Угрозы мошенничества с социальными работниками для пользователей Coinbase и стратегии реагирования
В последнее время социальные инженерные атаки в области криптоактивов стали серьезной угрозой безопасности средств пользователей. С 2025 года случаи мошенничества через социальную инженерию, направленные на пользователей одной из торговых платформ, стали частыми и привлекли широкое внимание в отрасли. Судя по обсуждениям в сообществе, такие события не являются единичными, а характеризуются продолжительностью и организованностью.
15 мая одна из торговых платформ опубликовала объявление, подтвердившее ранее существовавшие предположения о наличии "внутреннего человека" в компании. Министерство юстиции США начало расследование этого инцидента с утечкой данных.
В этой статье будут представлены основные методы мошенничества, раскрытые на основе информации, предоставленной несколькими исследователями безопасности и жертвами. Также будут рассмотрены эффективные стратегии противодействия с двух точек зрения: платформы и пользователей.
Исторический обзор
Безопасный исследователь Зак в обновлении в социальных сетях 7 мая отметил: "Только за последнюю неделю более 45 миллионов долларов были украдены у пользователей одной торговой платформы в результате социальной инженерии."
В течение прошлого года Зак неоднократно раскрывал на социальных платформах случаи кражи пользователей данной торговой платформы, некоторые жертвы потеряли до десятков миллионов долларов. В подробном расследовании, опубликованном Заком в феврале 2025 года, говорится, что только за период с декабря 2024 года по январь 2025 года общая сумма потерь от таких промываний глаз превысила 65 миллионов долларов. Он также раскрыл, что платформа сталкивается с серьезной угрозой "социальной инженерии", атаки которой ежегодно наносят ущерб пользователям на сумму около 300 миллионов долларов.
Зах отметил:
Основные группы, ведущие такие мошенничества, делятся на два типа: первая группа - это низкоуровневые атакующие из определенных кругов, вторая группа - это киберпреступные организации, находящиеся в Индии;
Целевой аудиторией атак мошеннических групп в основном являются пользователи из США, методы преступления стандартизированы, а процесс общения отработан.
Фактическая сумма убытков может значительно превышать видимую на блокчейне статистику, так как не включает неподтвержденную информацию, такую как обращения в службу поддержки и записи о заявлении в полицию.
промывание глаз
В данном инциденте техническая система торговой платформы не была взломана, мошенники использовали права внутренних сотрудников, чтобы получить часть чувствительной информации пользователей. Эта информация включает: имя, адрес, контактные данные, данные аккаунта, фотографии удостоверений личности и т.д. Конечная цель мошенников заключалась в использовании методов социальной инженерии для побуждения пользователей к переводу денег.
Этот тип атаки изменил традиционный метод "распространения сетей" фишинга и перешел к "точечным ударам", что можно назвать "индивидуально подобранным" социальным мошенничеством. Типичный путь совершения преступления выглядит следующим образом:
1. Связаться с пользователем от имени "официальной службы поддержки"
Мошенники используют поддельные телефонные системы, чтобы выдавать себя за службу поддержки платформы, звонят пользователям и сообщают, что их "аккаунт подвергся незаконному входу" или "обнаружены аномалии при выводе средств", создавая атмосферу срочности. Затем они отправляют поддельные фишинговые письма или сообщения, содержащие ложные номера заявок или ссылки на "процесс восстановления", и направляют пользователей к действиям. Эти ссылки могут вести на клонированный интерфейс платформы и даже могут отправлять письма, которые кажутся исходящими с официального домена, некоторые письма используют технику перенаправления для обхода защиты.
2. Направьте пользователя на загрузку официального кошелька
Мошенники будут под предлогом "защиты активов" направлять пользователей на перевод средств в "безопасный кошелек", а также помогать пользователям устанавливать официальный кошелек и указывать, как перевести активы, изначально хранящиеся на платформе, в созданный новый кошелек.
3. Индицировать пользователей использовать мнемонические фразы, предоставленные мошенниками
В отличие от традиционного "промывание глаз", мошенники прямо предоставляют набор своих собственных сгенерированных мнемонических фраз, под誘шая пользователей использовать их в качестве "официального нового кошелька".
4.промывание глаз进行资金盗取
Жертвы, находясь в состоянии напряжения, тревоги и доверия к "службе поддержки", легко попадают в ловушку. Для них новый кошелек, "предоставленный официально", естественно безопаснее, чем "подозрительно взломанный" старый кошелек. В результате, как только средства переводятся на этот новый кошелек, мошенники могут сразу же их вывести. "Ключи, которыми вы не владеете, означают, что вы не владеете и монетами" — эта идея снова была жестоко подтверждена в ходе социальной инженерии.
Кроме того, некоторые фишинговые электронные письма утверждают, что "в связи с решением коллективного иска платформа полностью переходит на самообслуживаемые кошельки" и требуют от пользователей завершить перенос активов до 1 апреля. Под давлением срочного времени и психологической подсказкой "официальной инструкции" пользователи более склонны к сотрудничеству.
Согласно словам специалистов по безопасности, эти атаки часто организованно планируются и осуществляются:
Инструменты обмана усовершенствованы: мошенники используют систему PBX для подделки номеров звонков, имитируя звонки от официальной службы поддержки. При отправке фишинговых писем они используют роботов в социальных сетях, подделывая официальные электронные адреса, прикладывая "руководство по восстановлению аккаунта" для перенаправления переводов.
Цель точна: промывание глаз полагается на украденные данные пользователей, приобретенные через социальные каналы и даркнет, нацеливаясь на пользователей из США как главную цель, даже используя инструменты ИИ для обработки украденных данных, разделяя и реконструируя номера телефонов, массово генерируя TXT-файлы, а затем отправляя смс-мошенничество с помощью программ для перебора паролей.
Процесс обмана последователен: от звонков, сообщений до электронной почты, мошеннические пути обычно бесшовные. Распространенные фразы для фишинга включают "Запрос на вывод средств получен на счете", "Пароль был сброшен", "На счету зафиксирована подозрительная активность" и т.д., постоянно подталкивая жертв к "безопасной проверке" до завершения перевода средств.
Анализ на цепочке
Анализируя адреса некоторых мошенников с помощью системы противодействия отмыванию денег и отслеживания на блокчейне, было обнаружено, что эти мошенники обладают высокой способностью к операциям на блокчейне. Вот некоторые ключевые сведения:
Целями атак мошенников являются различные активы, которыми владеют пользователи. Активность этих адресов сосредоточена в период с декабря 2024 года по май 2025 года, основными целевыми активами являются BTC и ETH. BTC является наименее целевой целью мошенничества, несколько адресов получают прибыль в размере до нескольких сотен BTC за раз, а одна транзакция может стоить миллионы долларов.
После получения средств мошенники быстро используют набор процедур для отмывания активов, которые включают обмен и перевод. Основная модель следующая:
Активы класса ETH часто быстро обмениваются на стейблкоины через некоторые DEX, а затем распределяются на несколько новых адресов, часть активов поступает на централизованные торговые платформы;
BTC в основном переходит через кросс-чейн мост на Эфириум, а затем обменивается на стейблкоины, чтобы избежать рисков отслеживания.
Несколько мошеннических адресов после получения стейблкоинов все еще находятся в состоянии "покоя" и не были выведены.
Чтобы избежать взаимодействия своего адреса с подозрительными адресами и тем самым риска заморозки активов, пользователям рекомендуется перед сделкой использовать систему мониторинга и отслеживания на блокчейне для проверки адреса на наличие рисков, чтобы эффективно избежать потенциальных угроз.
Меры реагирования
платформа
В настоящее время основные средства безопасности в основном относятся к "техническому уровню" защиты, в то время как социальная инженерия часто обходит эти механизмы, нацеливаясь на психологические и поведенческие уязвимости пользователей. Поэтому рекомендуется, чтобы платформа интегрировала обучение пользователей, безопасность и проектирование удобства в единую систему, создавая "человекоориентованную" безопасность.
Регулярная рассылка материалов по образованию в области борьбы с мошенничеством: повышение способности пользователей к защите от фишинга через всплывающие окна приложения, интерфейс подтверждения транзакций, электронную почту и другие каналы;
Оптимизация модели управления рисками, внедрение "интерактивного распознавания аномального поведения": большинство мошенничеств с использованием социальных технологий обычно вызывают у пользователей выполнение ряда операций (таких как переводы, изменение белого списка, привязка устройств) за короткий период времени. Платформа должна на основе модели цепочки поведения выявлять подозрительные комбинации взаимодействий (например, "частое взаимодействие + новый адрес + крупный вывод средств"), инициируя период охлаждения или механизм ручной проверки.
Установить стандарты для каналов обслуживания клиентов и механизмов проверки: мошенники часто выдают себя за служителей поддержки, чтобы запутать пользователей. Платформа должна унифицировать телефонные, смс и email-шаблоны, а также предоставить "вход для проверки службы поддержки", четко указав единственный официальный канал общения, чтобы избежать путаницы.
пользователь
Реализация стратегии изоляции идентификации: избегайте использования одного и того же адреса электронной почты и номера телефона на нескольких платформах, чтобы снизить связанный риск. Можно регулярно проверять адреса электронной почты на утечки с помощью инструментов для проверки утечек.
Включите белый список адресов для переводов и механизм охлаждения для вывода средств: предустановите доверенные адреса, чтобы снизить риск потери средств в экстренных ситуациях.
Постоянно следите за новостями безопасности: через каналы безопасности, СМИ, торговые платформы и другие источники узнавайте о последних методах атак и оставайтесь бдительными. В настоящее время несколько организаций по безопасности разрабатывают платформу для симуляции фишинга в Web3, которая будет имитировать различные типичные методы фишинга, включая социальную инженерию, фишинг через подписи, взаимодействие с вредоносными контрактами и другие, а также будет постоянно обновлять контент сцен на основе реальных случаев, собранных в ходе исторических обсуждений. Это позволит пользователям повысить свои навыки распознавания и реагирования в среде без риска.
Обратите внимание на риски офлайн и защиту конфиденциальности: утечка личной информации также может привести к проблемам с безопасностью личности.
Это не беспокойство по поводу пустяков, с начала года работники/пользователи криптовалюты столкнулись с множеством угроз безопасности. Учитывая, что утечка данных содержит имена, адреса, контактные данные, данные учетных записей, фотографии удостоверений личности и другую информацию, соответствующим пользователям следует быть более бдительными и обращать внимание на безопасность в оффлайне.
В общем, сохраняйте сомнение и продолжайте проверять. При любых экстренных действиях обязательно требуйте от собеседника подтверждения личности и независимо проверяйте через официальные каналы, чтобы избежать необратимых решений под давлением.
Резюме
Данный инцидент вновь выявил очевидные недостатки в защите клиентских данных и активов в отрасли на фоне растущей зрелости методов социального инжиниринга. Следует насторожиться, что даже если соответствующие должности на платформе не имеют финансовых полномочий, недостаток достаточной осведомленности и навыков в области безопасности может привести к серьезным последствиям из-за случайной утечки информации или вербовки. С увеличением объемов платформы сложность контроля безопасности персонала также возрастает, что становится одним из самых сложных рисков для отрасли. Поэтому, укрепляя механизмы безопасности на блокчейне, платформа также должна систематически строить "систему защиты от социального инжиниринга", охватывающую как внутренний персонал, так и услуги аутсорсинга, включая человеческие риски в общую стратегию безопасности.
Кроме того, как только будет обнаружено, что атака не является изолированным событием, а представляет собой организованную, масштабную и продолжающуюся угрозу, платформа должна немедленно отреагировать, активно проверяя потенциальные уязвимости, предупреждая пользователей о мерах предосторожности и контролируя масштаб ущерба. Только при двойном подходе на техническом и организационном уровнях можно в условиях все более сложной безопасной среды действительно сохранить доверие и границы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
4
Поделиться
комментарий
0/400
MetaReckt
· 08-06 14:31
Еще одно дело предателя? Наверное, еще не все вырыли, давайте посмотрим, что скажет регулятор~
Посмотреть ОригиналОтветить0
ImpermanentLossEnjoyer
· 08-05 03:09
Шпионы снова затеяли беспорядки, чем больше смотришь, тем абсурднее становится.
Посмотреть ОригиналОтветить0
BearMarketSage
· 08-04 04:20
Ха-ха, как же это ужасно, CEX сейчас так ненадежен.
Пользователи Coinbase столкнулись с промыванием глаз, утечка данных от внутреннего человека на платформе вызвала кризис безопасности.
Угрозы мошенничества с социальными работниками для пользователей Coinbase и стратегии реагирования
В последнее время социальные инженерные атаки в области криптоактивов стали серьезной угрозой безопасности средств пользователей. С 2025 года случаи мошенничества через социальную инженерию, направленные на пользователей одной из торговых платформ, стали частыми и привлекли широкое внимание в отрасли. Судя по обсуждениям в сообществе, такие события не являются единичными, а характеризуются продолжительностью и организованностью.
15 мая одна из торговых платформ опубликовала объявление, подтвердившее ранее существовавшие предположения о наличии "внутреннего человека" в компании. Министерство юстиции США начало расследование этого инцидента с утечкой данных.
В этой статье будут представлены основные методы мошенничества, раскрытые на основе информации, предоставленной несколькими исследователями безопасности и жертвами. Также будут рассмотрены эффективные стратегии противодействия с двух точек зрения: платформы и пользователей.
Исторический обзор
Безопасный исследователь Зак в обновлении в социальных сетях 7 мая отметил: "Только за последнюю неделю более 45 миллионов долларов были украдены у пользователей одной торговой платформы в результате социальной инженерии."
В течение прошлого года Зак неоднократно раскрывал на социальных платформах случаи кражи пользователей данной торговой платформы, некоторые жертвы потеряли до десятков миллионов долларов. В подробном расследовании, опубликованном Заком в феврале 2025 года, говорится, что только за период с декабря 2024 года по январь 2025 года общая сумма потерь от таких промываний глаз превысила 65 миллионов долларов. Он также раскрыл, что платформа сталкивается с серьезной угрозой "социальной инженерии", атаки которой ежегодно наносят ущерб пользователям на сумму около 300 миллионов долларов.
Зах отметил:
промывание глаз
В данном инциденте техническая система торговой платформы не была взломана, мошенники использовали права внутренних сотрудников, чтобы получить часть чувствительной информации пользователей. Эта информация включает: имя, адрес, контактные данные, данные аккаунта, фотографии удостоверений личности и т.д. Конечная цель мошенников заключалась в использовании методов социальной инженерии для побуждения пользователей к переводу денег.
Этот тип атаки изменил традиционный метод "распространения сетей" фишинга и перешел к "точечным ударам", что можно назвать "индивидуально подобранным" социальным мошенничеством. Типичный путь совершения преступления выглядит следующим образом:
1. Связаться с пользователем от имени "официальной службы поддержки"
Мошенники используют поддельные телефонные системы, чтобы выдавать себя за службу поддержки платформы, звонят пользователям и сообщают, что их "аккаунт подвергся незаконному входу" или "обнаружены аномалии при выводе средств", создавая атмосферу срочности. Затем они отправляют поддельные фишинговые письма или сообщения, содержащие ложные номера заявок или ссылки на "процесс восстановления", и направляют пользователей к действиям. Эти ссылки могут вести на клонированный интерфейс платформы и даже могут отправлять письма, которые кажутся исходящими с официального домена, некоторые письма используют технику перенаправления для обхода защиты.
2. Направьте пользователя на загрузку официального кошелька
Мошенники будут под предлогом "защиты активов" направлять пользователей на перевод средств в "безопасный кошелек", а также помогать пользователям устанавливать официальный кошелек и указывать, как перевести активы, изначально хранящиеся на платформе, в созданный новый кошелек.
3. Индицировать пользователей использовать мнемонические фразы, предоставленные мошенниками
В отличие от традиционного "промывание глаз", мошенники прямо предоставляют набор своих собственных сгенерированных мнемонических фраз, под誘шая пользователей использовать их в качестве "официального нового кошелька".
4.промывание глаз进行资金盗取
Жертвы, находясь в состоянии напряжения, тревоги и доверия к "службе поддержки", легко попадают в ловушку. Для них новый кошелек, "предоставленный официально", естественно безопаснее, чем "подозрительно взломанный" старый кошелек. В результате, как только средства переводятся на этот новый кошелек, мошенники могут сразу же их вывести. "Ключи, которыми вы не владеете, означают, что вы не владеете и монетами" — эта идея снова была жестоко подтверждена в ходе социальной инженерии.
Кроме того, некоторые фишинговые электронные письма утверждают, что "в связи с решением коллективного иска платформа полностью переходит на самообслуживаемые кошельки" и требуют от пользователей завершить перенос активов до 1 апреля. Под давлением срочного времени и психологической подсказкой "официальной инструкции" пользователи более склонны к сотрудничеству.
Согласно словам специалистов по безопасности, эти атаки часто организованно планируются и осуществляются:
Анализ на цепочке
Анализируя адреса некоторых мошенников с помощью системы противодействия отмыванию денег и отслеживания на блокчейне, было обнаружено, что эти мошенники обладают высокой способностью к операциям на блокчейне. Вот некоторые ключевые сведения:
Целями атак мошенников являются различные активы, которыми владеют пользователи. Активность этих адресов сосредоточена в период с декабря 2024 года по май 2025 года, основными целевыми активами являются BTC и ETH. BTC является наименее целевой целью мошенничества, несколько адресов получают прибыль в размере до нескольких сотен BTC за раз, а одна транзакция может стоить миллионы долларов.
После получения средств мошенники быстро используют набор процедур для отмывания активов, которые включают обмен и перевод. Основная модель следующая:
Несколько мошеннических адресов после получения стейблкоинов все еще находятся в состоянии "покоя" и не были выведены.
Чтобы избежать взаимодействия своего адреса с подозрительными адресами и тем самым риска заморозки активов, пользователям рекомендуется перед сделкой использовать систему мониторинга и отслеживания на блокчейне для проверки адреса на наличие рисков, чтобы эффективно избежать потенциальных угроз.
Меры реагирования
платформа
В настоящее время основные средства безопасности в основном относятся к "техническому уровню" защиты, в то время как социальная инженерия часто обходит эти механизмы, нацеливаясь на психологические и поведенческие уязвимости пользователей. Поэтому рекомендуется, чтобы платформа интегрировала обучение пользователей, безопасность и проектирование удобства в единую систему, создавая "человекоориентованную" безопасность.
пользователь
Это не беспокойство по поводу пустяков, с начала года работники/пользователи криптовалюты столкнулись с множеством угроз безопасности. Учитывая, что утечка данных содержит имена, адреса, контактные данные, данные учетных записей, фотографии удостоверений личности и другую информацию, соответствующим пользователям следует быть более бдительными и обращать внимание на безопасность в оффлайне.
В общем, сохраняйте сомнение и продолжайте проверять. При любых экстренных действиях обязательно требуйте от собеседника подтверждения личности и независимо проверяйте через официальные каналы, чтобы избежать необратимых решений под давлением.
Резюме
Данный инцидент вновь выявил очевидные недостатки в защите клиентских данных и активов в отрасли на фоне растущей зрелости методов социального инжиниринга. Следует насторожиться, что даже если соответствующие должности на платформе не имеют финансовых полномочий, недостаток достаточной осведомленности и навыков в области безопасности может привести к серьезным последствиям из-за случайной утечки информации или вербовки. С увеличением объемов платформы сложность контроля безопасности персонала также возрастает, что становится одним из самых сложных рисков для отрасли. Поэтому, укрепляя механизмы безопасности на блокчейне, платформа также должна систематически строить "систему защиты от социального инжиниринга", охватывающую как внутренний персонал, так и услуги аутсорсинга, включая человеческие риски в общую стратегию безопасности.
Кроме того, как только будет обнаружено, что атака не является изолированным событием, а представляет собой организованную, масштабную и продолжающуюся угрозу, платформа должна немедленно отреагировать, активно проверяя потенциальные уязвимости, предупреждая пользователей о мерах предосторожности и контролируя масштаб ущерба. Только при двойном подходе на техническом и организационном уровнях можно в условиях все более сложной безопасной среды действительно сохранить доверие и границы.