Соціальна інженерія стала значною загрозою у сфері шифрування активів
В останні роки соціальні інженерні атаки стали суттєвою загрозою безпеці коштів користувачів у сфері шифрування активів. З 2025 року часто відбувалися випадки шахрайства за допомогою соціальної інженерії, націлені на користувачів відомої торгової платформи, що викликало широке обговорення в спільноті. З обговорень у спільноті видно, що ці випадки не є поодинокими, а є видом шахрайства з постійними та організованими рисами.
15 травня певна торгова платформа опублікувала оголошення, підтвердивши попередні припущення про наявність "зрадників" всередині платформи. Згідно з повідомленнями, Міністерство юстиції США (DOJ) розпочало розслідування щодо цього інциденту з витоком даних.
У цій статті буде розглянуто основні методи шахрайства шляхом узагальнення інформації, наданої кількома дослідниками безпеки та жертвами, а також з двох точок зору: платформи та користувачів, буде обговорено, як ефективно реагувати на такі шахрайства.
Історичний аналіз
Онлайн-детектив Зак у своєму оновленні в соціальних мережах 7 травня заявив: "Лише за минулий тиждень було викрадено понад 45 мільйонів доларів через соціальну інженерію у користувачів певної торгової платформи".
Протягом минулого року Зак неодноразово розкривав на соціальних платформах випадки крадіжки користувачів певної торгової платформи, деякі жертви зазнали збитків у десятки мільйонів доларів. У лютому 2025 року Зак опублікував детальне розслідування, в якому зазначив, що лише з грудня 2024 року по січень 2025 року загальна сума вкрадених коштів через подібні шахрайства перевищила 65 мільйонів доларів, та розкрив, що ця платформа стикається з серйозною кризою "соціальної інженерії", яка продовжує завдавати шкоди безпеці активів користувачів у масштабах, що складають 300 мільйонів доларів щорічно. Він також зазначив:
Групи, що займаються такими шахрайствами, в основному поділяються на два типи: один тип - це низькорівневі нападники з певних кіл (skids), інший - це кіберзлочинні організації, що знаходяться в Індії;
Злочинні угруповання націлені на користувачів з США, методи злочинів стандартизовані, а мова спілкування є зрілою;
Фактична сума збитків може бути значно вищою за статистику, доступну на блокчейні, оскільки не включає непублічну інформацію, таку як заявки в службу підтримки та записи про повідомлення в поліцію, які неможливо отримати.
Методи шахрайства
У цій події технічна система торгової платформи не була зламаною, шахраї використали повноваження внутрішніх працівників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактні дані, дані рахунку, фотографії посвідчення особи тощо. Остаточною метою шахраїв було використання соціальної інженерії для спонукання користувачів до переказу коштів.
Цей тип атаки змінив традиційні "сіткові" методи фішингу, замість цього перейшовши до "точкових ударів", що можна вважати "індивідуальною" соціальною інженерією. Типовий шлях злочину виглядає наступним чином:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблену телефонну систему (PBX), щоб видавати себе за службу підтримки платформи, телефонуючи користувачам і стверджуючи, що їх "рахунок зазнав незаконного входу" або "виявлено аномалію при виведенні коштів", створюючи термінову атмосферу. Вони потім надсилають фальшиві фішингові електронні листи або SMS, що містять неправдиві номери заявок або посилання на "процес відновлення", і спонукають користувачів до дій. Ці посилання можуть вказувати на клонований інтерфейс платформи, навіть можуть надсилати електронні листи, які, здається, походять з офіційного домену, деякі електронні листи використовують техніку перенаправлення для обходу засобів безпеки.
2. Скерувати користувачів на завантаження нового гаманця
Шахраї будуть стверджувати, що "захищають активи", ведучи користувачів до переведення коштів на "безпечний гаманець", а також допоможуть користувачам встановити новий гаманець і вказуватимуть, як перевести активи, які раніше зберігалися на платформі, в новостворений гаманець.
3. Спонукати користувачів використовувати мнемонічні фрази, надані шахраями
На відміну від традиційного "виведення мнемонічних фраз", шахраї безпосередньо надають набір генерованих ними мнемонічних фраз, спонукаючи користувачів використовувати їх як "офіційний новий гаманець".
4.Шахраї здійснюють крадіжку коштів
Жертви, в напруженому, тривожному стані і довіряючи "службі підтримки", дуже легко потрапляють у пастку - на їхню думку, новий гаманець, "офіційно наданий", звичайно ж, безпечніший, ніж "підозрюваний у зломі" старий гаманець. В результаті, як тільки кошти переводяться в цей новий гаманець, шахраї можуть негайно їх перевести. Not your keys, not your coins. - У соціально-інженерних атаках ця концепція знову жорстоко підтверджується.
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову платформа повністю перейде на самостійні гаманці", і вимагають від користувачів завершити міграцію активів до 1 квітня. Користувачі під тиском термінових часових рамок та психологічного натяку на "офіційні вказівки" легше погоджуються на дії.
За словами дослідників безпеки, ці атаки зазвичай організовано плануються та реалізуються:
Інструменти для шахрайства вдосконалені: шахраї використовують системи PBX (такі як FreePBX, Bitrix24) для підробки номерів телефонів, імітуючи дзвінки від офіційної служби підтримки. Під час відправки фішингових електронних листів вони використовують спеціальні інструменти для підробки офіційної електронної пошти, прикріплюючи "посібник з відновлення облікового запису" для керівництва щодо переказу.
Точна ціль: шахраї, спираючись на викрадені дані користувачів, придбані з певних каналів та темної мережі, намагаються націлитися на користувачів у конкретних регіонах, навіть використовуючи інструменти ШІ для обробки викрадених даних, розподіляючи номери телефонів, формуючи їх повторно, масово генеруючи TXT-файли, а потім через програми для злому надсилаючи SMS-шахрайства.
Процес ловлі жертв є безперервним: від телефонних дзвінків, SMS до електронних листів, шлях шахрайства зазвичай безшовний, поширені фрази для фішингу включають "рахунок отримав запит на виведення коштів", "пароль був скинутий", "рахунок має підозрілий вхід" тощо, постійно спонукаючи жертву до проведення "перевірки безпеки", поки не завершиться переказ коштів з гаманця.
Аналіз на ланцюгу
За допомогою системи аналізу протидії відмиванню грошей та відстеження в блокчейні були проаналізовані адреси деяких шахраїв, виявлено, що ці шахраї мають значні можливості для операцій у блокчейні, нижче наведено деяку ключову інформацію:
Мішенню атаки шахраїв є платформи користувачів, які володіють різними активами; активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року, а основними цільовими активами є BTC та ETH. BTC є наразі найголовнішою метою шахрайства, кілька адрес отримують прибуток одноразово на кілька сотень BTC, одинична транзакція має вартість кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процесів для відмивання активів і їх обміну та переміщення, основні моделі наведені нижче:
Активи класу ETH часто швидко обмінюються на DAI або USDT через певний DEX, а потім розподіляються на кілька нових адрес, частина активів надходить на централізовані торгові платформи;
BTC основним чином переноситься через міжмережевий міст на Ethereum, а потім обмінюється на DAI або USDT, щоб уникнути ризику відстеження.
Кілька адрес шахрайства залишаються в "спочивальному" стані після отримання DAI або USDT і ще не були виведені.
Щоб уникнути взаємодії своєї адреси з підозрілою адресою та ризику замороження активів, рекомендується користувачам перед торгівлею використовувати систему боротьби з відмиванням грошей та відстеження на блокчейні для перевірки ризиків цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Нині основні засоби безпеки більше зосереджені на "технічному рівні" захисту, тоді як соціальна інженерія часто обминає ці механізми, безпосередньо вражаючи психологічні та поведінкові вразливості користувачів. Тому рекомендується платформам інтегрувати навчання користувачів, тренування з безпеки та дизайн зручності у єдину систему, щоб створити "людську" лінію оборони.
Регулярна розсилка матеріалів з освіти проти шахрайства: через спливаючі вікна в додатку, інтерфейс підтвердження транзакцій, електронну пошту та інші канали підвищити здатність користувачів до захисту від фішингу;
Оптимізація моделей управління ризиками, впровадження "інтерактивного виявлення аномальної поведінки": більшість шахрайств з соціального інженерії намагаються за короткий проміжок часу спонукати користувачів виконати ряд дій (наприклад, переказ грошей, зміна списку довірених адрес, прив'язка пристроїв тощо). Платформа повинна на основі моделі поведінкових ланцюгів виявляти підозрілі комбінації взаємодій (наприклад, "часті взаємодії + нова адреса + великі суми зняття"), щоб активувати період охолодження або механізм ручного перегляду.
Нормалізація каналів обслуговування клієнтів та механізмів верифікації: Шахраї часто видають себе за обслуговування клієнтів, вводячи користувачів в оману, платформа повинна уніфікувати телефонні, SMS та електронні шаблони, а також надати "вхід для верифікації обслуговування клієнтів", чітко визначивши єдиний офіційний канал зв'язку, щоб уникнути плутанини.
користувач
Впровадження політики ізоляції особи: уникати спільного використання однієї електронної пошти та номера телефону на кількох платформах, зменшити ризик пов'язаних збитків, можна використовувати інструменти перевірки витоків для регулярної перевірки електронної пошти на предмет витоків.
Увімкнення білого списку переказів та механізму охолодження для виведення: попередньо налаштовані надійні адреси знижують ризик втрати коштів у надзвичайних ситуаціях.
Постійно слідкуйте за новинами безпеки: через канали безпекових компаній, медіа, торговельні платформи тощо дізнавайтеся про останні новини щодо методів атак та залишайтеся на чеку. Наразі кілька безпекових агенцій готують до запуску платформу для тренування з фішингу в Web3, яка імітуватиме різні типові методи фішингу, включаючи соціальну інженерію, фішинг підписів, взаємодію з шкідливими контрактами тощо, а також буде базуватися на історичних випадках, постійно оновлюючи сценарії. Це дозволить користувачам підвищити здатність до розпізнавання та реагування в безризиковому середовищі.
Зверніть увагу на ризики офлайн та захист приватності: витік особистої інформації може також призвести до проблем з особистою безпекою.
Це не є безпідставним занепокоєнням, з початку року працівники/користувачі у сфері шифрування вже стикалися з кількома інцидентами, що загрожують їхній безпеці. Оскільки витік даних містить імена, адреси, контактну інформацію, дані облікових записів, фотографії паспортів тощо, відповідні користувачі повинні також підвищити обізнаність про безпеку в офлайні.
Отже, зберігайте скептицизм і продовжуйте перевіряти. Усі термінові дії вимагають обов'язкового підтвердження особи з боку співрозмовника та незалежної перевірки через офіційні канали, щоб уникнути прийняття незворотних рішень під тиском.
Підсумок
Ця подія знову виявила, що в умовах дедалі більш зрілих методів соціальної інженерії в галузі все ще існують очевидні недоліки в захисті даних клієнтів і активів. Варто звернути увагу на те, що навіть якщо відповідні посади платформи не мають доступу до коштів, недостатня обізнаність і можливості в галузі безпеки можуть призвести до серйозних наслідків через ненавмисне витікання інформації або підкуп. У міру розширення платформи складність контролю безпеки персоналу зростає, що стало одним із найскладніших ризиків у галузі. Тому платформа, посилюючи механізми безпеки в ланцюгу, також повинна системно створювати "систему захисту від соціальної інженерії", яка охоплює внутрішній персонал і аутсорсингові послуги, включаючи людські ризики в загальну стратегію безпеки.
Крім того, якщо атака виявляється не ізольованою подією, а організованою, масштабною та тривалою загрозою, платформа повинна оперативно реагувати, активно перевіряти потенційні вразливості, попереджати користувачів про запобігання та контролювати масштаби шкоди. Лише завдяки подвійній реакції на технічному та організаційному рівнях можна справді зберегти довіру та базові принципи в дедалі складнішому середовищі безпеки.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
5
Поділіться
Прокоментувати
0/400
MemeEchoer
· 07-22 17:43
Внутрішній зрадник дійсно смачний, ця хвиля Рект!
Переглянути оригіналвідповісти на0
MoneyBurner
· 07-22 10:46
невдахи один раз обдурюють людей, як лохів, два рази болить? ще не прокинулися
Переглянути оригіналвідповісти на0
UnluckyValidator
· 07-20 05:10
Шпигун справляється! Я вже тричі зазнав незначних втрат.
Атаки соціальних інженерів стали новою загрозою в сфері шифрування активів, річні збитки досягають 300 мільйонів доларів.
Соціальна інженерія стала значною загрозою у сфері шифрування активів
В останні роки соціальні інженерні атаки стали суттєвою загрозою безпеці коштів користувачів у сфері шифрування активів. З 2025 року часто відбувалися випадки шахрайства за допомогою соціальної інженерії, націлені на користувачів відомої торгової платформи, що викликало широке обговорення в спільноті. З обговорень у спільноті видно, що ці випадки не є поодинокими, а є видом шахрайства з постійними та організованими рисами.
15 травня певна торгова платформа опублікувала оголошення, підтвердивши попередні припущення про наявність "зрадників" всередині платформи. Згідно з повідомленнями, Міністерство юстиції США (DOJ) розпочало розслідування щодо цього інциденту з витоком даних.
У цій статті буде розглянуто основні методи шахрайства шляхом узагальнення інформації, наданої кількома дослідниками безпеки та жертвами, а також з двох точок зору: платформи та користувачів, буде обговорено, як ефективно реагувати на такі шахрайства.
Історичний аналіз
Онлайн-детектив Зак у своєму оновленні в соціальних мережах 7 травня заявив: "Лише за минулий тиждень було викрадено понад 45 мільйонів доларів через соціальну інженерію у користувачів певної торгової платформи".
Протягом минулого року Зак неодноразово розкривав на соціальних платформах випадки крадіжки користувачів певної торгової платформи, деякі жертви зазнали збитків у десятки мільйонів доларів. У лютому 2025 року Зак опублікував детальне розслідування, в якому зазначив, що лише з грудня 2024 року по січень 2025 року загальна сума вкрадених коштів через подібні шахрайства перевищила 65 мільйонів доларів, та розкрив, що ця платформа стикається з серйозною кризою "соціальної інженерії", яка продовжує завдавати шкоди безпеці активів користувачів у масштабах, що складають 300 мільйонів доларів щорічно. Він також зазначив:
Методи шахрайства
У цій події технічна система торгової платформи не була зламаною, шахраї використали повноваження внутрішніх працівників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактні дані, дані рахунку, фотографії посвідчення особи тощо. Остаточною метою шахраїв було використання соціальної інженерії для спонукання користувачів до переказу коштів.
Цей тип атаки змінив традиційні "сіткові" методи фішингу, замість цього перейшовши до "точкових ударів", що можна вважати "індивідуальною" соціальною інженерією. Типовий шлях злочину виглядає наступним чином:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблену телефонну систему (PBX), щоб видавати себе за службу підтримки платформи, телефонуючи користувачам і стверджуючи, що їх "рахунок зазнав незаконного входу" або "виявлено аномалію при виведенні коштів", створюючи термінову атмосферу. Вони потім надсилають фальшиві фішингові електронні листи або SMS, що містять неправдиві номери заявок або посилання на "процес відновлення", і спонукають користувачів до дій. Ці посилання можуть вказувати на клонований інтерфейс платформи, навіть можуть надсилати електронні листи, які, здається, походять з офіційного домену, деякі електронні листи використовують техніку перенаправлення для обходу засобів безпеки.
2. Скерувати користувачів на завантаження нового гаманця
Шахраї будуть стверджувати, що "захищають активи", ведучи користувачів до переведення коштів на "безпечний гаманець", а також допоможуть користувачам встановити новий гаманець і вказуватимуть, як перевести активи, які раніше зберігалися на платформі, в новостворений гаманець.
3. Спонукати користувачів використовувати мнемонічні фрази, надані шахраями
На відміну від традиційного "виведення мнемонічних фраз", шахраї безпосередньо надають набір генерованих ними мнемонічних фраз, спонукаючи користувачів використовувати їх як "офіційний новий гаманець".
4.Шахраї здійснюють крадіжку коштів
Жертви, в напруженому, тривожному стані і довіряючи "службі підтримки", дуже легко потрапляють у пастку - на їхню думку, новий гаманець, "офіційно наданий", звичайно ж, безпечніший, ніж "підозрюваний у зломі" старий гаманець. В результаті, як тільки кошти переводяться в цей новий гаманець, шахраї можуть негайно їх перевести. Not your keys, not your coins. - У соціально-інженерних атаках ця концепція знову жорстоко підтверджується.
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову платформа повністю перейде на самостійні гаманці", і вимагають від користувачів завершити міграцію активів до 1 квітня. Користувачі під тиском термінових часових рамок та психологічного натяку на "офіційні вказівки" легше погоджуються на дії.
За словами дослідників безпеки, ці атаки зазвичай організовано плануються та реалізуються:
Аналіз на ланцюгу
За допомогою системи аналізу протидії відмиванню грошей та відстеження в блокчейні були проаналізовані адреси деяких шахраїв, виявлено, що ці шахраї мають значні можливості для операцій у блокчейні, нижче наведено деяку ключову інформацію:
Мішенню атаки шахраїв є платформи користувачів, які володіють різними активами; активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року, а основними цільовими активами є BTC та ETH. BTC є наразі найголовнішою метою шахрайства, кілька адрес отримують прибуток одноразово на кілька сотень BTC, одинична транзакція має вартість кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процесів для відмивання активів і їх обміну та переміщення, основні моделі наведені нижче:
Активи класу ETH часто швидко обмінюються на DAI або USDT через певний DEX, а потім розподіляються на кілька нових адрес, частина активів надходить на централізовані торгові платформи;
BTC основним чином переноситься через міжмережевий міст на Ethereum, а потім обмінюється на DAI або USDT, щоб уникнути ризику відстеження.
Кілька адрес шахрайства залишаються в "спочивальному" стані після отримання DAI або USDT і ще не були виведені.
Щоб уникнути взаємодії своєї адреси з підозрілою адресою та ризику замороження активів, рекомендується користувачам перед торгівлею використовувати систему боротьби з відмиванням грошей та відстеження на блокчейні для перевірки ризиків цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Нині основні засоби безпеки більше зосереджені на "технічному рівні" захисту, тоді як соціальна інженерія часто обминає ці механізми, безпосередньо вражаючи психологічні та поведінкові вразливості користувачів. Тому рекомендується платформам інтегрувати навчання користувачів, тренування з безпеки та дизайн зручності у єдину систему, щоб створити "людську" лінію оборони.
користувач
Впровадження політики ізоляції особи: уникати спільного використання однієї електронної пошти та номера телефону на кількох платформах, зменшити ризик пов'язаних збитків, можна використовувати інструменти перевірки витоків для регулярної перевірки електронної пошти на предмет витоків.
Увімкнення білого списку переказів та механізму охолодження для виведення: попередньо налаштовані надійні адреси знижують ризик втрати коштів у надзвичайних ситуаціях.
Постійно слідкуйте за новинами безпеки: через канали безпекових компаній, медіа, торговельні платформи тощо дізнавайтеся про останні новини щодо методів атак та залишайтеся на чеку. Наразі кілька безпекових агенцій готують до запуску платформу для тренування з фішингу в Web3, яка імітуватиме різні типові методи фішингу, включаючи соціальну інженерію, фішинг підписів, взаємодію з шкідливими контрактами тощо, а також буде базуватися на історичних випадках, постійно оновлюючи сценарії. Це дозволить користувачам підвищити здатність до розпізнавання та реагування в безризиковому середовищі.
Зверніть увагу на ризики офлайн та захист приватності: витік особистої інформації може також призвести до проблем з особистою безпекою.
Це не є безпідставним занепокоєнням, з початку року працівники/користувачі у сфері шифрування вже стикалися з кількома інцидентами, що загрожують їхній безпеці. Оскільки витік даних містить імена, адреси, контактну інформацію, дані облікових записів, фотографії паспортів тощо, відповідні користувачі повинні також підвищити обізнаність про безпеку в офлайні.
Отже, зберігайте скептицизм і продовжуйте перевіряти. Усі термінові дії вимагають обов'язкового підтвердження особи з боку співрозмовника та незалежної перевірки через офіційні канали, щоб уникнути прийняття незворотних рішень під тиском.
Підсумок
Ця подія знову виявила, що в умовах дедалі більш зрілих методів соціальної інженерії в галузі все ще існують очевидні недоліки в захисті даних клієнтів і активів. Варто звернути увагу на те, що навіть якщо відповідні посади платформи не мають доступу до коштів, недостатня обізнаність і можливості в галузі безпеки можуть призвести до серйозних наслідків через ненавмисне витікання інформації або підкуп. У міру розширення платформи складність контролю безпеки персоналу зростає, що стало одним із найскладніших ризиків у галузі. Тому платформа, посилюючи механізми безпеки в ланцюгу, також повинна системно створювати "систему захисту від соціальної інженерії", яка охоплює внутрішній персонал і аутсорсингові послуги, включаючи людські ризики в загальну стратегію безпеки.
Крім того, якщо атака виявляється не ізольованою подією, а організованою, масштабною та тривалою загрозою, платформа повинна оперативно реагувати, активно перевіряти потенційні вразливості, попереджати користувачів про запобігання та контролювати масштаби шкоди. Лише завдяки подвійній реакції на технічному та організаційному рівнях можна справді зберегти довіру та базові принципи в дедалі складнішому середовищі безпеки.