Налоговый сезон способствует росту мошенничества с криптовалютными кошельками, сообщает «Лаборатория Касперского»

Киберпреступники пользуются налоговым сезоном, чтобы обманом заставить людей, владеющих криптовалютой, предоставить им начальные фразы своего кошелька, создавая поддельные правительственные веб-сайты.

Во многих странах проводятся фишинговые кампании. Исследователи «Лаборатории Касперского» обнаружили фейковые сайты, копирующие налоговые службы Германии, Франции, Австрии, Швейцарии, Бразилии, Чили и Колумбии.

Немецкие и французские схемы агрессивны. Хакеры сообщают держателям криптовалюты, что правила ЕС требуют от них «проверить» свои активы, иначе они рискуют получить штраф в размере до 1 миллиона евро.

Фейковые налоговые порталы требуют начальные фразы криптокошелька

Существует последовательная схема атак, нацеленных на криптовалюты. Жертвы попадают на сайты, которые выглядят как настоящие налоговые сайты, такие как портал ELSTER в Германии или поддельный «Портал по соблюдению налогового законодательства в сфере криптовалют», похожий на Министерство экономики и финансов Франции.

Сайты сообщают пользователям, что их доходы от криптовалюты не облагаются налогом, но только после того, как они пройдут процесс «проверки».

В конце этого процесса жертву просят ввести исходную фразу, которая является ключом восстановления, который дает ей полный контроль над криптовалютным кошельком.

Касперский утверждает, что фейковый немецкий сайт ориентирован на пользователей Ledger, Trezor, Trust Wallet, MetaMask, Phantom, Coinbase и других известных сервисов кошельков.

Французская версия также пытается очистить учетные записи MetaMask, Binance, Coinbase, Trust Wallet и WalletConnect.

Сайты используют угрозы судебного иска, если люди не выполнят просьбу. Это способ обойти базовый инстинкт безопасности, который говорит людям никогда не делиться исходной фразой.

Фейковый французский налоговый сайт. Источник: Касперский.

Держатели криптовалют — не единственные цели.

«Лаборатория Касперского» обнаружила большее количество фишинговых сайтов в тех же странах, которые крали личную информацию у обычных налогоплательщиков. Один фейковый сайт в Чили пообещал вернуть налог в размере около 375 долларов, но затем снял деньги прямо с кредитной карты жертвы.

В Колумбии поддельные правительственные веб-сайты обманом заставляли людей загружать ZIP-файлы, защищенные паролем, и устанавливали на их устройства вредоносное ПО.

Французская кампания выдавала себя за налогового аудитора и рассылала PDF-файл с вредоносным ПО вместо официального документа, предупреждая людей о неполных декларациях о доходах.

В Бразилии мошенники создают веб-сайты, которые утверждают, что помогают людям за определенную плату подавать налоговые декларации. Затем они собирают имена, номера телефонов, адреса, даты рождения, адреса электронной почты и идентификационные номера налогоплательщиков (ИНН).

Касперский заявил, что выдача ИНН делает жертв уязвимыми для поддельных заявок на получение кредита, взлома правительственных аккаунтов и новых атак социальной инженерии.

Растущая среда угроз для держателей криптовалюты

Схемы налогового фишинга подвергают держателей криптовалют опасности с разных сторон.

Согласно отчету Cryptopolitan, в январе 2026 года французское приложение по налогообложению криптовалют Waltio сообщило, что хакеры из группы Shiny Hunters заявили, что украли личные данные примерно у 50 000 пользователей.

Waltio, которая помогает пользователям рассчитывать прирост капитала для подачи налоговых деклараций, сообщила, что украденная информация включала адреса электронной почты и данные о криптовалютных балансах. В последние месяцы во Франции произошла череда похищений и вторжений в дома, связанных с криптовалютами, частично вызванных утечкой информации о владельцах.

В апреле 2026 года группа глобальных исследований и анализа Касперского (GReAT) заявила, что новый троян удаленного доступа под названием CrystalX, который продается по подписке в Telegram, имеет функции мониторинга буфера обмена. Хакеры используют такие функции, чтобы перехватывать скопированные адреса кошельков и заменять их адресами, контролируемыми злоумышленником.

Вредоносная программа также берет пароли из браузеров, Steam, Discord и Telegram и позволяет хакерам управлять зараженными устройствами из любой точки мира.

Настоящий налоговый орган никогда не спросит сид-фразу криптовалюты. Для государственных учреждений не существует порталов «проверки кошелька», а правила ЕС ни по каким причинам не требуют использования крипто-начальных фраз.

Людям не следует загружать файлы из электронных писем, которые якобы отправлены налоговыми органами. Им также следует по умолчанию рассматривать любой сайт, обещающий необлагаемые налогом доходы от криптовалюты, как мошенничество.