Соціальна інженерія завдала серйозного удару по користувачам шифрування: розкриття внутрішньої інформації про замилювання очей на 600 мільйонів доларів та стратегії реагування.
Соціальна інженерія замилювання очей націлена на користувачів криптоактивів: розкриття методів злочину та стратегій запобігання
Останніми роками соціальні інженерні атаки на користувачів криптоактивів стають дедалі більш поширеними, становлячи серйозну загрозу безпеці коштів. Починаючи з 2025 року, велика кількість випадків шахрайства в соціальних мережах, спрямованих на користувачів відомої торгової платформи, постійно спливає на поверхню, викликаючи широку увагу. З обговорень у спільноті видно, що такі випадки не є поодинокими, а є типом шахрайства, що має постійний і організований характер.
15 травня платформа опублікувала оголошення, що підтверджує раніше висунуті припущення про наявність "внутрішнього зрадника". Міністерство юстиції США вже розпочало розслідування цього інциденту з витоком даних.
Ця стаття розкриє основні методи злочинців, систематизувавши інформацію від кількох дослідників безпеки та жертв, а також розгляне стратегії реагування з двох точок зору: платформи та користувача.
Історичний огляд
Ланцюговий детектив Зак у своєму оновленні в соціальних мережах 7 травня зазначив: "Лише за минулий тиждень ще понад 45 мільйонів доларів були вкрадені у користувачів з певної торгової платформи через соціальне інженерство."
Протягом минулого року Зак неодноразово розкривав випадки крадіжки користувачів цієї платформи, окремі жертви втратили до десятків мільйонів доларів. У детальному розслідуванні, опублікованому в лютому 2025 року, він виявив, що лише в період з грудня 2024 року по січень 2025 року загальна сума вкрадених коштів внаслідок подібних схем перевищила 65 мільйонів доларів. Ця платформа стикається з серйозною кризою "соціальної інженерії", де такі атаки завдають шкоди безпеці активів користувачів на суму близько 300 мільйонів доларів на рік.
Зах також зазначив:
Групи, які керують такими шахрайствами, в основному поділяються на два типи: один тип - це низькорівневі нападники з певних кіл, інший тип - це кіберзлочинні організації, що знаходяться в Індії;
Мішенню атак шахрайських угруповань є в основному користувачі США, методи злочину стандартизовані, а мова спілкування відпрацьована.
Фактична сума збитків може бути значно вищою за видиму статистику в ланцюзі, оскільки не включає недоступні дані, такі як заявки до служби підтримки та записи заяв у поліцію.
замилювання очей
У цій події технічна система платформи не була зламаною, шахраї скористалися правами внутрішніх працівників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактні дані, дані облікового запису, фотографії паспорта тощо. Остаточною метою шахраїв є використання соціальної інженерії для спонукання користувачів до переказу коштів.
Цей тип атаки змінив традиційні "розкидання сіті" методи фішингу, перейшовши до "точкових ударів", які можна назвати "індивідуально налаштованими" соціальними шахрайствами. Типовий шлях скоєння злочину наведений нижче:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблені телефонні системи, щоб видавати себе за службу підтримки платформи, телефонують користувачам і стверджують, що їх "рахунок зазнав незаконного входу" або "виявлено аномалію при виведенні", створюючи термінову атмосферу. Вони потім надсилають фальшиві фішингові електронні листи або текстові повідомлення, що містять неправдиві номери заявок або посилання на "процес відновлення" та спонукають користувачів до дій. Ці посилання можуть вести на клоновані інтерфейси платформи, а також можуть надсилати листи, які виглядають так, ніби вони надіслані з офіційного домену, деякі листи використовують технологію перенаправлення, щоб обійти засоби безпеки.
2. Сприяти завантаженню нового гаманця користувачами
Шахраї будуть використовувати причину "захисту активів" для того, щоб спонукати користувачів перенести кошти до "безпечного гаманця", також вони допоможуть користувачам встановити новий гаманець і підкажуть, як перевести активи, які спочатку були зберігані на платформі, до новоствореного гаманця.
3. Спонукання користувачів використовувати мнемонічні фрази, надані шахраями
На відміну від традиційного "обману з отриманням мнемонічних фраз", зловмисники безпосередньо надають набір згенерованих ними мнемонічних фраз, спокушаючи користувачів використовувати їх як "офіційний новий гаманець".
4. Замилювання очей для крадіжки коштів
Жертви в стані напруження, тривоги та довіри до "сервісу підтримки" дуже легко потрапляють у пастку. На їхню думку, новий гаманець, "офіційно наданий", звичайно, безпечніший за "підозріло зламаний" старий гаманець. В результаті, щойно кошти переводяться в цей новий гаманець, шахраї можуть миттєво їх забрати. Ідея "не контрольовані тобою ключі, отже, не твої активи" знову кроваво підтверджується.
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову платформа повністю перейде на самообслуговувані гаманці" і вимагають від користувачів завершити міграцію активів до певної дати. Користувачі під тиском термінів і психологічним впливом "офіційних інструкцій" легше погоджуються на дії.
За словами дослідників безпеки, ці атаки часто плануються та реалізуються організовано:
Інструменти шахрайства вдосконалено: шахраї використовують систему PBX для підробки номерів телефонних дзвінків, імітуючи дзвінки офіційної служби підтримки. При надсиланні фішингових електронних листів вони використовують спеціальні інструменти для підробки офіційної електронної пошти, супроводжуючи її "посібником з відновлення облікового запису", що підштовхує до переказу.
Точна мета: шахраї спираються на вкрадені дані користувачів, куплені з певних каналів і темної мережі, щоб націлити конкретних користувачів в певному регіоні, навіть можуть використовувати інструменти ШІ для обробки вкрадених даних, розділяючи та реорганізовуючи номери телефонів, масово генеруючи файли, а потім відправляючи смс-шахрайство за допомогою програмного забезпечення для зломів.
Процес обману безперервний: від телефонних дзвінків, смс до електронної пошти, шлях шахрайства зазвичай безшовний, поширені фрази риболовлі включають "рахунок отримав запит на виведення коштів", "пароль був скинутий", "рахунок має аномальне входження" тощо, постійно спонукаючи жертв провести "безпекову перевірку", поки не буде завершено переміщення коштів.
Аналіз на ланцюгу
Аналізуючи деякі з опублікованих адрес шахраїв, виявлено, що ці шахраї мають досить сильні навички роботи з блокчейном, нижче наведено деяку ключову інформацію:
Атаки шахраїв націлені на різноманітні активи, які мають користувачі, а активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року. Основними активами є BTC та ETH. BTC є найбільшою ціллю для шахрайства, кілька адрес отримали прибуток у сотні монет BTC одноразово, а сума окремої угоди перевищує кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процедур для очищення активів, обмінюючи та переміщуючи їх, основні моделі наведені нижче:
Активи класу ETH часто швидко обмінюються на DAI або USDT через певний DEX, а потім розподіляються на кілька нових адрес, частина активів потрапляє на централізовані торгові платформи;
BTC переважно переноситься через крос-чейн міст до Ethereum, а потім обмінюється на DAI або USDT, уникаючи ризику відстеження.
Декілька адрес для замилювання очей після отримання DAI або USDT все ще перебувають у стані "статичного" і ще не були виведені.
Щоб уникнути взаємодії власної адреси з підозрілими адресами та ризику замороження активів, користувачам рекомендується перед торгівлею використовувати систему моніторингу та відстеження на основі блокчейну для перевірки ризиків цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Наразі основні методи безпеки більше зосереджені на "технічному рівні" захисту, тоді як соціальна інженерія часто обминає ці механізми, безпосередньо вражаючи психологічні та поведінкові вразливості користувачів. Тому рекомендується платформам інтегрувати навчання користувачів, безпекове навчання та дизайн доступності, створюючи систему "орієнтованої на людину" лінії захисту.
Регулярно надсилати контент з освіти щодо шахрайства: підвищувати здатність користувачів захищатися від фішингу через спливаючі вікна в додатку, інтерфейс підтвердження транзакцій, електронну пошту тощо;
Оптимізація моделей управління ризиками, впровадження "інтерактивного виявлення аномальної поведінки": більшість соціальних інженерних шахрайств спонукають користувачів протягом короткого часу виконати ряд дій (наприклад, перекази, зміни в білому списку, прив'язка пристроїв тощо). Платформа повинна на основі моделі поведінкових ланцюгів виявляти підозрілі комбінації взаємодії (наприклад, "часта взаємодія + нова адреса + великі виведення"), активуючи період охолодження або механізм ручного повторного огляду.
Стандартизуйте канали обслуговування клієнтів та механізми верифікації: шахраї часто вдають із себе службу підтримки, щоб заплутати користувачів, і платформа повинна уніфікувати шаблони для телефонних дзвінків, текстових повідомлень та електронних листів, а також надати «портал перевірки обслуговування клієнтів» для уточнення єдиного офіційного каналу зв'язку, щоб уникнути плутанини.
Користувач
Впровадження стратегії ізоляції ідентичності: уникати спільного використання однієї електронної пошти та номера телефону на кількох платформах, зменшуючи ризик зв'язку, можна регулярно перевіряти електронну пошту на наявність витоків за допомогою інструментів перевірки витоків.
Увімкніть білу список адрес для переказів та механізм охолодження для виведення: заздалегідь налаштуйте надійні адреси, щоб знизити ризик втрати коштів у разі надзвичайних ситуацій.
Постійно слідкуйте за інформацією про безпеку: через безпекові компанії, ЗМІ, торговельні платформи тощо, дізнавайтеся про останні тенденції атак і зберігайте пильність.
Зверніть увагу на ризики офлайн та захист приватності: витік особистої інформації також може спричинити проблеми з безпекою особи.
Це не є безпідставним занепокоєнням, з початку року професіонали/користувачі у сфері криптоактивів вже зазнали кількох випадків загрози безпеці життя. У зв'язку з тим, що витік даних містить імена, адреси, контактну інформацію, дані рахунків, фотографії посвідчення особи та інше, відповідні користувачі також повинні бути уважними в офлайн-середовищі та дотримуватися заходів безпеки.
В загальному, зберігайте скептицизм і продовжуйте перевірку. Усі термінові дії вимагають, щоб ви обов'язково вимагали від співрозмовника підтвердження особи та незалежно перевіряли через офіційні канали, щоб уникнути прийняття незворотних рішень під тиском.
Підсумок
Ця подія знову виявила наявність очевидних недоліків в захисті даних клієнтів та активів у галузі перед обличчям дедалі більш зрілих методів соціальної інженерії. Варто зауважити, що навіть якщо відповідні позиції на платформі не мають доступу до коштів, нестача достатньої обізнаності та здібностей у сфері безпеки може призвести до серйозних наслідків через ненавмисне витікання інформації або вербування. З розширенням платформи складність контролю за безпекою персоналу також зростає, що стало одним з найскладніших ризиків у галузі. Тому платформа, зміцнюючи механізми безпеки в ланцюгу, також повинна системно побудувати "систему захисту від соціальної інженерії", яка охоплює внутрішній персонал та послуги аутсорсингу, включаючи людські ризики в загальну стратегію безпеки.
Крім того, як тільки буде виявлено, що атака не є ізольованою подією, а є організованою, масштабною постійною загрозою, платформа повинна відреагувати в першу чергу, активно перевірити потенційні вразливості, попередити користувачів про запобігання, контролювати обсяг шкоди. Лише завдяки двом рівням реагування – технічному та організаційному – можна в умовах дедалі складнішого безпекового середовища дійсно зберегти довіру та межі.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
23 лайків
Нагородити
23
8
Поділіться
Прокоментувати
0/400
SchroedingerGas
· 8год тому
Ой, знову є шахрайство?
Переглянути оригіналвідповісти на0
Deconstructionist
· 08-04 08:56
Знову зрадник, надійний CEX мертвий
Переглянути оригіналвідповісти на0
JustHodlIt
· 08-04 06:23
Дійсно панікую, не питайте, просто втікаю.
Переглянути оригіналвідповісти на0
OnChainSleuth
· 08-02 22:59
Ця справа з внутрішнім зрадником ще не закінчилася!
Переглянути оригіналвідповісти на0
WalletWhisperer
· 08-02 22:58
Зрадника давно пора було зловити!
Переглянути оригіналвідповісти на0
GasFeeSobber
· 08-02 22:52
Так багато зрадників, це справді страшно.
Переглянути оригіналвідповісти на0
airdrop_whisperer
· 08-02 22:46
Усі кричать про зрадників.
Переглянути оригіналвідповісти на0
MoonRocketman
· 08-02 22:36
Експерт з орбітальної динаміки з точністю прогнозування 99,9%, онлайн-інструктор з обчислення кута стоп-лос
Соціальна інженерія завдала серйозного удару по користувачам шифрування: розкриття внутрішньої інформації про замилювання очей на 600 мільйонів доларів та стратегії реагування.
Соціальна інженерія замилювання очей націлена на користувачів криптоактивів: розкриття методів злочину та стратегій запобігання
Останніми роками соціальні інженерні атаки на користувачів криптоактивів стають дедалі більш поширеними, становлячи серйозну загрозу безпеці коштів. Починаючи з 2025 року, велика кількість випадків шахрайства в соціальних мережах, спрямованих на користувачів відомої торгової платформи, постійно спливає на поверхню, викликаючи широку увагу. З обговорень у спільноті видно, що такі випадки не є поодинокими, а є типом шахрайства, що має постійний і організований характер.
15 травня платформа опублікувала оголошення, що підтверджує раніше висунуті припущення про наявність "внутрішнього зрадника". Міністерство юстиції США вже розпочало розслідування цього інциденту з витоком даних.
Ця стаття розкриє основні методи злочинців, систематизувавши інформацію від кількох дослідників безпеки та жертв, а також розгляне стратегії реагування з двох точок зору: платформи та користувача.
Історичний огляд
Ланцюговий детектив Зак у своєму оновленні в соціальних мережах 7 травня зазначив: "Лише за минулий тиждень ще понад 45 мільйонів доларів були вкрадені у користувачів з певної торгової платформи через соціальне інженерство."
Протягом минулого року Зак неодноразово розкривав випадки крадіжки користувачів цієї платформи, окремі жертви втратили до десятків мільйонів доларів. У детальному розслідуванні, опублікованому в лютому 2025 року, він виявив, що лише в період з грудня 2024 року по січень 2025 року загальна сума вкрадених коштів внаслідок подібних схем перевищила 65 мільйонів доларів. Ця платформа стикається з серйозною кризою "соціальної інженерії", де такі атаки завдають шкоди безпеці активів користувачів на суму близько 300 мільйонів доларів на рік.
Зах також зазначив:
замилювання очей
У цій події технічна система платформи не була зламаною, шахраї скористалися правами внутрішніх працівників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактні дані, дані облікового запису, фотографії паспорта тощо. Остаточною метою шахраїв є використання соціальної інженерії для спонукання користувачів до переказу коштів.
Цей тип атаки змінив традиційні "розкидання сіті" методи фішингу, перейшовши до "точкових ударів", які можна назвати "індивідуально налаштованими" соціальними шахрайствами. Типовий шлях скоєння злочину наведений нижче:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблені телефонні системи, щоб видавати себе за службу підтримки платформи, телефонують користувачам і стверджують, що їх "рахунок зазнав незаконного входу" або "виявлено аномалію при виведенні", створюючи термінову атмосферу. Вони потім надсилають фальшиві фішингові електронні листи або текстові повідомлення, що містять неправдиві номери заявок або посилання на "процес відновлення" та спонукають користувачів до дій. Ці посилання можуть вести на клоновані інтерфейси платформи, а також можуть надсилати листи, які виглядають так, ніби вони надіслані з офіційного домену, деякі листи використовують технологію перенаправлення, щоб обійти засоби безпеки.
2. Сприяти завантаженню нового гаманця користувачами
Шахраї будуть використовувати причину "захисту активів" для того, щоб спонукати користувачів перенести кошти до "безпечного гаманця", також вони допоможуть користувачам встановити новий гаманець і підкажуть, як перевести активи, які спочатку були зберігані на платформі, до новоствореного гаманця.
3. Спонукання користувачів використовувати мнемонічні фрази, надані шахраями
На відміну від традиційного "обману з отриманням мнемонічних фраз", зловмисники безпосередньо надають набір згенерованих ними мнемонічних фраз, спокушаючи користувачів використовувати їх як "офіційний новий гаманець".
4. Замилювання очей для крадіжки коштів
Жертви в стані напруження, тривоги та довіри до "сервісу підтримки" дуже легко потрапляють у пастку. На їхню думку, новий гаманець, "офіційно наданий", звичайно, безпечніший за "підозріло зламаний" старий гаманець. В результаті, щойно кошти переводяться в цей новий гаманець, шахраї можуть миттєво їх забрати. Ідея "не контрольовані тобою ключі, отже, не твої активи" знову кроваво підтверджується.
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову платформа повністю перейде на самообслуговувані гаманці" і вимагають від користувачів завершити міграцію активів до певної дати. Користувачі під тиском термінів і психологічним впливом "офіційних інструкцій" легше погоджуються на дії.
За словами дослідників безпеки, ці атаки часто плануються та реалізуються організовано:
Аналіз на ланцюгу
Аналізуючи деякі з опублікованих адрес шахраїв, виявлено, що ці шахраї мають досить сильні навички роботи з блокчейном, нижче наведено деяку ключову інформацію:
Атаки шахраїв націлені на різноманітні активи, які мають користувачі, а активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року. Основними активами є BTC та ETH. BTC є найбільшою ціллю для шахрайства, кілька адрес отримали прибуток у сотні монет BTC одноразово, а сума окремої угоди перевищує кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процедур для очищення активів, обмінюючи та переміщуючи їх, основні моделі наведені нижче:
Декілька адрес для замилювання очей після отримання DAI або USDT все ще перебувають у стані "статичного" і ще не були виведені.
Щоб уникнути взаємодії власної адреси з підозрілими адресами та ризику замороження активів, користувачам рекомендується перед торгівлею використовувати систему моніторингу та відстеження на основі блокчейну для перевірки ризиків цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Наразі основні методи безпеки більше зосереджені на "технічному рівні" захисту, тоді як соціальна інженерія часто обминає ці механізми, безпосередньо вражаючи психологічні та поведінкові вразливості користувачів. Тому рекомендується платформам інтегрувати навчання користувачів, безпекове навчання та дизайн доступності, створюючи систему "орієнтованої на людину" лінії захисту.
Користувач
Це не є безпідставним занепокоєнням, з початку року професіонали/користувачі у сфері криптоактивів вже зазнали кількох випадків загрози безпеці життя. У зв'язку з тим, що витік даних містить імена, адреси, контактну інформацію, дані рахунків, фотографії посвідчення особи та інше, відповідні користувачі також повинні бути уважними в офлайн-середовищі та дотримуватися заходів безпеки.
В загальному, зберігайте скептицизм і продовжуйте перевірку. Усі термінові дії вимагають, щоб ви обов'язково вимагали від співрозмовника підтвердження особи та незалежно перевіряли через офіційні канали, щоб уникнути прийняття незворотних рішень під тиском.
Підсумок
Ця подія знову виявила наявність очевидних недоліків в захисті даних клієнтів та активів у галузі перед обличчям дедалі більш зрілих методів соціальної інженерії. Варто зауважити, що навіть якщо відповідні позиції на платформі не мають доступу до коштів, нестача достатньої обізнаності та здібностей у сфері безпеки може призвести до серйозних наслідків через ненавмисне витікання інформації або вербування. З розширенням платформи складність контролю за безпекою персоналу також зростає, що стало одним з найскладніших ризиків у галузі. Тому платформа, зміцнюючи механізми безпеки в ланцюгу, також повинна системно побудувати "систему захисту від соціальної інженерії", яка охоплює внутрішній персонал та послуги аутсорсингу, включаючи людські ризики в загальну стратегію безпеки.
Крім того, як тільки буде виявлено, що атака не є ізольованою подією, а є організованою, масштабною постійною загрозою, платформа повинна відреагувати в першу чергу, активно перевірити потенційні вразливості, попередити користувачів про запобігання, контролювати обсяг шкоди. Лише завдяки двом рівням реагування – технічному та організаційному – можна в умовах дедалі складнішого безпекового середовища дійсно зберегти довіру та межі.