Threat Library

Recovery Scam

Threat profileПрофиль угрозы

Recovery scam targets victims after an initial loss. Attackers exploit emotional urgency, presenting themselves as legal advisors, anti-fraud agencies, blockchain investigators, or regulator contacts. The objective is secondary extraction through upfront "processing fees", credential capture, and wallet takeover.Recovery scam нацелен на жертв после первичного ущерба. Атакующие используют эмоциональную срочность, представляясь юридическими консультантами, anti-fraud агентствами, blockchain-расследователями или контактами регулятора. Цель — вторичная экстракция через предоплату «за обработку», сбор credentials и захват кошельков.

Attack sequenceПоследовательность атаки

  • Victim discovery: actor finds targets in complaint chats, support threads, or public comments.Поиск жертвы: актор находит цели в жалобных чатах, support-тредах или публичных комментариях.
  • Authority framing: claims affiliation with law firms, exchanges, investigators, or compliance teams.Формирование авторитета: заявляет связь с юристами, биржами, расследователями или compliance-командой.
  • Prepayment demand: requests "unlock", "audit", "gas", or "insurance" fee before any proof.Требование предоплаты: запрашивает «unlock», «audit», «gas» или «insurance fee» до любых доказательств.
  • Credential extraction: asks for seed phrase, private key, OTP, or remote access tools.Извлечение секретов: просит seed phrase, private key, OTP или инструменты удалённого доступа.
  • Escalation: after payment, demands additional fees and repeats process.Эскалация: после оплаты требует дополнительные комиссии и повторяет цикл.

Detection and reason codesОбнаружение и reason codes

SecuriLayer maps this pattern to RECOVERY_SCAM, CONTACT_MISMATCH, SOCIAL_ENGINEERING_SCRIPT, URGENCY_PRESSURE, and DRAINER_PATTERN when crypto extraction markers appear. Combined with newly registered domain signals and feed hits, risk score escalates to DANGER quickly.SecuriLayer сопоставляет этот сценарий с RECOVERY_SCAM, CONTACT_MISMATCH, SOCIAL_ENGINEERING_SCRIPT, URGENCY_PRESSURE и DRAINER_PATTERN при наличии crypto-маркеров экстракции. В комбинации с сигналами новых доменов и feed-hit риск быстро повышается до DANGER.

Enterprise / government controlsКонтрмеры enterprise / gov

  • Formal policy: no external recovery vendor engagement without legal verification chain.Формальная policy: запрет на взаимодействие с внешними recovery-вендорами без юридической цепочки верификации.
  • Financial controls: disallow prepaid remediation outside approved procurement flow.Финансовые контроли: запрет предоплаты remediation-услуг вне утверждённого procurement-процесса.
  • Communication controls: isolate victim support channels and moderate external contact attempts.Коммуникационные контроли: изолировать каналы помощи жертвам и модерировать внешние контактные попытки.
  • Evidence governance: preserve incident chain for legal action and insurance reporting.Evidence governance: сохранять incident chain для юридических действий и страховой отчётности.

Incident response playbookPlaybook реагирования

  • Triage: classify event as secondary-victimization and isolate ongoing communication.Triage: классифицировать событие как вторичную виктимизацию и изолировать продолжающуюся коммуникацию.
  • Containment: block domains, contacts, wallets, and associated actor templates.Containment: блокировать домены, контакты, кошельки и связанные шаблоны актора.
  • Verification support: provide victim with official escalation channels only.Поддержка верификации: предоставлять жертве только официальные каналы эскалации.
  • Lessons learned: update playbooks with new pretexts and negotiation scripts.Lessons learned: обновлять playbook новыми pretext-сценариями и скриптами давления.

FP/FN notesЗаметки по FP/FN

FP can happen when legitimate legal advisors communicate from non-standard channels. FN appears when attacker avoids explicit recovery language. Reduce both by combining linguistic patterning with contact verification and identity confidence scoring.FP возможен, когда легитимные юристы пишут из нестандартных каналов. FN появляется, когда атакующий избегает явной recovery-лексики. Снижение обоих рисков достигается сочетанием лингвистических паттернов, верификации контактов и оценки confidence идентичности.

FAQFAQ

Q: Who can legitimately recover stolen crypto?Кто легитимно может «вернуть» украденную крипту?
A: Only verified legal and exchange workflows with transparent case IDs and evidence, never instant guarantees in chat.Только верифицированные юридические и exchange-процессы с прозрачным case ID и evidence, но не «мгновенные гарантии» в чате.

Q: Should victims share seed phrase for recovery?Нужно ли передавать seed phrase для «восстановления»?
A: Never. Seed phrase disclosure equals asset control transfer.Никогда. Передача seed phrase равна передаче контроля над активами.

Enable recovery-scam protectionВключить защиту от recovery-scam