Социальная инженерия стала серьезной угрозой безопасности активов.
В последние годы социальные инженерные атаки на пользователей шифрования активов становятся все более распространенными, что стало одним из основных средств угрозы безопасности активов пользователей. С 2025 года случаи мошенничества через социальную инженерию, нацеленные на пользователей известной торговой платформы, происходят с регулярностью, привлекая широкое внимание индустрии. Судя по обсуждениям в сообществе, такие инциденты не являются единичными, а представляют собой новый тип мошенничества с устойчивыми и организованными характеристиками.
15 мая эта торговая платформа выпустила объявление, подтвердившее ранее сделанные предположения о наличии "внутреннего предателя" в компании. Сообщается, что Министерство юстиции США начало расследование по этому делу о утечке данных.
В данной статье будет представлена информация, собранная от нескольких исследователей безопасности и жертв, чтобы раскрыть основные методы работы мошенников, а также будут обсуждены стратегии противодействия с двух точек зрения: платформы и пользователей.
Исторический анализ
"Всего за последнюю неделю более 45 миллионов долларов были украдены у пользователей одной платформы в результате мошенничества с социальной инженерией", - написал на своих страницах в соцсетях детектив блокчейна Зак 7 мая.
В прошлом году Зак не раз сообщал о случаях кражи, с которыми столкнулись пользователи этой платформы, некоторые жертвы потеряли до десятков миллионов долларов. В его подробном расследовании, опубликованном в феврале 2025 года, говорится, что только за период с декабря 2024 года по январь 2025 года потери от таких мошенничеств превысили 65 миллионов долларов. Платформа сталкивается с серьезным кризисом "социальной инженерии", атаки которой ежегодно наносят ущерб безопасности активов пользователей на сумму в 300 миллионов долларов. Зак также указал:
Основные группы, ведущие такие мошенничества, делятся на две категории: одна категория состоит из низкоуровневых атакующих из определенных кругов, а другая — из сетевых преступных организаций, расположенных в Индии;
Преступные группы нацелены в основном на пользователей из США, стандартизированные методы преступления и отработанные речевые схемы;
Фактическая сумма убытков может значительно превышать статистику, доступную на блокчейне, так как не учитывает недоступные данные, такие как обращения в службу поддержки и записи о заявлениях в полицию.
Способы мошенничества
В данном инциденте техническая система платформы не была взломана, мошенники воспользовались правами внутренних сотрудников, чтобы получить часть чувствительной информации пользователей. Эта информация включает: имя, адрес, контактные данные, данные аккаунта, фотографии удостоверений личности и т.д. Конечная цель мошенников - использовать методы социальной инженерии для того, чтобы направить пользователей на перевод средств.
Этот тип атаки изменил традиционные методы фишинга «распространения сети», перейдя к «точечным ударам», что можно назвать «индивидуально подобранным» социоинженерным мошенничеством. Типичный путь совершения преступления следующий:
1. Связаться с пользователем от имени "официальной службы поддержки"
Мошенники используют поддельные телефонные системы (PBX), выдавая себя за службу поддержки платформы, звонят пользователям и сообщают, что их "аккаунт подвергся незаконному входу" или "обнаружены аномалии при выводе средств", создавая атмосферу срочности. Затем отправляют фальшивые фишинговые письма или SMS, содержащие ложный номер рабочего задания или ссылку на "процесс восстановления", направляя пользователей к действиям. Эти ссылки могут вести на клонированный интерфейс платформы, а некоторые письма используют редирект, чтобы обойти меры безопасности, выглядя как будто они пришли с официального домена.
2. Направьте пользователей на скачивание кошелька с собственным управлением
Мошенники под предлогом "защиты активов" направляют пользователей на перевод средств в "безопасный кошелек", помогают пользователям установить кошелек с самообслуживанием и указывают, как перевести активы, которые изначально хранились на платформе, в новосозданный кошелек.
3. Вовлечение пользователей в использование мнемонических фраз, предоставленных мошенниками
В отличие от традиционного "мошенничества с получением мнемонических слов", мошенники напрямую предоставляют набор сгенерированных ими мнемонических слов, подстрекая пользователей использовать их в качестве "официального нового кошелька".
4. Мошенники занимаются кражей средств
Жертвы, находясь в состоянии стресса, тревоги и доверия к "службе поддержки", очень легко попадают в ловушку. Для них "новый кошелек, предоставленный официально", естественно, безопаснее, чем "старый кошелек, который, возможно, был взломан". В результате, как только средства переводятся на этот новый кошелек, мошенники могут немедленно их вывести. Это снова кроваво подтверждает принцип "Не ваши ключи, не ваши монеты".
Кроме того, некоторые фишинговые письма утверждают, что "в связи с решением коллективного иска платформа полностью переходит на самоуправляемые кошельки" и требуют от пользователей завершить миграцию активов в кратчайшие сроки. Под давлением срочности и психологическим воздействием "официальной директивы" пользователи становятся более склонными к сотрудничеству.
По словам исследователей безопасности, эти атаки обычно планируются и осуществляются организованно:
Инструменты мошенничества усовершенствованы: мошенники используют систему PBX для подделки номеров вызова, имитируя звонки от официальной службы поддержки. При отправке фишинговых писем они используют роботов в социальных сетях для подделки официального электронного адреса, прикладывая "руководство по восстановлению аккаунта", чтобы направить на перевод.
Точные цели: мошенники используют украденные данные пользователей, приобретенные через социальные медиа и даркнет, чтобы нацелиться на пользователей в определенных регионах, а также могут воспользоваться ИИ для обработки украденных данных, разбивать и реорганизовывать номера телефонов, массово генерировать TXT-файлы и затем отправлять смс-мошенничество с помощью программного обеспечения для взлома.
Процесс обмана последовательный: от звонков, сообщений до электронных писем, мошеннический путь обычно бесшовный, распространенные фишинговые формулировки включают "Запрос на вывод средств получен на счет", "Пароль был сброшен", "Вход в аккаунт произошел с необычного устройства" и т. д., постоянно побуждая жертву пройти "безопасную проверку", пока не завершится перевод кошелька.
Анализ потоков средств в цепочке
Анализ некоторых адресов мошенников с помощью системы противодействия отмыванию денег и отслеживания на блокчейне показал, что эти мошенники обладают высокой способностью к операциям на блокчейне. Вот некоторые ключевые сведения:
Целями атак мошенников являются пользователи платформы, обладающие разнообразными активами. Активность этих адресов сосредоточена в период с декабря 2024 года по май 2025 года, а целевыми активами в основном являются BTC и ETH. BTC является текущей основной целью мошенничества, несколько адресов получают прибыль в размере сотен BTC за раз, при этом одна транзакция может стоить миллионы долларов.
После получения средств мошенники быстро используют набор процессов для отмывания активов, обменивая и перемещая их. Основная схема следующая:
Активы класса ETH часто быстро обмениваются на DAI или USDT через некоторые DEX, затем распределяются на несколько новых адресов, часть активов поступает на централизованные торговые платформы;
BTC в основном переносится через кросс-чейн мост на Ethereum, а затем обменивается на DAI или USDT, чтобы избежать рисков отслеживания.
Несколько мошеннических адресов остаются в состоянии "покоя" после получения DAI или USDT и до сих пор не были выведены.
Чтобы избежать взаимодействия своего адреса с подозрительными адресами и, как следствие, риска заморозки активов, рекомендуется пользователям перед сделками использовать систему противодействия отмыванию денег и отслеживания на блокчейне для проверки целевого адреса на наличие рисков, чтобы эффективно избежать потенциальных угроз.
Меры реагирования
платформа
Современные методы безопасности в основном представляют собой защиту на "техническом уровне", в то время как мошенничество с использованием социальных технологий часто обходят эти механизмы, нацеливаясь на психологические и поведенческие уязвимости пользователей. Поэтому рекомендуется, чтобы платформы интегрировали обучение пользователей, тренировки по безопасности и проектирование удобства в единое целое, создавая "человеко-ориентированную" линию безопасности.
Регулярная рассылка образовательного контента по борьбе с мошенничеством: повышение способности пользователей к защите от фишинга через всплывающие окна приложения, интерфейс подтверждения транзакций, электронную почту и другие каналы;
Оптимизация модели управления рисками, внедрение "интерактивного распознавания аномального поведения": большинство мошенничеств с использованием социальной инженерии заставляют пользователей в короткие сроки выполнить ряд действий (таких как перевод средств, изменение белого списка, привязка устройства и т.д.). Платформа должна на основе модели цепочки поведения идентифицировать подозрительные комбинации взаимодействия (например, "частые взаимодействия + новый адрес + крупное снятие средств"), чтобы инициировать период охлаждения или механизм ручного пересмотра.
Стандартизировать каналы обслуживания клиентов и механизмы проверки: мошенники часто выдают себя за службу поддержки, вводя пользователей в заблуждение. Платформа должна унифицировать телефонные, SMS и электронные письма, а также предоставить "вход для проверки службы поддержки", четко обозначив единственный официальный канал общения, чтобы избежать путаницы.
пользователь
Реализация стратегии изоляции идентификации: избегайте использования одного и того же адреса электронной почты и номера телефона на нескольких платформах, чтобы снизить сопутствующие риски. Можно использовать инструменты для проверки утечек, чтобы регулярно проверять, был ли адрес электронной почты скомпрометирован.
Включите белый список адресов для переводов и механизм охлаждения для выводов: заранее установите надежные адреса, чтобы снизить риск потери средств в экстренных ситуациях.
Продолжайте следить за информацией о безопасности: через каналы безопасности, СМИ, торговые платформы и т. д. узнайте о последних тенденциях атак и оставайтесь бдительными. В настоящее время несколько компаний по безопасности разрабатывают платформу для симуляции фишинга в Web3, которая будет имитировать различные типичные методы фишинга, включая социальную инженерию, фишинг подписей, взаимодействие с вредоносными контрактами и т. д., и будет обновлять содержимое сцен на основе реальных случаев. Это позволит пользователям повысить свои навыки распознавания и реагирования в безрисковой среде.
Обратите внимание на риски офлайн и защиту конфиденциальности: утечка личной информации также может вызвать проблемы с личной безопасностью.
Это не беспокойство по пустякам, с начала года профессионалы/пользователи шифрования столкнулись с несколькими случаями угрозы личной безопасности. Учитывая, что утечка данных содержит имена, адреса, контактную информацию, данные учетных записей, фотографии удостоверений личности и т. д., соответствующим пользователям также необходимо быть бдительными в оффлайне и обращать внимание на безопасность.
В общем, сохраняйте сомнение и продолжайте проверять. Во всех случаях, связанных с экстренными действиями, обязательно требуйте от собеседника подтверждения его личности и независимо проверяйте через официальные каналы, чтобы избежать принятия необратимых решений под давлением.
Резюме
Данный инцидент снова выявил явные недостатки в защите клиентских данных и активов в условиях постоянно развивающихся методов социальной инженерии. Стоит отметить, что даже если соответствующие должности на платформе не имеют финансовых полномочий, недостаток безопасности и осведомленности может привести к серьезным последствиям из-за неумышленной утечки информации или вербовки. С увеличением объема платформы сложность управления безопасностью персонала также возрастает, что становится одним из самых сложных рисков в отрасли. Поэтому, усиливая механизмы безопасности на блокчейне, платформе также необходимо систематически строить "систему защиты от социальной инженерии", охватывающую как внутренний персонал, так и аутсорсинговые услуги, включая человеческие риски в общую стратегию безопасности.
Кроме того, как только будет выявлено, что атака не является изолированным инцидентом, а представляет собой организованную, масштабную и продолжающуюся угрозу, платформа должна немедленно отреагировать, активно проверяя потенциальные уязвимости, предупреждая пользователей о мерах предосторожности и контролируя масштаб ущерба. Только при двойном подходе на техническом и организационном уровнях можно действительно сохранить доверие и границы в все более сложной среде безопасности.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Социальная инженерия нацелена на платформы для торговли, годовые убытки составляют 300 миллионов долларов. Полный анализ мер противодействия.
Социальная инженерия стала серьезной угрозой безопасности активов.
В последние годы социальные инженерные атаки на пользователей шифрования активов становятся все более распространенными, что стало одним из основных средств угрозы безопасности активов пользователей. С 2025 года случаи мошенничества через социальную инженерию, нацеленные на пользователей известной торговой платформы, происходят с регулярностью, привлекая широкое внимание индустрии. Судя по обсуждениям в сообществе, такие инциденты не являются единичными, а представляют собой новый тип мошенничества с устойчивыми и организованными характеристиками.
15 мая эта торговая платформа выпустила объявление, подтвердившее ранее сделанные предположения о наличии "внутреннего предателя" в компании. Сообщается, что Министерство юстиции США начало расследование по этому делу о утечке данных.
В данной статье будет представлена информация, собранная от нескольких исследователей безопасности и жертв, чтобы раскрыть основные методы работы мошенников, а также будут обсуждены стратегии противодействия с двух точек зрения: платформы и пользователей.
Исторический анализ
"Всего за последнюю неделю более 45 миллионов долларов были украдены у пользователей одной платформы в результате мошенничества с социальной инженерией", - написал на своих страницах в соцсетях детектив блокчейна Зак 7 мая.
В прошлом году Зак не раз сообщал о случаях кражи, с которыми столкнулись пользователи этой платформы, некоторые жертвы потеряли до десятков миллионов долларов. В его подробном расследовании, опубликованном в феврале 2025 года, говорится, что только за период с декабря 2024 года по январь 2025 года потери от таких мошенничеств превысили 65 миллионов долларов. Платформа сталкивается с серьезным кризисом "социальной инженерии", атаки которой ежегодно наносят ущерб безопасности активов пользователей на сумму в 300 миллионов долларов. Зак также указал:
Способы мошенничества
В данном инциденте техническая система платформы не была взломана, мошенники воспользовались правами внутренних сотрудников, чтобы получить часть чувствительной информации пользователей. Эта информация включает: имя, адрес, контактные данные, данные аккаунта, фотографии удостоверений личности и т.д. Конечная цель мошенников - использовать методы социальной инженерии для того, чтобы направить пользователей на перевод средств.
Этот тип атаки изменил традиционные методы фишинга «распространения сети», перейдя к «точечным ударам», что можно назвать «индивидуально подобранным» социоинженерным мошенничеством. Типичный путь совершения преступления следующий:
1. Связаться с пользователем от имени "официальной службы поддержки"
Мошенники используют поддельные телефонные системы (PBX), выдавая себя за службу поддержки платформы, звонят пользователям и сообщают, что их "аккаунт подвергся незаконному входу" или "обнаружены аномалии при выводе средств", создавая атмосферу срочности. Затем отправляют фальшивые фишинговые письма или SMS, содержащие ложный номер рабочего задания или ссылку на "процесс восстановления", направляя пользователей к действиям. Эти ссылки могут вести на клонированный интерфейс платформы, а некоторые письма используют редирект, чтобы обойти меры безопасности, выглядя как будто они пришли с официального домена.
2. Направьте пользователей на скачивание кошелька с собственным управлением
Мошенники под предлогом "защиты активов" направляют пользователей на перевод средств в "безопасный кошелек", помогают пользователям установить кошелек с самообслуживанием и указывают, как перевести активы, которые изначально хранились на платформе, в новосозданный кошелек.
3. Вовлечение пользователей в использование мнемонических фраз, предоставленных мошенниками
В отличие от традиционного "мошенничества с получением мнемонических слов", мошенники напрямую предоставляют набор сгенерированных ими мнемонических слов, подстрекая пользователей использовать их в качестве "официального нового кошелька".
4. Мошенники занимаются кражей средств
Жертвы, находясь в состоянии стресса, тревоги и доверия к "службе поддержки", очень легко попадают в ловушку. Для них "новый кошелек, предоставленный официально", естественно, безопаснее, чем "старый кошелек, который, возможно, был взломан". В результате, как только средства переводятся на этот новый кошелек, мошенники могут немедленно их вывести. Это снова кроваво подтверждает принцип "Не ваши ключи, не ваши монеты".
Кроме того, некоторые фишинговые письма утверждают, что "в связи с решением коллективного иска платформа полностью переходит на самоуправляемые кошельки" и требуют от пользователей завершить миграцию активов в кратчайшие сроки. Под давлением срочности и психологическим воздействием "официальной директивы" пользователи становятся более склонными к сотрудничеству.
По словам исследователей безопасности, эти атаки обычно планируются и осуществляются организованно:
Анализ потоков средств в цепочке
Анализ некоторых адресов мошенников с помощью системы противодействия отмыванию денег и отслеживания на блокчейне показал, что эти мошенники обладают высокой способностью к операциям на блокчейне. Вот некоторые ключевые сведения:
Целями атак мошенников являются пользователи платформы, обладающие разнообразными активами. Активность этих адресов сосредоточена в период с декабря 2024 года по май 2025 года, а целевыми активами в основном являются BTC и ETH. BTC является текущей основной целью мошенничества, несколько адресов получают прибыль в размере сотен BTC за раз, при этом одна транзакция может стоить миллионы долларов.
После получения средств мошенники быстро используют набор процессов для отмывания активов, обменивая и перемещая их. Основная схема следующая:
Активы класса ETH часто быстро обмениваются на DAI или USDT через некоторые DEX, затем распределяются на несколько новых адресов, часть активов поступает на централизованные торговые платформы;
BTC в основном переносится через кросс-чейн мост на Ethereum, а затем обменивается на DAI или USDT, чтобы избежать рисков отслеживания.
Несколько мошеннических адресов остаются в состоянии "покоя" после получения DAI или USDT и до сих пор не были выведены.
Чтобы избежать взаимодействия своего адреса с подозрительными адресами и, как следствие, риска заморозки активов, рекомендуется пользователям перед сделками использовать систему противодействия отмыванию денег и отслеживания на блокчейне для проверки целевого адреса на наличие рисков, чтобы эффективно избежать потенциальных угроз.
Меры реагирования
платформа
Современные методы безопасности в основном представляют собой защиту на "техническом уровне", в то время как мошенничество с использованием социальных технологий часто обходят эти механизмы, нацеливаясь на психологические и поведенческие уязвимости пользователей. Поэтому рекомендуется, чтобы платформы интегрировали обучение пользователей, тренировки по безопасности и проектирование удобства в единое целое, создавая "человеко-ориентированную" линию безопасности.
пользователь
Реализация стратегии изоляции идентификации: избегайте использования одного и того же адреса электронной почты и номера телефона на нескольких платформах, чтобы снизить сопутствующие риски. Можно использовать инструменты для проверки утечек, чтобы регулярно проверять, был ли адрес электронной почты скомпрометирован.
Включите белый список адресов для переводов и механизм охлаждения для выводов: заранее установите надежные адреса, чтобы снизить риск потери средств в экстренных ситуациях.
Продолжайте следить за информацией о безопасности: через каналы безопасности, СМИ, торговые платформы и т. д. узнайте о последних тенденциях атак и оставайтесь бдительными. В настоящее время несколько компаний по безопасности разрабатывают платформу для симуляции фишинга в Web3, которая будет имитировать различные типичные методы фишинга, включая социальную инженерию, фишинг подписей, взаимодействие с вредоносными контрактами и т. д., и будет обновлять содержимое сцен на основе реальных случаев. Это позволит пользователям повысить свои навыки распознавания и реагирования в безрисковой среде.
Обратите внимание на риски офлайн и защиту конфиденциальности: утечка личной информации также может вызвать проблемы с личной безопасностью.
Это не беспокойство по пустякам, с начала года профессионалы/пользователи шифрования столкнулись с несколькими случаями угрозы личной безопасности. Учитывая, что утечка данных содержит имена, адреса, контактную информацию, данные учетных записей, фотографии удостоверений личности и т. д., соответствующим пользователям также необходимо быть бдительными в оффлайне и обращать внимание на безопасность.
В общем, сохраняйте сомнение и продолжайте проверять. Во всех случаях, связанных с экстренными действиями, обязательно требуйте от собеседника подтверждения его личности и независимо проверяйте через официальные каналы, чтобы избежать принятия необратимых решений под давлением.
Резюме
Данный инцидент снова выявил явные недостатки в защите клиентских данных и активов в условиях постоянно развивающихся методов социальной инженерии. Стоит отметить, что даже если соответствующие должности на платформе не имеют финансовых полномочий, недостаток безопасности и осведомленности может привести к серьезным последствиям из-за неумышленной утечки информации или вербовки. С увеличением объема платформы сложность управления безопасностью персонала также возрастает, что становится одним из самых сложных рисков в отрасли. Поэтому, усиливая механизмы безопасности на блокчейне, платформе также необходимо систематически строить "систему защиты от социальной инженерии", охватывающую как внутренний персонал, так и аутсорсинговые услуги, включая человеческие риски в общую стратегию безопасности.
Кроме того, как только будет выявлено, что атака не является изолированным инцидентом, а представляет собой организованную, масштабную и продолжающуюся угрозу, платформа должна немедленно отреагировать, активно проверяя потенциальные уязвимости, предупреждая пользователей о мерах предосторожности и контролируя масштаб ущерба. Только при двойном подходе на техническом и организационном уровнях можно действительно сохранить доверие и границы в все более сложной среде безопасности.