Киберпреступники пользуются налоговым сезоном, чтобы обманом заставить владельцев криптовалюты предоставить им сид-фразы своих кошельков, создавая поддельные правительственные веб-сайты.
Фишинговые кампании ведутся во многих странах. Исследователи «Лаборатории Касперского» обнаружили поддельные сайты, копирующие налоговые органы Германии, Франции, Австрии, Швейцарии, Бразилии, Чили и Колумбии.
Немецкие и французские схемы носят агрессивный характер. Хакеры сообщают владельцам криптовалюты, что правила ЕС требуют от них «подтверждения» своих активов, в противном случае им грозит штраф до 1 миллиона евро.
Поддельные налоговые порталы требуют сид-фразы для криптокошельков
В атаках на криптовалюты прослеживается определенная закономерность. Жертвы попадают на сайты, которые выглядят как настоящие налоговые сайты, например, немецкий портал ELSTER или поддельный «Портал по соблюдению налогового законодательства в отношении криптовалют», который выдает себя за Министерство экономики и финансов Франции.
На сайтах пользователям сообщают, что их криптовалютный доход не облагается налогом, но только после прохождения процесса «верификации».
В конце этого процесса у жертвы запрашивается сид-фраза, которая является ключом восстановления, предоставляющим ей полный контроль над криптовалютным кошельком.
Компания Kaspersky утверждает, что поддельный немецкий сайт нацелен на пользователей Ledger, Trezor, Trust Wallet, MetaMask, Phantom, Coinbase и других известных сервисов электронных кошельков.
Французская версия также пытается очистить счета на MetaMask, Binance, Coinbase, Trust Wallet и WalletConnect.
Эти сайты используют угрозы судебного преследования, если люди не выполнят просьбу. Это способ обойти базовый инстинкт безопасности, который подсказывает людям никогда не делиться сид-фразой.
Криптовалютные держатели — не единственные цели.
Компания Kaspersky обнаружила в тех же странах большое количество фишинговых сайтов, которые крали личную информацию обычных налогоплательщиков. Один из поддельных сайтов в Чили обещал возврат налогов в размере около 375 долларов, но затем списывал деньги напрямую с кредитной карты жертвы.
В Колумбии поддельные правительственные сайты обманом заставляли людей скачивать защищенные паролем ZIP-файлы, которые устанавливали вредоносное ПО на их устройства.
Французская информационная кампания, выдавая себя за налогового инспектора, рассылала PDF-файлы с вредоносным ПО вместо официального документа, предупреждая людей о неполноте поданных налоговых деклараций.
В Бразилии мошенники создают веб-сайты, которые якобы за плату помогают людям подавать налоговые декларации. Затем они собирают имена, номера телефонов, адреса, даты рождения, адреса электронной почты иdentномера налогоплательщиков (ИТН).
Компания «Лаборатория Касперского» заявила, что предоставление ИНН делает жертв уязвимыми для поддельных заявок на кредиты, взлома государственных аккаунтов и других атак с использованием методов социальной инженерии.
Растущая угроза для держателей криптовалют
Фишинговые схемы, связанные с налогами, подвергают владельцев криптовалюты опасности со многих сторон.
В январе 2026 года французское приложение для расчета налогов на криптовалюту Waltio сообщило, что хакеры из группы «Shiny Hunters» заявили о краже личных данных примерно 50 000 пользователей, как Cryptopolitanиздание Cryptopolitan сообщало тогда
Компания Waltio, помогающая пользователям рассчитывать прирост капитала для налоговых деклараций, сообщила, что украденная информация включала адреса электронной почты и данные о балансах криптовалютных счетов. В последние месяцы во Франции наблюдается серия похищений и ограблений домов, связанных с криптовалютами, частично вызванных утечкой информации о владельцах.
В апреле 2026 года Глобальная группа исследований и анализа «Лаборатории Касперского» (GReAT) сообщила о появлении нового трояна удаленного доступа под названием CrystalX, который продается по подписке в Telegram и имеет функции мониторинга буфера обмена. Хакеры используют такие функции для перехвата скопированных адресов кошельков и замены их адресами, контролируемыми злоумышленником.
Вредоносная программа также похищает пароли из браузеров, Steam, Discord и Telegram и позволяет хакерам управлять зараженными устройствами из любой точки мира.
Настоящая налоговая служба никогда не запросит сид-фразу для криптовалюты. Для государственных органов не существует порталов «верификации кошельков», и правила ЕС не требуют предоставления сид-фраз для криптовалюты ни по какой причине.
Людям не следует скачивать файлы из электронных писем, якобы отправленных налоговыми органами. Также им следует по умолчанию считать мошенническим любой сайт, обещающий необлагаемый налогом доход в криптовалюте.
