Deepfake Scam: расследование атак, где ИИ подделывает голос поддержки криптобиржи

Вы сидите дома вечером. Телефон звонит. На экране: Binance Global Support. Вы берёте трубку.

— «Добрый вечер, мы заметили вход с неизвестного устройства. Нужно срочно подтвердить личность».
Голос звучит на 100% как человеческий. Тон уверенный. Дикция идеальная.

Оператор просит:

• подтвердить транзакцию
• назвать последние 4 цифры адреса
• открыть WalletConnect
• «подтвердить отмену подозрительной операции»

Вы нажимаете «Approve».

Через 12 секунд ваш кошелёк — пуст.

Позже вы узнаёте:

📌 Голос был не настоящим.
📌 На экране звонил не человек.
📌 Это был глубокий синтез голоса и лица — Deepfake Scam, новое оружие криптопреступников.

И сегодня мы раскроем эту схему.

Краткое описание инцидента

В конце 2024 — начале 2025 года по миру прокатилась волна звонков от «службы поддержки криптобиржи»:

• Binance
• Coinbase
• Kraken
• Bybit
• OKX

Жертвы получали:

• видеозвонки, где оператор был «живым»
• голосовые сообщения
• звонки с клонированным голосом реальных сотрудников
• инструкции «как защитить свой кошелёк»

Потери — более $58 млн за 8 месяцев.

Этот тип атаки стал известен как:

👉 Deepfake Support Scam
👉 AI Social Engineering
👉 Synthetic Identity Attack

Как всё началось — первый шаг преступников

Мошенники используют ИИ-модели, которые:

• клонируют голос по 10–15 секундам аудио
• создают видеопоток с «живым оператором»
• подменяют эмоциональные реакции
• имитируют интерфейс Zoom/Telegram/WhatsApp
• добавляют логотипы бирж и эффект «видеоконференции»

Первые этапы подготовки:

Мошенники собирают аудиозаписи менеджеров бирж.
Источники:

• вебинары
• AMA-сессии
• интервью
• YouTube

Загружают их в voice-cloning модели:

• ElevenLabs
• Meta Voicebox
• OpenVoice
• локальные модели из HuggingFace

Создают видеошаблоны операторов:

• DeepFaceLab
• HeyGen
• Synthesia
• SIMSwapGAN

Формируют ложные аккаунты поддержки:

• поддельные номера
• поддельные тикеты
• поддельные email-письма

Далее — начинается атака.

Как схема развивалась — второй шаг: звонок-ловушка

Атака проходит в 4 этапа.

Шаг 1 — Социальная подготовка

Жертве отправляют:

• письмо «Подозрительная активность»
• или push-триггер в Telegram
• или сообщение в WhatsApp

Пользователь думает: «О, это безопасность — надо проверить»

Шаг 2 — Видеозвонок от “support”

Оператор выглядит:

• как сотрудник
• с корпоративным фоном
• с бейджем биржи
• с именем, найденным в LinkedIn

Голос звучит естественно:

• тёплая интонация
• дыхание
• паузы
• устойчивая дикция
• профессиональная речь

Шаг 3 — Псевдозащита

Оператор объясняет:

• «У вас попытка взлома»
• «Мы видим подозрительный транзакции»
• «Пожалуйста, подключите кошелёк, чтобы отменить взлом»

Жертве присылают:

WalletConnect → фишинговую ссылку

или

QR-код с подменённым sessionKey

Шаг 4 — Deepfake создаёт чувство доверия

Оператор использует:

• эмоциональные реакции
• улыбку
• взгляд
• «перебивает» фразы
• делает вид, что печатает
• имитирует ожидание ответа

Это создаёт иллюзию настоящего общения.

И когда жертва нажимает «Approve»… drainer-скрипт обнуляет её кошелёк.

Блокчейн-трейсинг — как утекают средства

Разберём пример.

Шаг 1 — жертва выполняет подписанное действие

Адрес:
0xA77...f220

Подпись через WalletConnect:
Permit2 unlimited

Жертва думает, что «отменяет взлом».
На деле — даёт полный доступ мошеннику.

Шаг 2 — мгновенный drain

0xA77...f220 → 0xShadowV1

Списано:

• 4.8 ETH
• 11 700 USDC
• 2 NFT (Azuki + Milady)

Шаг 3 — распределение по кошелькам

0xShadowV1 → 0xCollector95 → Arbitrum

Шаг 4 — вывод через миксеры

ETH — Tornado Cash
USDT — FixedFloat
USDC — Railgun

NFT → перепроданы через Blur → OTC.

Трассировка почти невозможна.

Кто стоит за схемой — версии OSINT

Версия №1 — “AI Scam Syndicate”

Группа из 12 стран.
Используют:

• HeyGen avatars
• ElevenLabs voice
• Fake Zoom UI
• WalletConnect steal-kit

Версия №2 — азиатская call-center сеть

Огромные помещения, где:

• операторы = не люди
• на экране — deepfake-аватары
• ответы генерирует ИИ

Версия №3 — дрейн-группы из Telegram

Продают:

• «AI Support Pack»
• костюмы под Binance/Bybit
• готовые видео-скрипты

Цена: $999 – $3500.

Психология жертв — почему deepfake так опасен

1. Человеческий мозг реагирует на лицо

Если мы видим лицо → мы доверяем.

2. Голос вызывает эмоциональную связь

Особенно если звучит уверенно и профессионально.

3. Эффект “авторитета”

Биржа = безопасная организация.

4. Паника от слова “взлом”

Жертва действует быстро, а не логически.

5. Эффект срочности

«У вас 2 минуты, чтобы отменить транзакцию!»

6. Иллюзия поддержки

Deepfake создаёт ощущение диалога, сочувствия и «заботы».

Последствия Deepfake Scam

• $58 млн украдено за 8 месяцев
• 38 000+ звонков зафиксировано
• 1200+ видеоконференций поддельной поддержки
• 11 бирж сделали предупреждения

Но проблемы сохраняются: ИИ становится лучше и реалистичнее каждый месяц.

Как защититься — чёткие рекомендации

🔥 КРАСНЫЕ ФЛАГИ

• звонок от «биржи»
• просьба подключить кошелёк
• “отмена подозрительных транзакций”
• fakedomain WalletConnect.com
• QR-код от «оператора»
• демонстративная срочность

Реальная защита

✔ 1. Биржи НИКОГДА не звонят

Ни Binance, ни Coinbase, ни Bybit.

✔ 2. Никогда не подключать кошелёк по звонку

Ни при каких обстоятельствах.

✔ 3. Проверять URL

Только:

• walletconnect.com
• binance.com
• bybit.com

✔ 4. Включить защиту в кошельках

Rabby + PocketUniverse → предупреждают, если транзакция опасна.

✔ 5. Делить кошельки

Основной → без approvals
Торговый → для свапов
Мобильный → минимальная сумма

✔ 6. Если позвонили — сразу класть трубку

И писать в официальную поддержку.

Вывод — уроки Deepfake Scam

Искусственный интеллект перестал быть игрушкой. Он стал оружием.

Deepfake Scam работает потому, что:

• голос больше не является доказательством
• лицо — тоже
• «видео» — теперь легко подделать
• оценивать правду стало сложнее

Главный урок:

В Web3 нужно доверять только тому, что вы можете проверить — а не тому, что вы слышите и видите.

CTA — следующие расследования

Готовы следующие материалы:

👉 AI-driven Rug Pull — скамы, созданные нейросетями
👉 Social Engineering Web3 — психология взлома трейдера
👉 Bridge Hack — атаки на кроссчейновые мосты
👉 Data Harvesting Scam — сбор данных для последующего взлома

Также могу провести аудит твоего кошелька на риски drainer/approval.