Les pertes dues à l’hameçonnage cryptographique en Russie s’élèvent à 234 millions de roubles, soit 62 % des pertes liées à la fraude crypto

Les analystes de la société russe de cybersécurité Shard ont publié le 26 mai un rapport confirmant que les attaques de phishing cryptographiques menées en Russie en 2025 ont causé des pertes de 234 millions de roubles, soit 62% du total des pertes d’actifs cryptographiques sur l’ensemble de l’année. Shard a indiqué que la popularité de ces attaques s’explique par le fait que les assaillants n’ont pas besoin de rechercher des failles dans l’infrastructure de services : ils doivent seulement tromper les propriétaires de portefeuilles pour qu’ils accordent volontairement des droits d’accès aux actifs.

2025 年各類加密詐騙的確認損失金額

根據 Shard 報告，俄羅斯 2025 年加密相關詐騙已知損失按類別分列如下：加密釣魚攻擊損失最高，達 2.34 億盧布，佔全部已知損失的 62%；投資詐騙與電話詐騙合計損失 8,130 萬盧布；非法投資服務造成 4,920 萬盧布損失；社交工程詐騙損失約 1,400 萬盧布。此外，Shard 確認另有虛假雇主詐騙、愛情騙局及使用虛假身份的詐騙案件，損失金額未單獨列出。俄羅斯內政部北奧塞梯分部另行報告，莫茲多克市一名居民在嘗試投資加密貨幣時損失 210 萬盧布。

Shard 確認的主要攻擊工具與手法

Shard 報告確認，假加密貨幣交易所網站、假錢包應用程式和惡意智慧合約是 2025 年俄羅斯加密釣魚攻擊最常見的三類工具。攻擊者一旦取得受害者憑證或私鑰，即將資金轉移至其控制的地址。虛假投資項目、快速致富承諾及條款設置故意不利的交易所，則是投資詐騙類別中最常見的手段。

偽裝反洗錢檢查的新興攻擊模式

Shard 在報告中另確認一類新興手法：詐騙者偽裝成反洗錢（AML）驗證流程，要求用戶驗證資金來源或「評估加密貨幣純度」，完成虛假驗證步驟後，再要求用戶將錢包連接至智慧合約，從而取得資產控制權。Shard 確認，此類手段利用用戶對合規驗證程序的信任，將惡意操作偽裝成標準安全措施。

常見問題

Les 3785 millions de roubles du rapport de Shard couvrent-ils toutes les pertes cryptographiques russes de 2025 ?

D’après les déclarations des analystes de Shard, les données du rapport ne couvrent que les cas connus qu’ils ont en leur possession ; les pertes réelles dépassent 3785 millions de roubles, et Shard n’a pas publié de chiffre estimant le total réel des pertes.

為何加密釣魚攻擊在俄羅斯佔據了損失總額的 62%？

Shard 代表在報告中說明，釣魚攻擊的執行不需要服務基礎設施漏洞利用技術，僅需誘騙用戶主動操作即可，攻擊門檻低。Shard 安全專家同時指出，俄羅斯民眾對基本安全措施認識不足是加速釣魚攻擊蔓延的結構性原因。

Comment identifier et prévenir des arnaques se faisant passer pour des contrôles AML ?

D’après le rapport de Shard, les signaux d’identification de ce type d’escroquerie sont les suivants : sous prétexte de « vérifier l’origine des fonds » ou « évaluer la pureté des actifs cryptographiques », l’attaquant finit par exiger que l’utilisateur connecte son portefeuille à un contrat intelligent. Les organismes de régulation et les plateformes d’échange légitimes ne procéderont pas à des vérifications AML en demandant de connecter un contrat intelligent.