, такая большая компания же проверяет рекламодателей. На практике мошенники обходят модерацию, используя легальные компании-прокладки, меняя домены быстрее, чем их успевают заблокировать. Во-вторых, технология Punycode позволяет регистрировать домены, которые визуально идентичны оригинальным — например, заменяя латинскую букву «a» на кириллическую «а», что выглядит одинаково в адресной строке.

По данным Scam Sniffer, в 2025 году потери от фишинга составили $83,85 млн — это на 83% меньше, чем $494 млн в 2024 году. Но не спешите расслабляться: количество жертв сократилось до 106 000 человек, а средний ущерб на одного пострадавшего упал до $790. Это говорит о том, что мошенники переключились с «китов» на массовый розничный фишинг — именно такой, где каждая жертва теряет не миллионы, но несколько сотен или тысяч долларов.

Самый распространённый метод. Мошенники регистрируют домены вроде mertamask.io вместо metamask.io, matamask.com или используют Punycode-домены, которые в браузере отображаются как metamask.io, но фактически ведут на xn--80ak6aa92e.com. Сайт выглядит пиксель-в-пиксель как оригинал, имеет SSL-сертификат (замочек в адресной строке), и пользователь спокойно вводит свою сид-фразу для «восстановления доступа».

В январе 2025 года SlowMist зафиксировала новую волну атак: пользователям приходят письма от имени MetaMask с требованием срочно включить двухфакторную аутентификацию. Письма содержат таймер обратного отсчёта («У вас осталось 24 часа»), создавая искусственное давление. Ссылка ведёт на страницу, где просят ввести сид-фразу для «завершения настройки безопасности». MetaMask официально заявляет: они никогда не отправляют незапрошенные письма и не просят seed-фразу ни при каких обстоятельствах.

Мошенники создают копии Chrome Web Store или размещают вредоносные расширения с похожими названиями. Пользователь ищет «MetaMask extension», кликает рекламное объявление, скачивает «MetaMask Pro» или «MetaMask Wallet» — и вместо кошелька получает malware, который крадёт все данные браузера, включить cookie, пароли и расширения кошельков. В феврале 2025 года такая схема привела к краже $3 млн через скомпрометированный браузер AdsPower.

По данным Scam Sniffer, 2025 год показал парадоксальную картину: с одной стороны, общие потери от фишинга рухнули до $83,85 млн, с другой — атаки стали более изощрёнными и таргетированными.

Данные: Scam Sniffer Annual Report 2025

Но есть и тревожные тенденции. В третьем квартале 2025 года, когда Ethereum показал сильнейший ралли, фишинговые потери взлетели до $31 млн — это почти 37% от годового объёма. Август и сентябрь вместе дали 29% всех потерь года. Это подтверждает закономерность: чем активнее рынок, тем больше жертв. Фишинг работает как «функция вероятности от активности пользователей» — когда люди совершают больше транзакций, часть из них неизбежно попадает на поддельные сайты.

При этом Chainalysis фиксирует рекордный рост мошенничества с подменой личности — на 1400% за 2025 год. Средний размер мошеннического платежа вырос с $782 до $2 764. AI-скамы приносят в 4,5 раза больше прибыли, чем традиционные схемы: $3,2 млн против $719 000 на одну операцию.

В мае 2025 года пользователь искал обменник криптовалюты ChangeNOW через Google. Кликнул на рекламное объявление, попал на сайт с идентичным дизайном, но доменом, зарегистрированным через Punycode. Ввёл сид-фразу своего кошелька для «проверки ликвидности» — и через минуту все средства были выведены. Браузер Chrome даже предложил этот сайт в автозаполнении, усиливая доверие.

Январь 2025 года. Пользователь получает email от «MetaMask Security» с предупреждением о подозрительной активности. В письме — кнопка «Включить 2FA сейчас», таймер показывает 23:59:47. Перейдя по ссылке, пользователь видит привычный интерфейс MetaMask с запросом ввести сид-фразу для «подтверждения владения аккаунтом». После ввода фразы кошелёк опустел за 45 секунд — средства были конвертированы в ETH и отправлены через миксер. По данным ZachXBT, подобные атаки в декабре 2025 — январе 2026 затронули сотни кошельков с убытками до $2 000 на адрес.

Scam Sniffer задокументировал кампанию, где мошенники покупали рекламу по запросам «Zapper», «Lido», «Stargate», «DeFiLlama». Фейковые сайты использовали Permit-подписи — когда пользователь думал, что просто подключает кошелёк, он фактически давал разрешение на вывод всех токенов. Только за один месяц таких кейсов было зафиксировано на $4 млн ущерба.

Фишинг через Google Ads эксплуатирует несколько слабых мест одновременно.

Доверие к позиции в поиске. 67% пользователей кликают на первые три результата поиска, не различая рекламу и органическую выдачу. Мошенники используют это, платя $5-15 за клик по конкурентным криптозапросам — окупаемость при конверсии всего в 0,1% огромна.

Срочность как оружие. Все фишинговые схемы 2025 года используют элемент срочности: «Аккаунт будет заблокирован через 24 часа», «Срочное обновление безопасности», «Подтвердите данные немедленно». Это выключает критическое мышление — человек действует инстинктивно, чтобы избежать потери.

Punycode и визуальная подмена. Технология IDN (Internationalized Domain Names) позволяет использовать символы Unicode в доменах. Кириллическая «а» (U+0430) выглядит идентично латинской «a» (U+0061), но это разные символы. Браузер показывает «metamask.io», но фактический домен — xn--metamsk-io.

EIP-7702 — новая угроза 2025 года. После обновления Ethereum Pectra мошенники начали использовать механизм делегирования аккаунтов. Подписав один «безобидный» запрос, пользователь давал злоумышленнику полный контроль над кошельком. В августе 2025 два таких кейса привели к потере $2,54 млн.

Признаки поддельной рекламы Google Ads:

Практический тест: Перед вводом любых данных скопируйте URL и вставьте в whois-сервис или проверьте через сервисы вроде ScamSniffer или Chainabuse. Если домен зарегистрирован менее месяца назад — это красный флаг.

MetaMask — self-custody кошелёк. Это значит, что компания не хранит ваши ключи и не может восстановить доступ. Соответственно, они никогда не просят seed-phrase в письмах, чатах или на веб-страницах. Единственные ситуации, когда нужна фраза: создание кошелька или восстановление на новом устройстве через официальное приложение.

Scam Sniffer прямо рекомендует: «Прекратите использовать Google-поиск для криптосайтов, если не хотите играть в русскую рулетку с вашим кошельком». Используйте закладки для официальных сайтов или вводите URL вручную.

Ledger, Trezor или GridPlus isolируют приватные ключи. Даже если вы попадёте на фишинговый сайт, без физического нажатия кнопки на устройстве транзакция не подпишется. Это защита от 98% фишинговых атак.

Не ждите. Если есть хоть один шанс, что фраза скомпрометирована, создайте новый кошелёк (с новой seed-фразой) и переведите туда все активы. Делайте это быстро — мошенники часто используют ботов, которые проверяют скомпрометированные кошельки каждые несколько секунд.

Если вы подписывали транзакции или давали approve токенам, отзовите разрешения через revoke.cash или similar services. Это не поможет, если украдена сама seed-фраза, но может спасти ситуацию при Permit-атаках.

Сделайте скриншоты фишингового сайта, сохраните URL, запишите время и сумму потерь. Это понадобится для обращения в правоохранительные органы и сервисы отслеживания.

Криптовалюта признаётся имуществом, её кража расследуется по закону. Обратитесь в местное отделение полиции с заявлением о мошенничестве. Если средства переведены на централизованную биржу, свяжитесь с её службой безопасности — при оперативном обращении есть шанс заморозить счёт.

Используйте сервисы Elliptic, Chainalysis или бесплатные инструменты вроде Etherscan для отслеживания движения украденных средств. В 2025 году правоохранители изъяли рекордные $14 млрд в крипте, включая 61 000 BTC в Великобритании — шанс на возврат существует.

В 2025-2026 годах регуляторы по всему миру усиливают контроль над криптовалютной рекламой и фишингом.

США: SEC и CFTC активно преследуют мошеннические схемы. В декабре 2025 года бруклинская прокуратура обвинила 23-летнего Рональда Спектора в мошенничестве на почти $16 млн через имитацию службы поддержки Coinbase. FTC регулярно выпускает предупреждения о Punycode-атаках.

Россия: С 1 июля 2026 года вступает в силу закон «О цифровой валюте», который легализует криптооперации только через лицензированных посредников. Это создаст контролируемую среду, где фишинговые схемы будет сложнее реализовывать. С июля 2025 года за дропперство (передачу банковских реквизитов третьим лицам) введена уголовная ответственность.

Глобальная тенденция: Регуляторы требуют от Google и других платформ усиления верификации рекламодателей криптовалютных продуктов. В 2025 году Google обновил политику рекламы финансовых услуг, требуя лицензии для криптобирж и кошельков. Однако мошенники продолжают находить лазейки через подставные компании в юрисдикциях с мягким регулированием.

По данным CertiK, использование антифишинговых инструментов снижает риск компрометации на 73%. Особенно эффективны аппаратные кошельки — за последние 12 месяцев только 2% краж с холодных кошельков были связаны с уязвимостями устройств, остальные 98% — с человеческим фактором.

Эволюция атак: Эксперты SlowMist и Scam Sniffer прогнозируют, что фишинг станет ещё более персонализированным. AI-инструменты позволяют создавать дипфейк-видео «поддержки» кошельков, анализировать профили жертв в соцсетях и строить целевые сценарии атак. Мошенничество с подменой личности выросло на 1400% в 2025 году — этот тренд продолжится.

Новые векторы: После полноценного внедрения EIP-7702 ожидается рост атак через делегирование аккаунтов. Одна подпись может дать злоумышленнику постоянный доступ к кошельку без необходимости красть seed-фразу. Защита будет требовать более сложных механизмов проверки транзакций.

Регуляторное давление: В 2026 году ожидается внедрение обязательной верификации рекламодателей криптовалютных продуктов в Google и Meta. Это усложнит жизнь мошенникам, но не остановит их — скорее, повысит качество фишинговых сайтов и сложность обнаружения.

Прогноз Chainalysis: Итоговые потери от криптомошенничества в 2025 году могут превысить $17 млрд по мере выявления новых незаконных адресов. При этом правоохранители научились эффективнее отслеживать и возвращать средства — в 2025 году было изъято $14 млрд.

Фишинг через Google Ads остаётся одной из главных угроз для владельцев криптовалют в 2025-2026 годах. Несмотря на снижение общих потерь до $83,85 млн, атаки стали более изощрёнными: Punycode-домены, фейковые 2FA-страницы, эксплуатация EIP-7702 — всё это требует повышенной бдительности. Главный инсайт: технологии защиты работают, но 98% краж происходят из-за человеческой ошибки. Никогда не вводите сид-фразу на сайтах, не доверяйте рекламе в поиске, используйте аппаратные кошельки для крупных сумм. Ваша безопасность — в ваших руках, и только вы решаете, станете ли вы очередной статистикой в отчёте Scam Sniffer.

Призыв к действию: Проверьте свои закладки прямо сейчас. Удалите все ссылки на криптосервисы, добавленные через поиск, и замените их официальными URL с сайтов разработчиков. Установите ScamSniffer. Это займёт 10 минут и может сохранить ваши накопления.

Нет. MetaMask — self-custody кошелёк, компания никогда не запрашивает seed-phrase ни в письмах, ни на сайтах, ни в чатах поддержки. Единственные исключения: создание кошелька или восстановление на новом устройстве через официальное приложение. Если вас просят ввести фразу — это 100% мошенничество.

Рекламные объявления помечены словом «Реклама» или «Sponsored» и располагаются вверху страницы с небольшим отступом. Однако мошенники используют этот формат для фишинга. Лучшее правило: никогда не кликайте на верхние блоки при поиске криптосервисов — используйте закладки или вводите URL вручную.

Punycode — система кодирования Unicode-символов в ASCII для доменных имён. Позволяет регистрировать домены с символами, визуально идентичными латинским (например, кириллическая «а» вместо латинской). В браузере вы видите «metamask.io», но фактически это xn--80ak6aa92e.com. Это делает подмену неразличимой на первый взгляд.

Да. Даже если вы введёте seed-фразу на фишинговом сайте, без физического подтверждения на устройстве (Ledger/Trezor) транзакция не будет подписана. Однако если вы введёте саму сид-фразу от аппаратного кошелька на сайте — мошенники смогут восстановить кошелёк на своём устройстве. Поэтому правило остаётся неизменным: никогда не вводите seed-фразу на сайтах.

Немедленно создайте новый кошелёк с новой seed-фразой и переведите туда все средства — быстро, пока мошенники не успели автоматизировать вывод. Затем отзовите все разрешения через revoke.cash, зафиксируйте доказательства (скриншоты, URL) и обратитесь в полицию. Если средства ушли на централизованную биржу — свяжитесь с её службой безопасности немедленно.

Официальная поддержка MetaMask не отправляет незапрошенные письма. Фишинговые письма часто содержат: таймеры срочности («24 часа до блокировки»), кнопки «Включить 2FA», упоминания подозрительной активности, грамматические ошибки (хотя AI снижает их количество), отправителей на Gmail или похожих доменах. При сомнении — удалите письмо и зайдите в кошелёк через официальное приложение, а не по ссылке.

Согласно Scam Sniffer, снижение потерь на 83% связано с ростом осведомлённости пользователей и появлением защитных инструментов. Однако мошенники адаптировались: переключились с массовых атак на «китов» (whale hunting), используют AI для персонализации, эксплуатируют новые протоколы вроде EIP-7702. В августе 2025 при росте активности рынка потери взлетели до $12 млн за месяц — фишинг коррелирует с активностью пользователей.