Социальная инженерия нацелена на пользователей криптоактивов: разоблачение методов преступления и стратегии защиты
В последние годы социальные инженерные атаки на пользователей криптоактивов становятся все более распространенными, что представляет собой значительную угрозу безопасности средств. С 2025 года большое количество случаев мошенничества с использованием социальной инженерии, нацеленных на пользователей одной известной торговой платформы, постоянно всплывают на поверхность, вызывая широкое внимание. Из обсуждений в сообществе видно, что такие случаи не являются единичными, а представляют собой тип мошенничества с устойчивыми и организованными чертами.
15 мая платформа опубликовала заявление, подтвердившее ранее существовавшие предположения о наличии "внутреннего предателя". Министерство юстиции США начало расследование этого инцидента утечки данных.
В данной статье будут систематизированы сведения, предоставленные несколькими исследователями безопасности и жертвами, с целью раскрытия основных методов мошенничества, а также будет рассмотрена стратегия противодействия с двух сторон: платформы и пользователей.
Исторический обзор
Онлайн-детектив Зак упомянул в обновлении на социальной платформе 7 мая: "Всего за последнюю неделю более 45 миллионов долларов были украдены у пользователей одной из торговых платформ из-за мошенничества с социальной инженерией."
В прошлом году Зак неоднократно сообщал о случаях кражи средств пользователей на этой платформе, отдельные жертвы потеряли до десятков миллионов долларов. В подробном расследовании, опубликованном им в феврале 2025 года, показано, что только за период с декабря 2024 года по январь 2025 года сумма украденных средств в результате подобных промываний глаз превысила 65 миллионов долларов. Платформа сталкивается с серьезным кризисом "социальной инженерии", такие атаки продолжают угрожать безопасности активов пользователей с ежегодным объемом в 300 миллионов долларов.
Зак также отметил:
Основные группы, ведущие такие мошенничества, делятся на две категории: одна группа состоит из низкоуровневых атакующих из определенных кругов, а другая - из сетевых преступных организаций, расположенных в Индии;
Целевой аудиторией мошеннических групп является в основном американские пользователи, методы совершения преступлений стандартизированы, а речевые схемы зрелы;
Фактическая сумма убытков может значительно превышать видимую статистику в блокчейне, так как не включает недоступные данные, такие как заявки в службу поддержки и записи о поданных заявлениях в полицию.
промывание глаз手法
В этом инциденте техническая система платформы не была взломана; мошенники воспользовались правами внутренних сотрудников и получили доступ к некоторой конфиденциальной информации пользователей. Эта информация включает: имя, адрес, контактные данные, данные учетной записи, фотографии удостоверений личности и т.д. Конечная цель мошенников заключается в использовании методов социального инжиниринга для того, чтобы побудить пользователей перевести средства.
Этот тип атаки изменил традиционные методы рыболовства "сеть" и перешел к "точечным ударам", что можно назвать "индивидуально подобранным" социальным мошенничеством. Типичный путь совершения преступления следующий:
1. Связаться с пользователем от имени "официальной службы поддержки"
Мошенники используют поддельные телефонные системы, выдавая себя за службу поддержки платформы, и звонят пользователям, утверждая, что их "аккаунт подвергся незаконному входу" или "обнаружены аномалии при выводе средств", создавая атмосферу срочности. Затем они отправляют поддельные фишинговые письма или SMS, содержащие ложные номера заявок или ссылки на "процесс восстановления", и направляют пользователей к действиям. Эти ссылки могут вести на клонированный интерфейс платформы и даже могут отправлять письма, которые выглядят так, словно они пришли с официального домена, некоторые письма используют технологии переадресации, чтобы обойти средства безопасности.
2. Направьте пользователей на загрузку нового кошелька
Мошенники будут использовать "защиту активов" как повод, чтобы заставить пользователей перевести средства в "безопасный кошелек", они также помогут пользователям установить новый кошелек и укажут, как перевести активы, которые изначально хранились на платформе, в новый созданный кошелек.
3. Ввод пользователей в заблуждение, заставляя их использовать мнемонические фразы, предоставленные мошенниками
В отличие от традиционного "мошенничества с получением мнемонической фразы", мошенники напрямую предоставляют набор сгенерированных ими мнемонических фраз, под诱кой заставляя пользователей использовать их в качестве "официального нового кошелька".
4. промывание глаз进行资金盗取
Жертвы, находясь в состоянии стресса, тревоги и доверия к "сотруднику службы поддержки", легко попадают в ловушку. Для них "новый кошелек, предоставленный официально" естественно кажется более безопасным, чем "старый кошелек, который, возможно, был взломан". В результате, как только средства переводятся в этот новый кошелек, мошенники могут немедленно их вывести. Идея "ключи, которые не находятся под вашим контролем, означают, что активы не принадлежат вам" снова кроваво подтверждается.
Кроме того, некоторые фишинговые письма утверждают, что "в связи с решением коллективного иска платформа полностью переходит на самообслуживаемые кошельки" и требуют от пользователей завершить миграцию активов до определенной даты. Под давлением времени и под психическим воздействием "официальных инструкций" пользователи легче соглашаются на действия.
По словам исследователей безопасности, эти атаки часто организуются и планируются.
Инструментальная цепочка мошенничества усовершенствована: мошенники используют систему PBX для подделки номеров звонков, имитируя звонки от официальной службы поддержки. При отправке фишинговых писем будут использоваться специальные инструменты для подделки официального адреса электронной почты, прикладывая "Руководство по восстановлению аккаунта" для направления перевода.
Точная цель: промывание глаз опирается на украденные пользовательские данные, купленные на определенных каналах и в даркнете, нацеливаясь на пользователей определенной области как основную цель, даже используя инструменты ИИ для обработки украденных данных, разбивая и реорганизуя номера телефонов, массово создавая файлы, а затем отправляя смс-рассылки с помощью программ для взлома.
Процесс обмана связан: от телефона, SMS до электронной почты, мошенническая схема обычно бесшовная, распространенные фишинговые формулировки включают "на счет поступил запрос на вывод средств", "пароль был сброшен", "в аккаунте произошел необычный вход" и так далее, постоянно побуждая жертву пройти "безопасную проверку", пока не будет завершен перевод в кошелек.
Анализ в цепочке
Анализируя некоторые уже публичные адреса мошенников, было обнаружено, что эти мошенники обладают высокими навыками работы с блокчейном. Вот некоторые ключевые данные:
Целями атак мошенников являются различные активы, принадлежащие пользователям; активность этих адресов сосредоточена в период с декабря 2024 года по май 2025 года, при этом целевыми активами являются в основном BTC и ETH. BTC является текущей основной целью мошенничества, где несколько адресов могут одновременно получить прибыль в размере сотен BTC, а одна транзакция может составлять миллионы долларов.
После получения средств мошенники быстро используют набор процессов очистки для обмена и перевода активов, основные модели следующие:
Активы класса ETH часто быстро обмениваются на DAI или USDT через некоторые DEX, а затем распределяются на несколько новых адресов, часть активов попадает на централизованные торговые платформы;
BTC в основном переносится через кросс-чейн мост на Эфириум, а затем обменивается на DAI или USDT, чтобы избежать рисков отслеживания.
Несколько мошеннических адресов после получения DAI или USDT все еще находятся в состоянии "покоя" и еще не были выведены.
Чтобы избежать взаимодействия своего адреса с подозрительными адресами и, таким образом, избежать риска заморозки активов, рекомендуется пользователям перед сделками использовать систему противодействия отмыванию денег и отслеживания на блокчейне для проверки целевого адреса на наличие рисков, чтобы эффективно избежать потенциальных угроз.
Меры реагирования
Платформа
В настоящее время основные средства безопасности больше направлены на защиту на "техническом уровне", в то время как социальные мошенничества часто обходят эти механизмы, нанося удар по психологическим и поведенческим уязвимостям пользователей. Поэтому рекомендуется, чтобы платформа интегрировала обучение пользователей, обучение безопасности и проектирование удобства в единую систему, создавая "человекоориентированную" линию обороны.
Регулярная отправка материалов по образованию в области борьбы с мошенничеством: улучшение защиты пользователей от фишинга через всплывающие окна приложений, интерфейс подтверждения транзакций, электронную почту и другие каналы;
Оптимизация модели управления рисками, внедрение "интерактивного выявления аномального поведения": большинство социально-инженерных мошенничеств подталкивают пользователей к выполнению серии операций за короткий промежуток времени (таких как перевод средств, изменение белого списка, привязка устройства и т.д.). Платформа должна основываться на модели цепочки поведения для выявления подозрительных комбинаций взаимодействия (таких как "частое взаимодействие + новый адрес + крупный вывод средств"), чтобы инициировать период охлаждения или механизм ручной проверки.
Стандартизировать каналы обслуживания клиентов и механизмы проверки: мошенники часто выдают себя за сотрудников службы поддержки, чтобы запутать пользователей. Платформа должна унифицировать шаблоны телефонных звонков, смс и писем, а также предоставить "вход для проверки службы поддержки", чтобы четко обозначить единственный официальный канал связи и избежать путаницы.
пользовательский уровень
Реализация стратегии изоляции идентификации: избегайте использования одного и того же адреса электронной почты и номера телефона на нескольких платформах, чтобы снизить сопутствующий риск. Регулярно проверяйте адреса электронной почты на наличие утечек с помощью инструментов проверки утечек.
Включите белый список адресов для переводов и механизм охлаждения вывода средств: предустановленные доверенные адреса снижают риск потери средств в экстренной ситуации.
Постоянно следите за новостями безопасности: через каналы безопасности, СМИ, торговые платформы и т.д., узнавайте о последних методах атак и сохраняйте бдительность.
Обратите внимание на риски оффлайн и защиту конфиденциальности: утечка личной информации также может привести к проблемам с безопасностью.
Это не пустая тревога. С начала этого года работники/пользователи криптоактивов столкнулись с несколькими инцидентами, угрожающими их безопасности. Учитывая, что утечка данных содержит имена, адреса, контактные данные, данные аккаунтов, фотографии удостоверений личности и другие сведения, соответствующим пользователям также следует быть бдительными в офлайн-формате и обращать внимание на безопасность.
В общем, оставайтесь скептичными и продолжайте проверять. Во всех случаях, связанных с экстренными действиями, обязательно требуйте от другой стороны подтверждения личности и независимо проверяйте через официальные каналы, чтобы избежать принятия необратимых решений под давлением.
Резюме
Данный инцидент вновь выявил явные недостатки в защите клиентских данных и активов в условиях все более зрелых методов социальной инженерии. Следует обратить внимание на то, что даже если соответствующие должности на платформе не обладают финансовыми полномочиями, недостаток осознания безопасности и навыков может привести к серьезным последствиям из-за непреднамеренной утечки или вербовки. С расширением платформы сложность управления безопасностью персонала возрастает, что стало одной из самых труднопреодолимых рисков в отрасли. Поэтому, усиливая механизмы безопасности на цепочке, платформа должна систематически строить "систему защиты от социальной инженерии", охватывающую как внутренних сотрудников, так и аутсорсинговые услуги, интегрируя человеческие риски в общую стратегию безопасности.
Кроме того, как только будет обнаружено, что атака не является изолированным инцидентом, а представляет собой организованную и масштабную постоянную угрозу, платформа должна незамедлительно отреагировать, активно проверяя потенциальные уязвимости, предупреждая пользователей о мерах предосторожности и контролируя масштабы ущерба. Только с двойным подходом на техническом и организационном уровнях можно действительно сохранить доверие и соблюдение границ в все более сложной среде безопасности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
24 Лайков
Награда
24
8
Поделиться
комментарий
0/400
SchroedingerGas
· 13ч назад
Ай, опять есть мошенничество?
Посмотреть ОригиналОтветить0
Deconstructionist
· 08-04 08:56
Снова есть предатель, надежная CEX мертва.
Посмотреть ОригиналОтветить0
JustHodlIt
· 08-04 06:23
Действительно страшно, не спрашивайте, просто убегаю.
Посмотреть ОригиналОтветить0
OnChainSleuth
· 08-02 22:59
Это дело с предателем еще не закончено!
Посмотреть ОригиналОтветить0
WalletWhisperer
· 08-02 22:58
Внутреннего врага давно следовало поймать!
Посмотреть ОригиналОтветить0
GasFeeSobber
· 08-02 22:52
Так много предателей, это страшно.
Посмотреть ОригиналОтветить0
airdrop_whisperer
· 08-02 22:46
Все кричат, что есть предатель
Посмотреть ОригиналОтветить0
MoonRocketman
· 08-02 22:36
Прогнозирование с точностью 99,9% от эксперта по орбитальной динамике, онлайн-курс по расчету углов стоп лосс.
Социальная инженерия нанесла серьезный удар по пользователям шифрования: раскрытие内幕 600 миллионов долларов и стратегии противодействия
Социальная инженерия нацелена на пользователей криптоактивов: разоблачение методов преступления и стратегии защиты
В последние годы социальные инженерные атаки на пользователей криптоактивов становятся все более распространенными, что представляет собой значительную угрозу безопасности средств. С 2025 года большое количество случаев мошенничества с использованием социальной инженерии, нацеленных на пользователей одной известной торговой платформы, постоянно всплывают на поверхность, вызывая широкое внимание. Из обсуждений в сообществе видно, что такие случаи не являются единичными, а представляют собой тип мошенничества с устойчивыми и организованными чертами.
15 мая платформа опубликовала заявление, подтвердившее ранее существовавшие предположения о наличии "внутреннего предателя". Министерство юстиции США начало расследование этого инцидента утечки данных.
В данной статье будут систематизированы сведения, предоставленные несколькими исследователями безопасности и жертвами, с целью раскрытия основных методов мошенничества, а также будет рассмотрена стратегия противодействия с двух сторон: платформы и пользователей.
Исторический обзор
Онлайн-детектив Зак упомянул в обновлении на социальной платформе 7 мая: "Всего за последнюю неделю более 45 миллионов долларов были украдены у пользователей одной из торговых платформ из-за мошенничества с социальной инженерией."
В прошлом году Зак неоднократно сообщал о случаях кражи средств пользователей на этой платформе, отдельные жертвы потеряли до десятков миллионов долларов. В подробном расследовании, опубликованном им в феврале 2025 года, показано, что только за период с декабря 2024 года по январь 2025 года сумма украденных средств в результате подобных промываний глаз превысила 65 миллионов долларов. Платформа сталкивается с серьезным кризисом "социальной инженерии", такие атаки продолжают угрожать безопасности активов пользователей с ежегодным объемом в 300 миллионов долларов.
Зак также отметил:
промывание глаз手法
В этом инциденте техническая система платформы не была взломана; мошенники воспользовались правами внутренних сотрудников и получили доступ к некоторой конфиденциальной информации пользователей. Эта информация включает: имя, адрес, контактные данные, данные учетной записи, фотографии удостоверений личности и т.д. Конечная цель мошенников заключается в использовании методов социального инжиниринга для того, чтобы побудить пользователей перевести средства.
Этот тип атаки изменил традиционные методы рыболовства "сеть" и перешел к "точечным ударам", что можно назвать "индивидуально подобранным" социальным мошенничеством. Типичный путь совершения преступления следующий:
1. Связаться с пользователем от имени "официальной службы поддержки"
Мошенники используют поддельные телефонные системы, выдавая себя за службу поддержки платформы, и звонят пользователям, утверждая, что их "аккаунт подвергся незаконному входу" или "обнаружены аномалии при выводе средств", создавая атмосферу срочности. Затем они отправляют поддельные фишинговые письма или SMS, содержащие ложные номера заявок или ссылки на "процесс восстановления", и направляют пользователей к действиям. Эти ссылки могут вести на клонированный интерфейс платформы и даже могут отправлять письма, которые выглядят так, словно они пришли с официального домена, некоторые письма используют технологии переадресации, чтобы обойти средства безопасности.
2. Направьте пользователей на загрузку нового кошелька
Мошенники будут использовать "защиту активов" как повод, чтобы заставить пользователей перевести средства в "безопасный кошелек", они также помогут пользователям установить новый кошелек и укажут, как перевести активы, которые изначально хранились на платформе, в новый созданный кошелек.
3. Ввод пользователей в заблуждение, заставляя их использовать мнемонические фразы, предоставленные мошенниками
В отличие от традиционного "мошенничества с получением мнемонической фразы", мошенники напрямую предоставляют набор сгенерированных ими мнемонических фраз, под诱кой заставляя пользователей использовать их в качестве "официального нового кошелька".
4. промывание глаз进行资金盗取
Жертвы, находясь в состоянии стресса, тревоги и доверия к "сотруднику службы поддержки", легко попадают в ловушку. Для них "новый кошелек, предоставленный официально" естественно кажется более безопасным, чем "старый кошелек, который, возможно, был взломан". В результате, как только средства переводятся в этот новый кошелек, мошенники могут немедленно их вывести. Идея "ключи, которые не находятся под вашим контролем, означают, что активы не принадлежат вам" снова кроваво подтверждается.
Кроме того, некоторые фишинговые письма утверждают, что "в связи с решением коллективного иска платформа полностью переходит на самообслуживаемые кошельки" и требуют от пользователей завершить миграцию активов до определенной даты. Под давлением времени и под психическим воздействием "официальных инструкций" пользователи легче соглашаются на действия.
По словам исследователей безопасности, эти атаки часто организуются и планируются.
Анализ в цепочке
Анализируя некоторые уже публичные адреса мошенников, было обнаружено, что эти мошенники обладают высокими навыками работы с блокчейном. Вот некоторые ключевые данные:
Целями атак мошенников являются различные активы, принадлежащие пользователям; активность этих адресов сосредоточена в период с декабря 2024 года по май 2025 года, при этом целевыми активами являются в основном BTC и ETH. BTC является текущей основной целью мошенничества, где несколько адресов могут одновременно получить прибыль в размере сотен BTC, а одна транзакция может составлять миллионы долларов.
После получения средств мошенники быстро используют набор процессов очистки для обмена и перевода активов, основные модели следующие:
Несколько мошеннических адресов после получения DAI или USDT все еще находятся в состоянии "покоя" и еще не были выведены.
Чтобы избежать взаимодействия своего адреса с подозрительными адресами и, таким образом, избежать риска заморозки активов, рекомендуется пользователям перед сделками использовать систему противодействия отмыванию денег и отслеживания на блокчейне для проверки целевого адреса на наличие рисков, чтобы эффективно избежать потенциальных угроз.
Меры реагирования
Платформа
В настоящее время основные средства безопасности больше направлены на защиту на "техническом уровне", в то время как социальные мошенничества часто обходят эти механизмы, нанося удар по психологическим и поведенческим уязвимостям пользователей. Поэтому рекомендуется, чтобы платформа интегрировала обучение пользователей, обучение безопасности и проектирование удобства в единую систему, создавая "человекоориентированную" линию обороны.
пользовательский уровень
Это не пустая тревога. С начала этого года работники/пользователи криптоактивов столкнулись с несколькими инцидентами, угрожающими их безопасности. Учитывая, что утечка данных содержит имена, адреса, контактные данные, данные аккаунтов, фотографии удостоверений личности и другие сведения, соответствующим пользователям также следует быть бдительными в офлайн-формате и обращать внимание на безопасность.
В общем, оставайтесь скептичными и продолжайте проверять. Во всех случаях, связанных с экстренными действиями, обязательно требуйте от другой стороны подтверждения личности и независимо проверяйте через официальные каналы, чтобы избежать принятия необратимых решений под давлением.
Резюме
Данный инцидент вновь выявил явные недостатки в защите клиентских данных и активов в условиях все более зрелых методов социальной инженерии. Следует обратить внимание на то, что даже если соответствующие должности на платформе не обладают финансовыми полномочиями, недостаток осознания безопасности и навыков может привести к серьезным последствиям из-за непреднамеренной утечки или вербовки. С расширением платформы сложность управления безопасностью персонала возрастает, что стало одной из самых труднопреодолимых рисков в отрасли. Поэтому, усиливая механизмы безопасности на цепочке, платформа должна систематически строить "систему защиты от социальной инженерии", охватывающую как внутренних сотрудников, так и аутсорсинговые услуги, интегрируя человеческие риски в общую стратегию безопасности.
Кроме того, как только будет обнаружено, что атака не является изолированным инцидентом, а представляет собой организованную и масштабную постоянную угрозу, платформа должна незамедлительно отреагировать, активно проверяя потенциальные уязвимости, предупреждая пользователей о мерах предосторожности и контролируя масштабы ущерба. Только с двойным подходом на техническом и организационном уровнях можно действительно сохранить доверие и соблюдение границ в все более сложной среде безопасности.