Известный разработчик Bitcoin Джеймсон Лопп выступил с экстренным предупреждением для держателей криптовалют, призвав придерживаться политики «нулевого доверия» ко всем входящим коммуникациям. Поводом стала уязвимость в инфраструктуре Google, которую злоумышленники используют в изощрённой фишинговой схеме. Атака эксплуатирует официальную форму Google для запроса резервных контактов: уведомление приходит с домена компании, поэтому беспрепятственно проходит спам-фильтры и попадает прямо во входящие.
Преступники вставляют в поле имени жертвы огромный объём текста, который визуально выталкивает реальную системную информацию вниз, а в верхней части письма размещают фальшивое предупреждение безопасности и ссылку на вредоносный сайт. При этом сам фишинговый ресурс размещён на платформе Google Sites, что дополнительно усыпляет бдительность пользователей.
Основываясь на этом инциденте, Лопп перечислил пять каналов, входящие сообщения из которых отныне нельзя считать безопасными: электронная почта, телефонные звонки, SMS, мессенджеры и любые другие внешние уведомления. Его призыв звучит категорично: «НИКОГДА НЕ ДОВЕРЯЙТЕ ЭЛЕКТРОННЫМ ПИСЬМАМ, ТЕЛЕФОННЫМ ЗВОНКАМ, SMS, СООБЩЕНИЯМ В ЧАТАХ И ЛЮБЫМ ВХОДЯЩИМ КОММУНИКАЦИЯМ». По словам разработчика, любое сообщение о срочной проблеме с безопасностью учётной записи — это «красный флаг».
Интересно, что Лопп недавно стал соавтором спорного предложения BIP-361, призванного защитить Bitcoin от будущих квантовых компьютеров, в том числе потенциально создаваемых Google. Инициатива предполагает запрет транзакций с устаревших адресов в течение трёх лет и полную заморозку до 1,7 млн BTC в кошельках, связываемых с Сатоси Накамото, через пять лет, если владельцы не обновят криптографические подписи. Документ вызвал волну критики и обвинений в нарушении принципов децентрализации, углубив раскол в сообществе.
Ситуация усугубляется поведением крупных технологических компаний. Google недавно удалила из описаний функций Chrome AI формулировку о том, что локальные данные пользователей не передаются на серверы корпорации, что ещё сильнее подорвало доверие к централизованным экосистемам. Вывод Лоппа однозначен: никогда нельзя верить сообщениям о срочной угрозе безопасности, даже если письмо пришло с официального домена Google, поскольку техническая грамотность новых пользователей снижается, делая их идеальными мишенями для подобных атак.
