DeFi. Безопасность. Анти фишинг. Разбор реального письма

Сразу - к делу!

Мы видим:

1. Якобы ответ, но по истории - нет переписки;
2. Странный поддомен;
3. Я не разрешал этому домену подгружать картинки ранее;
4. Лого поэтому не видно;
5. Кнопка ведёт на кучу редиректов;
6. И далее - я захожу в оригинал письма.

Разбор оригинала

01. Что видно сразу? Главное

Во-первых, письмо выглядит как-будто оно от "Audius", но отправлено через jeqfblehgd.zohodesk.com (Zoho Desk) - подозрительное субдоменное имя (jeqfblehgd) и ссылка в кнопке ведёт не прямо на audius.co, а через calendly.com/url?q=…tinyurl.com…с HMAC-параметром. И тут - поясню:

HMAC - ЭТО....

HMAC (сокр. от Hash-based Message Authentication Code) - это криптографический способ проверить подлинность и целостность данных, основанный на хэш-функциях и секретном ключе.

Что делает HMAC именно? HMAC позволяет убедиться, что сообщение:

1. не было изменено (целостность);
2. пришло от доверенного источника (аутентичность).

Как работает это? (Упрощённая схема)

1. Отправитель и получатель разделяют секретный ключ K.
2. Отправитель создаёт хэш-сумму (подпись) сообщения M с помощью формулы:HMAC = hash((K ⊕ opad) || hash((K ⊕ ipad) || M)) где:
• hash - хэш-функция (например, SHA-256),
• ⊕ - XOR (побитовое сложение по модулю 2),
• opad и ipad - специальные заполнители (outer и inner padding),
• || - конкатенация (склейка).
3. Получатель, зная K и M, повторяет вычисление HMAC.
   Если результат совпадает - значит, сообщение не подделано.

Пример на интуитивном уровне приведу. Допустим, сайт передаёт ссылку вида:

https://example.com/claim?user=123&hmac=bfeba9fa87c6c91c...

Тогда:

• user=123 — открытые данные;
• hmac=bfeba9f… — подпись, которую можно получить только зная секретный ключ.

При открытии ссылки сервер проверяет:

"Если я сам вычислю HMAC(user=123) с моим секретом - совпадёт ли с тем, что в ссылке?

Если совпадает - запрос настоящий. Если нет? Кто-то изменил параметры (фишер или злоумышленник).

Почему, или зачем, HMAC можно встретить в фишинговых письмах?

Фишеры часто вставляют в ссылки поддельные HMAC-параметры (например, hmac=bfeba9fa87c6c91cadc9b5d32efe27d2...) - чтобы создать иллюзию легитимности, будто это безопасная ("подписанная") ссылка от сервиса.

На деле - хэш просто сгенерирован случайно или скопирован.

Где используется легитимно это? Опять же - примерами:

• Авторизация API-запросов (AWS, Binance API, Telegram bots);
• Подпись URL для временного доступа (например, к файлам или видео);
• Проверка webhook’ов (Shopify, GitHub, Stripe);
• В блокчейн-инфраструктуре - для аутентификации offchain-сообщений.

Что ещё не так тут?

В заголовках SPF/DKIM/DMARC отмечены как pass - и это означает, что отправитель действительно авторизован на отправку с домена, указанного в Return-Path. Однако это не гарантирует, что содержимое легитимно: возможны случаи компрометации аккаунта Zoho/субдомена или специально созданная фишинговая подсистема у Zoho (или использование платного сервиса рассылок).

В html - встроен пиксель https://audius.co/pixel.png и внешние изображения (баннеры). Это типично для легитимных рассылок, но также используется фишерами для проверки "живых" адресов.

CTA (кнопка) ведёт к длинной ссылке с перенаправлением - классический трюк скрыть финальную вредоносную ссылку.

02. Технические подозрительные индикаторы

Чуть подробней теперь:

1. Маскирование отправителя: поле From -> Audius <support@jeqfblehgd.zohodesk.com>. Настоящий официальный адрес Audius был бы @audius.co или официальный support домен, а не случайный jeqfblehgd.zohodesk.com.
2. Return-Path & субдомен: support@jeqfblehgd.zohodesk.com - необычное имя субдомена (рандомная строка). Часто фишеры используют либо скомпрометированные сервисы (Zoho Desk аккаунт), либо создают подобные субдомены.
3. Перенаправления в ссылках: в HTML кнопка указывает на calendly.com/url?q=https%3A%2F%2Ftinyurl.com%2F3jp336s7&...&hmac=.... То есть пользователь отправляется на Calendly, который далее перенаправляет на tinyurl, а tinyurl - дальше. Множественные редиректы затрудняют проверку цели и часто используются для сокрытия финального адреса.
4. Несоответствие контента/домена: графика и ссылки в теле указывают на audius.co (баннеры, ссылки в футере), но фактический отправитель - Zoho субдомен. Это может быть легитимным (Audius использует Zoho), но вместе с рандомным субдоменом и редиректами - тревожный, плохой, ужасный сигнал (подберите сами эпитет, который вас затронет :)).
5. Пиксель и внешние ресурсы: встроенный 1×1 пиксель и сторонние изображения - позволяют отправителю зафиксировать факт открытия письма и IP/UA. Полезно для фишеров, чтобы отбирать "живые" адреса.
6. Тон письма: "Final Notice", "Claim your $AUDIO" - стандарт для социального инжиниринга (вызвать жадность/паник-реакцию).
7. Headers показывают SPF/DKIM pass - объяснение: отправка через Zoho mail/desk прошла проверку (Zoho подписал), значит письму доверяет почтовая инфраструктура. Но если злоумышленник использует платный/компрометированный Zoho аккаунт, проверки пройдут, при этом письмо будет фишинговым.

03. Какие риски? Сценарии

Коротко.

При клике на кнопку и переходе на фейковый сайт могут попросить подключить кошелёк (подписать сообщение / approve) - самая распространённая ловушка: если подписать транзакцию, средства (токены обычные, или даже NFTs) можно украсть.

Ссылка может запросить ввод e-mail/пароля/seed phrase на фальшивой странице -> никогда не вводите сид-фразу и приватные ключи.

Маловероятно, но возможен фишинг учётных данных (email/password) или попытка установить вредоносный файл (через дополнительные шаги).

Переход по ссылке мог пометить адрес как живой (уже произошло, если открыли письмо) - на вас подтянутся крауд- или целевые рассылки.

Примечание: мне не страшно, т.к. для этого адрес и сделан публичный мой.

04. Практические рекомендации: что с-делать?

Опять - коротко, но точно:

1. Не кликайте по ссылкам в таком письме. Не скачивайте вложений (в этом письме нет вложений, но правило в силе).
2. Не подключайте кошельки и не подписывайте транзакции на любых сайтах, к которым ведут эти ссылки.
3. Если случайно перешли и что-то подписали - немедленно:
• Откройте Etherscan / Block Explorer и проверьте историю транзакций адреса.
• Откройте https://revoke.cash (или аналог) и отозвите разрешения у недавно активных контрактов.
• Если был раскрыт приватный ключ / seed phrase - считайте кошелёк скомпрометированным: переведите средства на новый кошелёк (если есть доступ) и немедленно перестаньте использовать скомпрометированный ключ.
4. Отчёт и пометка:
• Пометьте письмо как фишинг/спам в Gmail (Menu → Report phishing). Это поможет блокировке отправителя.
• Сообщите в официальную поддержку Audius (через официальный сайт help.audius.co или форму на audius.co) — приложите заголовки и текст письма. Я ниже дам шаблон. Сайт надо искать где? Верно: на агрегаторах (хотя бы 2-3).
5. Проверьте подключённые кошельки - если в прошлом подключали кошелёк к Audius или другим сервисам, просмотрите список подключений (через ваш кошелёк / dapp-permissions) и отозовите всё подозрительное.
6. Безопасность аккаунтов: смените пароли и включите 2FA где возможно (особенно для почты и для аккаунтов, связанных с крипто).
7. Если сомневаетесь - откройте ссылку только в безопасной песочнице/виртуальной машине или используйте сервисы для проверки URL (preview tinyurl, URLScan, VirusTotal) - но осторожно!!! Некоторые проверки также активируют трекинг. Лучше не проверять напрямую на основном девайсе.

05. Что в заголовках говорит в защиту и что - против?

Коротко тоже пробегусь:

• За: SPF/DKIM/DMARC - pass (технически корректно подписано и отправлено через Zoho).
• Против: рандомный субдомен jeqfblehgd.zohodesk.com, перенаправления через Calendly → TinyURL и HMAC-параметры, плюс социальный рычаг "claim your tokens" делают письмо подозрительным.

Вывод: вероятнее всего (99,(9)%) - это целенаправленная фишинг-рассылка, маскирующаяся под Audius и использующая стороннюю службу (Zoho) для доставки. Даже при прохождении DKIM/SPF, доверять письму нельзя без дополнительной верификации.

06. Быстрый чек-лист

• Не нажимать на ссылки.
• Пометить как "Report phishing" в Gmail.
• Отозвать разрешения в кошельке, если уместно (revoke.cash).
• Проверить историю транзакций кошелька.
• Сменить пароли и включить 2FA.
• Сообщить в официальную поддержку Audius через их сайт.
• При необходимости - создать новый кошелёк и перенести средства (если раскрыт seed).

07. Шаблон жалобы или отчёта

Тема: Фишинговая рассылка, выдающаяся за Audius - просьба проверить

Здравствуйте, ...

Я получил(а) письмо, выдающееся за команду Audius с темой "Final Notice: Claim your $AUDIO before redistribution" от адреса support@jeqfblehgd.zohodesk.com.

Письмо содержит кнопку "Verify eligibility" со ссылкой, которая ведёт через calendly.com/url?q=…tinyurl.com… (в теле письма). Прилагаю заголовки письма (raw headers) и HTML/текст письма для проверки.

Подозреваю, что это фишинговая кампания, маскирующаяся под Audius. Прошу подтвердить, использует ли Audius Zoho Desk с таким субдоменом, и - если письмо фишинговое - принять меры по блокировке/удалению и предупреждению пользователей.

Raw headers (вставьте здесь полные заголовки, которые вы предоставляли).

Спасибо,
[Ваше имя / email]

Конечно же всё писать нужно на английском, но с этим нет проблем: DeepL, ChatGPT, Grok, etc. сделают это за вас, если нужно.

Будьте бдительны и

До!