Фишинговые ссылки Kraken: текущие угрозы и меры защиты

Фишинговые сайты-подделки Kraken («прокладки»)

После закрытия Hydra в 2022 году даркнет-маркетплейс Kraken быстро набрал популярность – и вместе с тем выросло число мошеннических сайтов, маскирующихся под официальные ссылки Kraken. Такие фишинговые страницы («прокладки») полностью копируют внешний вид входа на настоящий Kraken (например, страницу ввода капчи и логина) и обещают быстрый доступ, но на самом деле предназначены для кражи учетных данных или денег пользователей. Как отмечается в одном из обзоров, вокруг площадки Kraken появилось множество мошенников, и переход по их ссылкам может привести к потере средств на балансе и самого аккаунта на платформе jewelboxjewelers.net. Иными словами, последствия попадания на поддельный сайт Kraken могут быть крайне серьезными – вплоть до компрометации личной информации и финансовых потерь jewelboxjewelers.net.

Как выглядят такие фишинговые страницы? Внешне они практически неотличимы от настоящего сайта Kraken во внутренней сети Tor. Ниже показан пример интерфейса поддельной страницы входа: видно поле для ввода капчи и кнопку «Войти», как на оригинальном ресурсе. Мошенники специально копируют дизайн и русский язык интерфейса, чтобы ничего не вызывало подозрений у рядового пользователя. Пользователь, введя капчу и свои учетные данные на подобном сайте, фактически отправляет эту информацию злоумышленникам.

Пример фишинговой страницы, маскирующейся под вход в Kraken (сайт требует ввода капчи и данных учетной записи).

Примеры интерфейса настоящего Kraken

Чтобы лучше понимать, что именно копируют мошенники, ниже приведены скриншоты реальных страниц маркетплейса. Обратите внимание на детали интерфейса, которые подделываются на фишинговых сайтах.

Главная страница магазинов Kraken
Главная страница с витриной магазинов
Страница каталога товаров Kraken
Страница каталога с товарами
Другой пример витрины магазинов Kraken
Пример другой витрины магазинов

Важно понимать, что настоящий Kraken доступен только через Tor-бр라우зер по официальному .onion-адресу (скрытому сервису). Любые «зеркала Kraken в обычном браузере» или ссылки вида HTTP/HTTPS в открытом интернете являются сомнительными. Официальная площадка не раздает коротких ссылок в зоне .ru, .com, .cc и т.п. Поэтому если вы видите в интернете ссылку на Kraken, которая не заканчивается на .onion, велика вероятность, что это фишинг.

Примеры подозрительных доменов Kraken

Мошенники активно регистрируют десятки доменов, похожих по названию на Kraken, и используют их для фишинга. Ниже приведена таблица с примерами таких подозрительных адресов и описанием, как они вводят в заблуждение пользователей:

Подозрительный домен Описание и уловка
https-kra27-at.ru Домен содержит приставку https- и часть названия Kraken. Создает впечатление «безопасного» URL. На самом деле это подделка, выдающая себя за защищённое зеркало Kraken.
kra28--cc.com Использует двойной дефис и цифры (28) в имени. Имитирует формат возможного зеркала Kraken (название + номер версии). Сайт фишинговый, ворует данные учетной записи.
kro33.cc Подмена одной буквы: kro вместо правильного kra. Мошенники выдают этот адрес за "последнюю официальную ссылку" Kraken egovmetrics.com, хотя на деле он не имеет отношения к настоящей площадке.
krn28.click Вариация написания: krn вместо kra. Незнакомому пользователю сложно заметить подмену. Домен использован в фишинговой схеме как "зеркало" Kraken.
kra3vpn.com Добавление слов вроде vpn. Домен намекает на «VPN-защиту» для входа на Kraken. На самом деле никакой дополнительной безопасности нет – это фишинговый сайт-перехватчик.

Такие домены регулярно меняются и открываются на разных хостингах. Злоумышленники используют разные зоны (.ru, .cc, .com, .net, .at, .pw, .icu и др.) и комбинируют название Kraken с числами или похожими словами. Например, известен целый ряд мошеннических адресов: kra27, kra28, kra29... с разными доменными зонами urlscan.io scamadviser.com. Один из таких сайтов (kra28-cc.com) был помечен как фишинговый ресурс системами сетевой безопасности scamadviser.com.

Обращает на себя внимание, что многие из этих доменов зарегистрированы совсем недавно, имеют низкий рейтинг доверия и были прямо отмечены в базах угроз как phishing scamadviser.com. Это явные признаки, что перед нами неофициальные ресурсы. Пользователю следует относиться с осторожностью ко всем ссылкам, отличным от опубликованных официально. В следующем разделе рассмотрим, как именно мошенники распространяют подобные поддельные ссылки.

Как пользователи ищут ссылки и становятся жертвами обмана

Одна из главных причин, почему фишинг процветает, — это то, как пользователи ищут доступ к нужным ресурсам. Вбивая в поисковик запросы вроде «kra34-cc актуальная ссылка» или «рабочая ссылка кракен», люди часто переходят по первым попавшимся ссылкам, не проверяя их. Мошенники создают целые сети сайтов, чтобы их новая ссылка kraken или kra34-cc переходник ссылка появлялись в топе выдачи.

Они могут обещать, что у них находится «kra34-cc официальный сайт ссылка» или даже «настоящая ссылка кракена», но на деле это лишь ловушка. Пользователи, которым нужна «ссылка на kraken тор», рискуют попасть на поддельные страницы, ищущие «ссылка на kraken в браузере». Запросы вроде «ссылка kraken сегодня» или «kra34-cc актуальная ссылка на сегодня» ведут на сайты-однодневки. Даже поиск на будущее, например «ссылка на кракен 2025», уже занят мошенниками, предлагающими свою «kraken даркнет ссылка».

Важно понимать: любая «ссылка на kraken официальный», найденная в обычном интернете, скорее всего, подделка. То же касается и запросов «kraken вход ссылка» или «kra34-cc ссылка зеркало». Единственный надёжный способ получить доступ — это использовать официальные каналы и Tor Browser, а не искать, «kraken ссылку где» попало.

Методы распространения фишинговых ссылок

Мошенники задействуют различные каналы для продвижения своих фишинговых «зеркал» Kraken:

  • Сообщества и форумы. Злоумышленники публикуют лживые объявления с фальшивыми ссылками на самых разных интернет-форумах, в комментариях и даже на неожиданных сайтах. Часто создаются темы вроде «Актуальные ссылки на Kraken 2025», где первым же сообщением выдается поддельный URL под видом официального. Например, на одном форуме новый пользователь распространил якобы "последнюю официальную ссылку" kro33.cc, уверяя, что это проверенный адрес для входа egovmetrics.com. На другом ресурсе утверждалось, что «надежными» зеркалами являются kra31.cc и kra31.at, хотя эти домены не относятся к официальному Kraken. Подобного рода ложные советы можно встретить даже на общетематических площадках, где модерация слабая – злоумышленники пользуются любыми площадками, чтобы охватить максимальную аудиторию.
  • Telegram и мессенджеры. Telegram широко используется в даркнет-сообществе, поэтому мошенники не упускают возможность там обмануть жертву. Распространены случаи, когда в тематических Telegram-каналах или чатах появляется пользователь, представляющийся поддержкой Kraken либо "доверенным" человеком, и отправляет в личку или в общий чат ссылку на вход. Эта ссылка ведет на одну из фишинговых прокладок. Также создаются фальшивые Telegram-каналы, названием похожие на официальный канал Kraken, где в описании размещены поддельные ссылки. Пользователям настоятельно рекомендуют никогда не переходить по ссылкам, полученным в личных сообщениях – команда Kraken не рассылает ссылки в приватном порядке.
  • SEO-спам и взломанные сайты. Целая сеть мошеннических статей про Kraken была обнаружена на скомпрометированных сайтах (не связанных с даркнетом). Злоумышленники размещают на взломанных блогах и новостных сайтах материалы с популярными запросами: «Как зайти на Kraken», «Кракен даркнет ссылка» и т.п. В тексте таких статей перемешана общая информация о Kraken и незаметно вставлен фальшивый URL якобы для входа. Например, на сайте ювелирного магазина и на странице библиотеки были найдены статьи с инструкциями по входу в Kraken и ссылками вида kra... в зоне .top или .cc. Многие пользователи, ищущие в Google «ссылка Kraken», могут наткнуться на такие результаты и перейти, не подозревая, что сайт вообще не имеет отношения к официальному Kraken. Таким образом, поисковая оптимизация (SEO) стала одним из инструментов распространения фишинга: мошенники стараются выдать свои страницы за релевантные ответы на популярные запросы о Kraken.
  • Спам-рассылки и прочие методы. Нельзя исключать и прямой спам через email или другие каналы. Хотя в даркнете email не так распространен, мошенники могут использовать утечки данных или списки контактов, чтобы разослать письма с предложением «актуальной ссылки Kraken». Также известны случаи, когда поддельные ссылки распространялись через объявления на сомнительных сайтах, комментарии в соцсетях, YouTube и т.д. Любые непроверенные источники, предлагающие ссылку на Kraken, потенциально опасны.

Во всех случаях цель злоумышленников – завлечь как можно больше пользователей на фишинговую страницу. Далее, когда жертва перейдет по такой ссылке, начинает действовать сама схема обмана на сайте.

Типичные схемы обмана на фишинговых сайтах

Поддельные сайты Kraken, как правило, разработаны так, чтобы обмануть пользователя максимально незаметно. Вот некоторые общие черты и приемы таких фишинговых прокладок:

  • Маскировка URL и названия. Фишинговые адреса очень похожи на настоящее название Kraken. Как видно из примеров, используются сочетания kra или krak + цифры, или мелкие опечатки вроде kro вместо kra, добавляются слова onion, darknet, tor, zerkalo («зеркало») и пр. в адрес или описание сайта. Цель – чтобы в спешке или невнимательности жертва не заметила подмену. Например, сайт https://kra-27cc.net/ на первый взгляд напоминает формат официального (включено слово kra и цифры), хотя на самом деле это совсем другой домен urlscan.io. Мошенники могут регистрировать десятки подобных вариаций одновременно.
  • Имитирование процесса входа. Когда пользователь попадает на такой сайт, его встречает интерфейс практически идентичный Kraken: баннер или логотип, форма ввода логина/пароля, возможно, капча для правдоподобности. Введя данные, жертва либо сразу перенаправляется на страницу с ошибкой/техработами, либо на фальшивое подтверждение. Все введённые логины, пароли, PGP-фразы тут же оказываются у мошенников. Иногда после ввода данных сайт может показать сообщение вроде «неверный пароль» или «временная ошибка», побуждая жертву попробовать позже – к тому времени учетная запись уже скомпрометирована.
  • Перехват финансовых операций. Некоторые более продвинутые фишинговые площадки способны не только украсть пароль, но и обмануть пользователя на деньги напрямую. Например, поддельный сайт может предложить пополнить баланс и сгенерировать адрес для депозита не на реальный кошелек Kraken, а на кошелек мошенников. Неопытный пользователь думает, что переводит средства в свой аккаунт на маркетплейсе, тогда как деньги уходят злоумышленникам безвозвратно. Либо же фишинговый ресурс может запросить «комиссию за вход» или «верификацию», требуя небольшую сумму криптовалюты – что, конечно, тоже является обманом.
  • Использование http/https вместо .onion. Настоящий Kraken работает в сети Tor и не имеет обычного SSL-сертификата от коммерческих центров. Фишинговые сайты же находятся в обычном интернете, им часто выдают сертификаты HTTPS (например через Cloudflare) – наивному пользователю зелёный замочек может внушать доверие. В одном из разборов отмечено, что наличие SSL-сертификата вовсе не делает сайт безопасным – даже фишинговые копии могут его иметь scamadviser.com. Злоумышленники нарочно включают слово https в адрес (пример: https-kra27...), чтобы визуально убедить, будто соединение "официально защищено".
  • Зеркала-перехватчики (Tor2Web). Некоторые фейковые ресурсы позиционируют себя как «зеркало Kraken в clearnet», то есть страница, через которую якобы можно попасть на Kraken без Tor. По сути, это прокси-сервер, перехватывающий весь трафик. Пользователь вводит на такой странице свои данные, а сайт может даже перенаправить их на настоящий Kraken, выступив посредником. В результате жертва может и не сразу понять, что что-то не так, ведь она в итоге попадает на настоящую площадку, но учетные данные уже скомпрометированы (похищены при прохождении через прокси). Поэтому никогда не следует вводить логин/пароль Kraken на сайтах-переходниках. Официальные ресурсы Kraken не предлагают вход без Tor, подобные сервисы – инициатива мошенников.
  • Отсутствие дополнительной верификации. На подлинном Kraken, как и на многих даркнет-рынках, предусмотрены меры защиты аккаунта – например, PGP-двухфакторная аутентификация, PIN-код при входе и т.п. Фишинговые клоны либо не реализуют таких функций вообще, либо просят ввести их на том же самом сайте, что бесполезно. Если вы используете PGP-2FA, мошенникам значительно сложнее завладеть вашим аккаунтом (нужно перехватить и подтвердить зашифрованное сообщение). Поэтому многие фишинговые схемы нацелены именно на тех, кто не включил доп. защиту. Сама же жертва может заметить неладное, если подозрительный сайт не запрашивает PGP-подпись, хотя на Kraken у нее была включена 2FA – это верный сигнал, что ресурс ненастоящий.

В целом, лучший способ отличить подделку – внимательно проверить адрес перед вводом каких-либо данных. Рассмотрим, какие меры помогут распознать фишинговую прокладку Kraken и защититься.

Распознавание фишинговых сайтов и защита

Защитить себя от подобных атак можно, соблюдая ряд правил цифровой гигиены:

  • Получайте ссылку только из проверенных источников. Никогда не доверяйте первым же ссылкам из поиска или случайных пользователей. Официальный onion-адрес Kraken распространяется через каналы, контролируемые командой Kraken или известными независимыми ресурсами (например, репутационные форумы о даркнете). Узнайте официальный адрес через такие источники и сохраните его. Используйте только актуальные зеркала, предоставленные надежными источниками egovmetrics.com. Команда Kraken, как правило, публикует список рабочих зеркал на своих официальных страницах (в даркнете или в публичных анонсах с PGP-подписью). Если ссылка получена от незнакомца – игнорируйте ее.
  • Проверяйте URL целиком. Перед тем как вводить где-либо свой логин и пароль, внимательно изучите адресную строку. Признаки фишинга:
    • Домен отличается от ожидаемого (лишние/замененные символы: например, kraken vs kraken, kra vs kro или krn).
    • Используются подозрительные доменные зоны (.cc, .icu, .me, .top, .biz и т.д.) вместо официального .onion.
    • В адресе присутствуют странные префиксы или слова (http- , https-, onion, tor, цифры версий и пр.), которых не было в официальных сообщениях Kraken.
    • Адрес слишком короткий и «осмысленный» для onion-сайта. (Официальные .onion-адреса – это длинные наборы букв и цифр длиной 56 символов для v3 onion. Если вам предлагают короткий удобочитаемый адрес, почти наверняка это не onion, а подделка.)
    • Если вы случайно перешли по ссылке и видите, что браузер показывает обычный домен, а не последовательность из 56 случайных символов + .onion – немедленно закройте страницу. Помните: настоящий Kraken работает только в сети Tor.
  • Используйте средства аутентификации и безопасности. Включите PGP-2FA на своем аккаунте Kraken – тогда даже при компрометации пароля злоумышленники не смогут войти без вашего частного PGP-ключа. Создайте сложный уникальный пароль для Kraken, который вы нигде больше не используете (чтобы фишеры не подобрали его по утечкам). Регулярно меняйте пароль. Настройте PIN-код входа, если такой функционал есть. Эти меры усложняют задачу мошенникам.
  • Не вводите персональные данные на промежуточных сайтах. Kraken никогда не попросит вас ввести свой пароль или ключи шифрования на каком-то внешнем ресурсе. Все действия (вход, подтверждение транзакций) происходят только на самом Kraken (внутри Tor). Если сайт просит ввести вашу личную информацию, кошелек или произвести оплату до входа – это верный признак обмана.
  • Будьте осторожны с «clearnet-зеркалами». По возможности никогда не заходите на Kraken через так называемые Tor2Web-прокси (когда onion-сайт открыт через обычный браузер). Да, иногда они работают, но вы отдаете трафик на посторонний сервер. Вместо этого всегда используйте официальный Tor Browser и прямое подключение к .onion. Это защитит вас от man-in-the-middle атак. Если же по каким-то причинам пришлось воспользоваться веб-прокси, ни в коем случае не вводите там свои реальные учетные данные – используйте его только для чтения общедоступной информации.
  • При малейших сомнениях – прервите сессию. Если сайт, на который вы перешли, ведет себя странно (например, не принимает правильный пароль, требует денег вперед, отличается дизайном или языком интерфейса), лучше сразу выйти. Затем перепроверьте адрес по официальным каналам. Также имеет смысл держать антивирус/фильтр DNS: некоторые современные решения (например, DNSFilter) уже умеют блокировать известные фишинговые домены Kraken scamadviser.com. Но не полагайтесь только на автоматические средства – самый надежный фильтр – ваша бдительность.