Загроза соціального шахрайства для користувачів Coinbase та стратегії реагування
Нещодавно соціально інженерні атаки в сфері криптоактивів стали серйозною загрозою для безпеки коштів користувачів. З 2025 року почастішали випадки шахрайства з соціальної інженерії, спрямовані на користувачів певної торговельної платформи, що викликало широку увагу в галузі. З обговорень у спільноті видно, що такі випадки не є поодинокими, а мають ознаки тривалості та організованості.
15 травня певна торгова платформа опублікувала оголошення, яке підтвердило раніше висунуті припущення про наявність "внутрішнього злодія" на платформі. Міністерство юстиції США розпочало розслідування з приводу цього витоку даних.
Ця стаття розкриє основні методи злочинців, систематизувавши інформацію, надану кількома дослідниками безпеки та жертвами, а також розгляне ефективні стратегії реагування з точок зору платформи та користувачів.
Історичний огляд
Дослідник безпеки Зак зазначив у своєму оновленні в соціальних мережах 7 травня: "Лише за минулий тиждень було вкрадено понад 45 мільйонів доларів у користувачів з певної торгової платформи через соціальну інженерію."
Протягом минулого року Зак неодноразово розкривав на соціальних платформах випадки крадіжок користувачів на цій торговій платформі, окремі жертви зазнали збитків на десятки мільйонів доларів. У детальному розслідуванні, опублікованому Заком у лютому 2025 року, зазначається, що лише з грудня 2024 року по січень 2025 року загальні фінансові збитки від таких схем перевищили 65 мільйонів доларів. Він також виявив, що платформа стикається з серйозною кризою "соціальної інженерії", атаки якої щорічно завдають шкоди безпеці активів користувачів на суму 300 мільйонів доларів.
Зах вказав:
Групи, що керують такими шахрайствами, в основному поділяються на два типи: один тип - це низькорівневі атакувальники з певних кіл, інший тип - це організовані злочинці з Індії;
Цільові атаки шахрайських угруповань в основному спрямовані на користувачів США, методи злочину стандартизовані, а сценарії спілкування розроблені.
Фактична сума збитків може бути значно вищою за статистику, доступну в мережі, оскільки не включає непублічну інформацію, таку як заявки на обслуговування клієнтів та записи про звернення до поліції.
замилювання очей
У цій події технічна система торгової платформи не була зламаною, шахраї скористалися правами внутрішніх співробітників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактну інформацію, дані облікового запису, фотографії паспортів тощо. Остаточною метою шахраїв було використання соціальної інженерії для спрямування користувачів на переказ коштів.
Цей тип атаки змінив традиційні "сіткові" методи фішингу, а натомість перейшов до "точкового удару", що можна назвати "індивідуально розробленим" соціальним шахрайством. Типовий шлях злочину виглядає так:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблені телефонні системи, щоб видавати себе за службу підтримки платформи, телефонуючи користувачам і стверджуючи, що їх "рахунок піддався незаконному входу" або "виявлено аномалію при виведенні коштів", створюючи термінову атмосферу. Вони потім надсилають фальшиві фішингові електронні листи або SMS, які містять підроблені номери заявок або посилання на "процес відновлення", і спрямовують користувачів до дій. Ці посилання можуть вести на клоновані інтерфейси платформи, а також можуть надсилати електронні листи, що вдають із себе від офіційного домену, деякі листи використовують технологію перенаправлення, щоб обійти заходи безпеки.
2. Спрямувати користувачів на завантаження офіційного гаманця
Шахраї будуть використовувати "захист активів" як причину, щоб направити користувачів на переказ коштів у "безпечний гаманець", а також допоможуть користувачам встановити офіційний гаманець і вкажуть, як перевести активи, які спочатку зберігалися на платформі, в новостворений гаманець.
3. Індукція користувачів використовувати мнемонічні фрази, надані шахраями
На відміну від традиційного "замилювання очей за допомогою мнемонічних фраз", шахраї безпосередньо надають набір власноруч згенерованих мнемонічних фраз, спокушаючи користувачів використовувати їх як "офіційний новий гаманець".
4. Замилювання очей здійснюється шахраями
Жертви, перебуваючи в стані напруження, тривоги та довіри до "сервісу підтримки", легко потрапляють у пастку. Для них "новий гаманець, "офіційно наданий", звичайно, безпечніший, ніж "старий гаманець, який, ймовірно, був зламаний". В результаті, як тільки кошти переводяться на цей новий гаманець, шахраї можуть негайно їх вивести. "Ключі, які не контролюєш ти, означають, що це не твої монети" — ця ідея знову кровно підтверджується в соціальних інженерних атаках.
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову платформа повністю перейде на самостійні гаманці" та вимагають від користувачів завершити міграцію активів до 1 квітня. Користувачі під тиском термінів та психологічним натиском "офіційних вказівок" легше піддаються маніпуляціям.
За словами дослідників з безпеки, ці атаки часто організовано плануються та реалізуються:
Інструменти шахрайства вдосконалено: шахраї використовують систему PBX для підробки номерів телефонів, імітуючи дзвінки офіційної служби підтримки. При надсиланні фішингових електронних листів вони використовують ботів на соціальних платформах для імітації офіційної електронної пошти, додаючи "інструкцію з відновлення облікового запису" для спонукання до переказу.
Точна мета: замилювання очей використовує вкрадені дані користувачів, придбані через соціальні канали та темну мережу, щоб націлитися на користувачів з США, навіть використовують інструменти штучного інтелекту для обробки вкрадених даних, розділяючи та реорганізовуючи номери телефонів, масово генеруючи TXT-файли, а потім відправляючи смс-шахрайства через програмне забезпечення для злому.
Процес обману безперервний: від телефонних дзвінків, SMS до електронних листів, шлях шахрайства зазвичай безшовний, поширені фрази для фішингу включають "рахунок отримав запит на виведення коштів", "пароль був скинутий", "рахунок зазнав ненормального входу" тощо, постійно спонукаючи жертв пройти "перевірку безпеки", поки не буде завершено переказ коштів.
Аналіз на блокчейні
За допомогою системи протидії відмиванню грошей та відстеження на блокчейні було проведено аналіз деяких адрес шахраїв, виявлено, що ці шахраї мають досить сильні навички роботи з блокчейном, ось деяка ключова інформація:
Атаки шахраїв націлені на користувачів, які володіють різними активами, а активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року. Основними активами є BTC та ETH. BTC є найголовнішою метою шахрайства, кілька адрес одночасно отримують прибуток у кілька сотень BTC, а одна транзакція має вартість у кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процесів для відмивання для обміну та передачі активів, основна схема така:
Активи класу ETH зазвичай швидко обмінюються на стабільні монети через певний DEX, а потім розподіляються на кілька нових адрес, частина активів потрапляє на централізовані торгові платформи;
BTC в основному переноситься через кросчейн-міст на Ethereum, а потім обмінюється на стейблкоїн, щоб уникнути ризику відстеження.
Кілька адрес замилювання очей залишаються в стані "статичного" після отримання стейблкоїнів і ще не були переведені.
Щоб уникнути взаємодії своєї адреси з підозрілими адресами та ризику замороження активів, користувачам рекомендується перед交易ю використовувати систему моніторингу та відстеження на блокчейні для перевірки ризику цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Сучасні основні засоби безпеки більше зосереджені на "технічному рівні" захисту, тоді як соціальна інженерія часто обходить ці механізми, націлюючись на психологічні та поведінкові уразливості користувачів. Тому рекомендується платформам інтегрувати освіту користувачів, тренінги з безпеки та дизайн доступності, щоб створити систему безпеки, що орієнтована на людину.
Регулярна відправка матеріалів з освіти щодо шахрайства: через спливаючі вікна в додатку, інтерфейс підтвердження угод, електронну пошту та інші способи підвищення здатності користувачів протидіяти фішингу;
Оптимізація моделей управління ризиками, впровадження "інтерактивного виявлення аномальної поведінки": більшість соціальних інженерних шахрайств спонукають користувачів протягом короткого часу виконати ряд дій (наприклад, перекази, зміни в білому списку, прив'язка пристроїв тощо). Платформа повинна на основі моделі поведінкових ланцюгів виявляти підозрілі комбінації взаємодій (наприклад, "часта взаємодія + нова адреса + великі виведення коштів"), активуючи період охолодження або механізм ручного повторного розгляду.
Регулювання каналів обслуговування клієнтів та механізмів перевірки: шахраї часто видають себе за службу підтримки, щоб заплутати користувачів, платформа повинна уніфікувати телефонні, SMS та електронні шаблони, а також надати "вхід для перевірки служби підтримки", чітко визначивши єдиний офіційний канал комунікації, щоб уникнути плутанини.
користувач
Впровадження стратегії ізоляції ідентичності: уникати спільного використання однієї електронної пошти та номера телефону на кількох платформах, зменшуючи ризик відповідальності, можна регулярно перевіряти електронну пошту на наявність витоків за допомогою інструментів перевірки витоків.
Увімкнення білого списку адрес для переказів та механізму охолодження для виведення: попередньо встановлені надійні адреси, щоб зменшити ризик втрати коштів у надзвичайних ситуаціях.
Продовжуйте слідкувати за новинами безпеки: через канали безпекових компаній, ЗМІ, торгові платформи та інші джерела дізнавайтеся про останні тенденції методів атак, залишайтеся насторожі. Наразі кілька безпекових агентств працюють над створенням платформи для тренувань з фішингу в Web3, яка буде моделювати різні типові методи фішингу, включаючи соціальну інженерію, фішинг за підписом, взаємодію з шкідливими контрактами тощо, і поєднувати це з реальними випадками, зібраними під час історичних обговорень, постійно оновлюючи зміст сцен. Це дозволить користувачам підвищити свої навички розпізнавання та реагування в безризиковому середовищі.
Зверніть увагу на ризики офлайн та захист конфіденційності: витік особистої інформації також може призвести до проблем з особистою безпекою.
Це не є безпідставним занепокоєнням; з початку року працівники/користувачі криптовалюти вже стикалися з кількома випадками загрози їхній особистій безпеці. Оскільки дані, що стали відомі в результаті витоку, містять імена, адреси, контактну інформацію, дані облікових записів, фотографії паспортів тощо, відповідні користувачі повинні також бути обережними в офлайн-режимі та дбати про свою безпеку.
У підсумку, зберігайте скептицизм і продовжуйте перевіряти. Усі термінові дії вимагають обов'язкового підтвердження особи з боку іншої сторони та незалежної перевірки через офіційні канали, щоб уникнути ухвалення незворотних рішень під тиском.
Підсумок
Ця подія знову виявила явні слабкі місця в захисті даних клієнтів та активів у галузі, коли вона стикається з дедалі більш зрілими методами соціальної інженерії. Слід бути обережними, адже навіть якщо відповідні посади в платформі не мають фінансових повноважень, відсутність достатньої обізнаності та здібностей у сфері безпеки може призвести до серйозних наслідків через ненавмисне витікання інформації або вербування. У міру зростання обсягу платформи, складність управління безпекою персоналу також зростає, що стало одним із найбільш складних ризиків у галузі. Тому платформа, посилюючи механізми безпеки в ланцюзі, повинна також систематично будувати "систему захисту від соціальної інженерії", що охоплює внутрішній персонал та аутсорсингові послуги, включаючи людські ризики в загальну стратегію безпеки.
Крім того, як тільки буде виявлено, що атака не є ізольованою подією, а являє собою організовану, масштабну і постійну загрозу, платформа повинна негайно відреагувати, активно перевірити потенційні вразливості, попередити користувачів про запобігання та контролювати масштаби збитків. Лише в разі подвійного реагування на технічному та організаційному рівнях можна дійсно зберегти довіру та межі в дедалі складнішому середовищі безпеки.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
4
Поділіться
Прокоментувати
0/400
MetaReckt
· 08-06 14:31
Ще один випадок зрадника? Напевно, ще не все викопали. Подивимося, що зможе зробити регулятор~
Переглянути оригіналвідповісти на0
ImpermanentLossEnjoyer
· 08-05 03:09
Внутрішній ворог знову влаштовує безлад, чим далі, тим більше це виглядає абсурдно.
Користувачі Coinbase стали жертвами замилювання очей, внутрішній злочинець платформи викрив дані, що призвело до кризи безпеки.
Загроза соціального шахрайства для користувачів Coinbase та стратегії реагування
Нещодавно соціально інженерні атаки в сфері криптоактивів стали серйозною загрозою для безпеки коштів користувачів. З 2025 року почастішали випадки шахрайства з соціальної інженерії, спрямовані на користувачів певної торговельної платформи, що викликало широку увагу в галузі. З обговорень у спільноті видно, що такі випадки не є поодинокими, а мають ознаки тривалості та організованості.
15 травня певна торгова платформа опублікувала оголошення, яке підтвердило раніше висунуті припущення про наявність "внутрішнього злодія" на платформі. Міністерство юстиції США розпочало розслідування з приводу цього витоку даних.
Ця стаття розкриє основні методи злочинців, систематизувавши інформацію, надану кількома дослідниками безпеки та жертвами, а також розгляне ефективні стратегії реагування з точок зору платформи та користувачів.
Історичний огляд
Дослідник безпеки Зак зазначив у своєму оновленні в соціальних мережах 7 травня: "Лише за минулий тиждень було вкрадено понад 45 мільйонів доларів у користувачів з певної торгової платформи через соціальну інженерію."
Протягом минулого року Зак неодноразово розкривав на соціальних платформах випадки крадіжок користувачів на цій торговій платформі, окремі жертви зазнали збитків на десятки мільйонів доларів. У детальному розслідуванні, опублікованому Заком у лютому 2025 року, зазначається, що лише з грудня 2024 року по січень 2025 року загальні фінансові збитки від таких схем перевищили 65 мільйонів доларів. Він також виявив, що платформа стикається з серйозною кризою "соціальної інженерії", атаки якої щорічно завдають шкоди безпеці активів користувачів на суму 300 мільйонів доларів.
Зах вказав:
замилювання очей
У цій події технічна система торгової платформи не була зламаною, шахраї скористалися правами внутрішніх співробітників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактну інформацію, дані облікового запису, фотографії паспортів тощо. Остаточною метою шахраїв було використання соціальної інженерії для спрямування користувачів на переказ коштів.
Цей тип атаки змінив традиційні "сіткові" методи фішингу, а натомість перейшов до "точкового удару", що можна назвати "індивідуально розробленим" соціальним шахрайством. Типовий шлях злочину виглядає так:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблені телефонні системи, щоб видавати себе за службу підтримки платформи, телефонуючи користувачам і стверджуючи, що їх "рахунок піддався незаконному входу" або "виявлено аномалію при виведенні коштів", створюючи термінову атмосферу. Вони потім надсилають фальшиві фішингові електронні листи або SMS, які містять підроблені номери заявок або посилання на "процес відновлення", і спрямовують користувачів до дій. Ці посилання можуть вести на клоновані інтерфейси платформи, а також можуть надсилати електронні листи, що вдають із себе від офіційного домену, деякі листи використовують технологію перенаправлення, щоб обійти заходи безпеки.
2. Спрямувати користувачів на завантаження офіційного гаманця
Шахраї будуть використовувати "захист активів" як причину, щоб направити користувачів на переказ коштів у "безпечний гаманець", а також допоможуть користувачам встановити офіційний гаманець і вкажуть, як перевести активи, які спочатку зберігалися на платформі, в новостворений гаманець.
3. Індукція користувачів використовувати мнемонічні фрази, надані шахраями
На відміну від традиційного "замилювання очей за допомогою мнемонічних фраз", шахраї безпосередньо надають набір власноруч згенерованих мнемонічних фраз, спокушаючи користувачів використовувати їх як "офіційний новий гаманець".
4. Замилювання очей здійснюється шахраями
Жертви, перебуваючи в стані напруження, тривоги та довіри до "сервісу підтримки", легко потрапляють у пастку. Для них "новий гаманець, "офіційно наданий", звичайно, безпечніший, ніж "старий гаманець, який, ймовірно, був зламаний". В результаті, як тільки кошти переводяться на цей новий гаманець, шахраї можуть негайно їх вивести. "Ключі, які не контролюєш ти, означають, що це не твої монети" — ця ідея знову кровно підтверджується в соціальних інженерних атаках.
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову платформа повністю перейде на самостійні гаманці" та вимагають від користувачів завершити міграцію активів до 1 квітня. Користувачі під тиском термінів та психологічним натиском "офіційних вказівок" легше піддаються маніпуляціям.
За словами дослідників з безпеки, ці атаки часто організовано плануються та реалізуються:
Аналіз на блокчейні
За допомогою системи протидії відмиванню грошей та відстеження на блокчейні було проведено аналіз деяких адрес шахраїв, виявлено, що ці шахраї мають досить сильні навички роботи з блокчейном, ось деяка ключова інформація:
Атаки шахраїв націлені на користувачів, які володіють різними активами, а активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року. Основними активами є BTC та ETH. BTC є найголовнішою метою шахрайства, кілька адрес одночасно отримують прибуток у кілька сотень BTC, а одна транзакція має вартість у кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процесів для відмивання для обміну та передачі активів, основна схема така:
Кілька адрес замилювання очей залишаються в стані "статичного" після отримання стейблкоїнів і ще не були переведені.
Щоб уникнути взаємодії своєї адреси з підозрілими адресами та ризику замороження активів, користувачам рекомендується перед交易ю використовувати систему моніторингу та відстеження на блокчейні для перевірки ризику цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Сучасні основні засоби безпеки більше зосереджені на "технічному рівні" захисту, тоді як соціальна інженерія часто обходить ці механізми, націлюючись на психологічні та поведінкові уразливості користувачів. Тому рекомендується платформам інтегрувати освіту користувачів, тренінги з безпеки та дизайн доступності, щоб створити систему безпеки, що орієнтована на людину.
користувач
Це не є безпідставним занепокоєнням; з початку року працівники/користувачі криптовалюти вже стикалися з кількома випадками загрози їхній особистій безпеці. Оскільки дані, що стали відомі в результаті витоку, містять імена, адреси, контактну інформацію, дані облікових записів, фотографії паспортів тощо, відповідні користувачі повинні також бути обережними в офлайн-режимі та дбати про свою безпеку.
У підсумку, зберігайте скептицизм і продовжуйте перевіряти. Усі термінові дії вимагають обов'язкового підтвердження особи з боку іншої сторони та незалежної перевірки через офіційні канали, щоб уникнути ухвалення незворотних рішень під тиском.
Підсумок
Ця подія знову виявила явні слабкі місця в захисті даних клієнтів та активів у галузі, коли вона стикається з дедалі більш зрілими методами соціальної інженерії. Слід бути обережними, адже навіть якщо відповідні посади в платформі не мають фінансових повноважень, відсутність достатньої обізнаності та здібностей у сфері безпеки може призвести до серйозних наслідків через ненавмисне витікання інформації або вербування. У міру зростання обсягу платформи, складність управління безпекою персоналу також зростає, що стало одним із найбільш складних ризиків у галузі. Тому платформа, посилюючи механізми безпеки в ланцюзі, повинна також систематично будувати "систему захисту від соціальної інженерії", що охоплює внутрішній персонал та аутсорсингові послуги, включаючи людські ризики в загальну стратегію безпеки.
Крім того, як тільки буде виявлено, що атака не є ізольованою подією, а являє собою організовану, масштабну і постійну загрозу, платформа повинна негайно відреагувати, активно перевірити потенційні вразливості, попередити користувачів про запобігання та контролювати масштаби збитків. Лише в разі подвійного реагування на технічному та організаційному рівнях можна дійсно зберегти довіру та межі в дедалі складнішому середовищі безпеки.