Соціальна інженерія замилювання очей націлилася на користувачів певної платформи: "служба підтримки" в темному лісі
Нещодавно соціальні інженерні атаки в галузі криптоактивів стали серйозною загрозою безпеці коштів користувачів. З 2025 року випадки шахрайства через соціальну інженерію, спрямовані на користувачів відомої торгової платформи, відбуваються з частотою, що привертає широку увагу спільноти. Ці випадки не є ізольованими, а є типом шахрайства, що має постійні та організовані характеристики.
15 травня ця торгова платформа опублікувала оголошення, яке підтвердило попередні здогади про наявність "внутрішнього зрадника" у платформі. За повідомленнями, Міністерство юстиції США розпочало розслідування щодо цього інциденту з витоком даних.
Ця стаття на основі інформації, наданої кількома дослідниками безпеки та жертвами, розкриє основні методи роботи шахраїв і з двох точок зору – платформи та користувачів – обговорить, як ефективно реагувати на такі замилювання очей.
Історичний аналіз
Онлайн-детектив Зах відзначив у своїй публікації в соціальних мережах 7 травня, що лише за минулий тиждень було вкрадено понад 45 мільйонів доларів США у користувачів цієї платформи через соціальне інженерство.
Протягом минулого року Зак неодноразово повідомляв про випадки крадіжки у користувачів цієї платформи, окремі жертви зазнали збитків у десятки мільйонів доларів. У лютому 2025 року він опублікував детальне розслідування, в якому стверджував, що лише з грудня 2024 року по січень 2025 року загальна сума коштів, вкрадених через подібні замилювання очей, перевищила 65 мільйонів доларів, і розкрив, що ця платформа стикається з серйозною кризою "соціальної інженерії", оскільки такі атаки продовжують завдавати шкоди безпеці активів користувачів у масштабах 300 мільйонів доларів на рік. Він також зазначив:
Групи, що керують такими схемами замилювання очей, в основному поділяються на два типи: перший тип - це низькорівневі нападники з Com-кола, а другий тип - це організовані кіберзлочинці з Індії;
Цільові об'єкти атак шахрайських угруповань в основному складають користувачі з США, методи злочину стандартизовані, а сценарії спілкування є зріліми;
Фактична сума збитків може бути значно вищою за статистику, доступну в мережі, оскільки не враховуються непублічна інформація, така як запити до служби підтримки та записи про заяви в поліцію.
замилювання очей методи
У цьому випадку технічна система цієї торгової платформи не була зламана, шахраї скористались правами внутрішніх співробітників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактну інформацію, дані облікового запису, фотографії ідентифікаційних документів тощо. Остаточною метою шахраїв було використання соціальної інженерії для спонукання користувачів до переказу коштів.
Цей тип атаки змінив традиційні "сіткові" методи фішингу, а натомість звернувся до "точкових ударів", що вважається "індивідуально налаштованим" соціальним шахрайством. Типовий шлях злочину виглядає так:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблені телефонні системи, щоб видавати себе за службу підтримки платформи, телефонуючи користувачам і стверджуючи, що їх "рахунок зазнав незаконного входу" або "виявлено аномалію при виведенні коштів", створюючи термінову атмосферу. Вони потім надсилають фальшиві фішингові електронні листи або SMS, які містять підроблені номери заявок або посилання на "процес відновлення", і направляють користувачів до дій. Ці посилання можуть вести на клонований інтерфейс платформи, навіть можуть надсилати листи, які, здається, походять з офіційного домену, частина листів використовує техніку перенаправлення, щоб обійти засоби безпеки.
2. Сприяти користувачам у завантаженні самостійного гаманця
Шахраї будуть використовувати "захист активів" як привід, щоб спонукати користувачів переводити кошти на "безпечний гаманець", а також допомагатимуть користувачам встановлювати гаманці з самостійним зберіганням та вказуватимуть, як перевести активи, які спочатку зберігалися на платформі, в новостворений гаманець.
3. Спонукати користувачів використовувати мнемонічні фрази, надані шахраєм
На відміну від традиційного "замилювання очей за допомогою мнемонічних фраз", шахраї безпосередньо надають набір згенерованих ними мнемонічних фраз, спокушаючи користувачів використовувати їх як "офіційний новий гаманець".
4.Замилювання очей для крадіжки коштів
Жертви, перебуваючи в напруженому, тривожному стані та довіряючи "службі підтримки", дуже легко потрапляють у пастку — на їхню думку, "офіційно наданий" новий гаманець, безумовно, є безпечнішим, ніж "підозріло зламаний" старий гаманець. В результаті, як тільки кошти переводяться в цей новий гаманець, шахраї можуть одразу їх вивести. Not your keys, not your coins. — в соціальних інженерних атаках ця ідея знову жорстоко підтверджується.
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову, платформа повністю переходить на самостійні гаманці" і вимагають від користувачів завершити міграцію активів до 1 квітня. Користувачі під тиском термінових часових рамок і психологічного натиску "офіційних вказівок" легше погоджуються на дії.
За словами дослідників безпеки, ці атаки зазвичай організовано плануються та реалізуються:
Інструменти шахрайства вдосконалені: шахраї використовують систему PBX для підробки номерів телефону, імітуючи дзвінки від офіційної служби підтримки. При відправці фішингових електронних листів вони використовують ботів на соціальних платформах, щоб підробити офіційні електронні адреси, надаючи "посібник з відновлення облікового запису" для перенаправлення коштів.
Точна мета: шахраї, спираючись на вкрадені дані користувачів, придбані через соціальні платформи та темну мережу, націлюються на користувачів з США як на основну мету, навіть використовують штучний інтелект для обробки вкрадених даних, розділяючи та реорганізовуючи номери телефонів, масово генеруючи TXT файли, а потім надсилаючи смс-шахрайство за допомогою програм для злому.
Процес дезорієнтації послідовний: від дзвінків, SMS до електронної пошти, шлях шахрайства зазвичай безперервний, поширені фрази для фішингу включають "рахунок отримав запит на виведення коштів", "пароль було скинуто", "рахунок має аномальне входження" тощо, постійно спонукаючи жертв до "перевірки безпеки", поки не буде завершено переказ до гаманця.
Аналіз в ланцюгу
Після аналізу системи боротьби з відмиванням грошей і відстеження на блокчейні, ці шахраї мають значні можливості для операцій на блокчейні, ось деяка ключова інформація:
Атаки шахраїв націлені на користувачів, які володіють різними активами, причому активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року. Основними цілями активів є BTC та ETH. BTC є основною метою шахрайства, кілька адрес отримують прибуток до кількох сотень BTC одноразово, з окремими транзакціями вартістю в кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процесів для відмивання активів, основна схема виглядає наступним чином:
Активи класу ETH часто швидко обмінюються на DAI або USDT через певний DEX, а потім розподіляються на кілька нових адрес, частина активів потрапляє на централізовану торгову платформу;
BTC головним чином переходить через кросчейн-мости на Ethereum, а потім обмінюється на DAI або USDT, щоб уникнути ризику відстеження.
Декілька шахрайських адрес після отримання DAI або USDT все ще знаходяться в "статичному" стані, ще не були виведені.
Щоб уникнути взаємодії своїх адрес з підозрілими адресами та ризику замороження активів, рекомендується користувачам перед торгівлею використовувати систему моніторингу та відстеження на блокчейні для перевірки ризиків цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Поточні основні засоби безпеки більше зосереджені на "технічному рівні" захисту, тоді як соціальна інженерія часто обходить ці механізми, безпосередньо вражаючи психологічні та поведінкові вразливості користувачів. Тому рекомендується, щоб платформа інтегрувала навчання користувачів, безпекове навчання та дизайну зручності, створивши систему "орієнтованого на людину" захисту.
Регулярне надсилання контенту з освіти щодо боротьби з шахрайством: підвищення здатності користувачів захищатися від фішингових атак через сповіщення в додатку, інтерфейс підтвердження транзакцій, електронну пошту тощо;
Оптимізація моделей управління ризиками, впровадження "інтерактивного виявлення аномальної поведінки": більшість шахрайств з соціальної інженерії спонукають користувачів у короткі терміни виконати ряд дій (наприклад, перекази, зміна білого списку, прив'язка пристроїв тощо). Платформа повинна на основі моделі поведінкових ланцюгів виявляти підозрілі комбінації взаємодії (наприклад, "часта взаємодія + нова адреса + великі виведення коштів"), щоб активувати період охолодження або механізм ручного перегляду.
Нормалізація каналів обслуговування клієнтів та механізму перевірки: шахраї часто видають себе за обслуговування клієнтів, вводячи користувачів в оману, платформа повинна уніфікувати телефонні, SMS, електронні листи шаблони, а також надати "вхід для перевірки обслуговування клієнтів", чітко визначивши єдиний офіційний канал зв'язку, щоб уникнути плутанини.
користувач
Впровадження стратегії ізоляції ідентичності: уникати спільного використання однієї електронної пошти або номера телефону на кількох платформах, знижуючи ризик зв'язків, можна регулярно перевіряти електронну пошту за допомогою інструментів перевірки витоків на наявність витоків.
Увімкнення білого списку для переказів та механізму охолодження для виведення: налаштування надійних адрес, зменшення ризику втрати коштів у надзвичайних ситуаціях.
Продовжуйте слідкувати за інформацією про безпеку: через канали безпекових компаній, ЗМІ, торгові платформи тощо дізнавайтеся про останні тенденції атак, зберігаючи пильність. Наразі кілька безпекових установ готують до запуску платформу Web3 для навчання фішингу, яка імітуватиме різні типові методи фішингу, включаючи соціальну інженерію, фішинг на основі підпису, взаємодію з шкідливими контрактами тощо, а також постійно оновлюватиме контент сцен на основі реальних випадків, зібраних під час історичних обговорень. Це дозволить користувачам підвищити здатність розпізнавання та реагування в безризиковому середовищі.
Зверніть увагу на ризики офлайн та захист конфіденційності: витік особистої інформації також може призвести до проблем із безпекою особи.
Це не є безпідставним занепокоєнням, з початку року працівники/користувачі криптоіндустрії зазнали кількох загроз їхній особистій безпеці. У зв'язку з тим, що втрачені дані містять імена, адреси, контактні дані, дані акаунтів, фотографії паспортів тощо, відповідні користувачі також повинні бути обережними в офлайн-середовищі та звертати увагу на свою безпеку.
У підсумку, залишайтеся скептичними, продовжуйте перевіряти. Усі термінові дії обов'язково вимагайте від іншої сторони підтвердження особи та незалежної перевірки через офіційні канали, уникаючи прийняття незворотних рішень під тиском.
Підсумок
Ця подія ще раз підкреслила, що в умовах все більш зрілих методів соціальної інженерії індустрія все ще має очевидні недоліки у захисті клієнтських даних та активів. Варто зауважити, що навіть якщо відповідні посади на платформі не мають фінансових повноважень, нестача достатньої обізнаності щодо безпеки та здатності також може призвести до серйозних наслідків через ненавмисне витікання інформації або вербування. З розширенням платформи складність контролю безпеки персоналу зростає, що стало одним з найскладніших ризиків в індустрії. Тому платформа, зміцнюючи механізми безпеки на ланцюзі, також повинна системно створювати "систему захисту від соціальної інженерії", що охоплює внутрішній персонал та послуги аутсорсингу, включаючи людські ризики в загальну стратегію безпеки.
Крім того, як тільки буде виявлено, що атака не є ізольованою подією, а є організованою, масштабною постійною загрозою, платформа повинна вжити термінових заходів, активно перевіряти потенційні вразливості, попереджати користувачів про заходи безпеки та контролювати масштаби збитків. Лише завдяки двосторонньому реагуванню на технічному та організаційному рівнях можна дійсно зберегти довіру та межі в все більш складному середовищі безпеки.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
3
Поділіться
Прокоментувати
0/400
BlockchainTalker
· 20год тому
насправді, це класичний випадок невдалої теорії ігор... внутрішні гравці завжди були найслабшим ланкою, чесно кажучи
Переглянути оригіналвідповісти на0
GweiTooHigh
· 20год тому
Знову внутрішній зрадник?
Переглянути оригіналвідповісти на0
TokenomicsTrapper
· 20год тому
класична внутрішня справа... я це передбачав місяцями тому, коли патерни гаманців виглядали підозріло
На певній платформі сталася велика соціальна інженерія шахрайства, в результаті якого було втрачено понад 45 мільйонів доларів.
Соціальна інженерія замилювання очей націлилася на користувачів певної платформи: "служба підтримки" в темному лісі
Нещодавно соціальні інженерні атаки в галузі криптоактивів стали серйозною загрозою безпеці коштів користувачів. З 2025 року випадки шахрайства через соціальну інженерію, спрямовані на користувачів відомої торгової платформи, відбуваються з частотою, що привертає широку увагу спільноти. Ці випадки не є ізольованими, а є типом шахрайства, що має постійні та організовані характеристики.
15 травня ця торгова платформа опублікувала оголошення, яке підтвердило попередні здогади про наявність "внутрішнього зрадника" у платформі. За повідомленнями, Міністерство юстиції США розпочало розслідування щодо цього інциденту з витоком даних.
Ця стаття на основі інформації, наданої кількома дослідниками безпеки та жертвами, розкриє основні методи роботи шахраїв і з двох точок зору – платформи та користувачів – обговорить, як ефективно реагувати на такі замилювання очей.
Історичний аналіз
Онлайн-детектив Зах відзначив у своїй публікації в соціальних мережах 7 травня, що лише за минулий тиждень було вкрадено понад 45 мільйонів доларів США у користувачів цієї платформи через соціальне інженерство.
Протягом минулого року Зак неодноразово повідомляв про випадки крадіжки у користувачів цієї платформи, окремі жертви зазнали збитків у десятки мільйонів доларів. У лютому 2025 року він опублікував детальне розслідування, в якому стверджував, що лише з грудня 2024 року по січень 2025 року загальна сума коштів, вкрадених через подібні замилювання очей, перевищила 65 мільйонів доларів, і розкрив, що ця платформа стикається з серйозною кризою "соціальної інженерії", оскільки такі атаки продовжують завдавати шкоди безпеці активів користувачів у масштабах 300 мільйонів доларів на рік. Він також зазначив:
замилювання очей методи
У цьому випадку технічна система цієї торгової платформи не була зламана, шахраї скористались правами внутрішніх співробітників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактну інформацію, дані облікового запису, фотографії ідентифікаційних документів тощо. Остаточною метою шахраїв було використання соціальної інженерії для спонукання користувачів до переказу коштів.
Цей тип атаки змінив традиційні "сіткові" методи фішингу, а натомість звернувся до "точкових ударів", що вважається "індивідуально налаштованим" соціальним шахрайством. Типовий шлях злочину виглядає так:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблені телефонні системи, щоб видавати себе за службу підтримки платформи, телефонуючи користувачам і стверджуючи, що їх "рахунок зазнав незаконного входу" або "виявлено аномалію при виведенні коштів", створюючи термінову атмосферу. Вони потім надсилають фальшиві фішингові електронні листи або SMS, які містять підроблені номери заявок або посилання на "процес відновлення", і направляють користувачів до дій. Ці посилання можуть вести на клонований інтерфейс платформи, навіть можуть надсилати листи, які, здається, походять з офіційного домену, частина листів використовує техніку перенаправлення, щоб обійти засоби безпеки.
2. Сприяти користувачам у завантаженні самостійного гаманця
Шахраї будуть використовувати "захист активів" як привід, щоб спонукати користувачів переводити кошти на "безпечний гаманець", а також допомагатимуть користувачам встановлювати гаманці з самостійним зберіганням та вказуватимуть, як перевести активи, які спочатку зберігалися на платформі, в новостворений гаманець.
3. Спонукати користувачів використовувати мнемонічні фрази, надані шахраєм
На відміну від традиційного "замилювання очей за допомогою мнемонічних фраз", шахраї безпосередньо надають набір згенерованих ними мнемонічних фраз, спокушаючи користувачів використовувати їх як "офіційний новий гаманець".
4.Замилювання очей для крадіжки коштів
Жертви, перебуваючи в напруженому, тривожному стані та довіряючи "службі підтримки", дуже легко потрапляють у пастку — на їхню думку, "офіційно наданий" новий гаманець, безумовно, є безпечнішим, ніж "підозріло зламаний" старий гаманець. В результаті, як тільки кошти переводяться в цей новий гаманець, шахраї можуть одразу їх вивести. Not your keys, not your coins. — в соціальних інженерних атаках ця ідея знову жорстоко підтверджується.
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову, платформа повністю переходить на самостійні гаманці" і вимагають від користувачів завершити міграцію активів до 1 квітня. Користувачі під тиском термінових часових рамок і психологічного натиску "офіційних вказівок" легше погоджуються на дії.
За словами дослідників безпеки, ці атаки зазвичай організовано плануються та реалізуються:
Аналіз в ланцюгу
Після аналізу системи боротьби з відмиванням грошей і відстеження на блокчейні, ці шахраї мають значні можливості для операцій на блокчейні, ось деяка ключова інформація:
Атаки шахраїв націлені на користувачів, які володіють різними активами, причому активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року. Основними цілями активів є BTC та ETH. BTC є основною метою шахрайства, кілька адрес отримують прибуток до кількох сотень BTC одноразово, з окремими транзакціями вартістю в кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процесів для відмивання активів, основна схема виглядає наступним чином:
Активи класу ETH часто швидко обмінюються на DAI або USDT через певний DEX, а потім розподіляються на кілька нових адрес, частина активів потрапляє на централізовану торгову платформу;
BTC головним чином переходить через кросчейн-мости на Ethereum, а потім обмінюється на DAI або USDT, щоб уникнути ризику відстеження.
Декілька шахрайських адрес після отримання DAI або USDT все ще знаходяться в "статичному" стані, ще не були виведені.
Щоб уникнути взаємодії своїх адрес з підозрілими адресами та ризику замороження активів, рекомендується користувачам перед торгівлею використовувати систему моніторингу та відстеження на блокчейні для перевірки ризиків цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Поточні основні засоби безпеки більше зосереджені на "технічному рівні" захисту, тоді як соціальна інженерія часто обходить ці механізми, безпосередньо вражаючи психологічні та поведінкові вразливості користувачів. Тому рекомендується, щоб платформа інтегрувала навчання користувачів, безпекове навчання та дизайну зручності, створивши систему "орієнтованого на людину" захисту.
користувач
Впровадження стратегії ізоляції ідентичності: уникати спільного використання однієї електронної пошти або номера телефону на кількох платформах, знижуючи ризик зв'язків, можна регулярно перевіряти електронну пошту за допомогою інструментів перевірки витоків на наявність витоків.
Увімкнення білого списку для переказів та механізму охолодження для виведення: налаштування надійних адрес, зменшення ризику втрати коштів у надзвичайних ситуаціях.
Продовжуйте слідкувати за інформацією про безпеку: через канали безпекових компаній, ЗМІ, торгові платформи тощо дізнавайтеся про останні тенденції атак, зберігаючи пильність. Наразі кілька безпекових установ готують до запуску платформу Web3 для навчання фішингу, яка імітуватиме різні типові методи фішингу, включаючи соціальну інженерію, фішинг на основі підпису, взаємодію з шкідливими контрактами тощо, а також постійно оновлюватиме контент сцен на основі реальних випадків, зібраних під час історичних обговорень. Це дозволить користувачам підвищити здатність розпізнавання та реагування в безризиковому середовищі.
Зверніть увагу на ризики офлайн та захист конфіденційності: витік особистої інформації також може призвести до проблем із безпекою особи.
Це не є безпідставним занепокоєнням, з початку року працівники/користувачі криптоіндустрії зазнали кількох загроз їхній особистій безпеці. У зв'язку з тим, що втрачені дані містять імена, адреси, контактні дані, дані акаунтів, фотографії паспортів тощо, відповідні користувачі також повинні бути обережними в офлайн-середовищі та звертати увагу на свою безпеку.
У підсумку, залишайтеся скептичними, продовжуйте перевіряти. Усі термінові дії обов'язково вимагайте від іншої сторони підтвердження особи та незалежної перевірки через офіційні канали, уникаючи прийняття незворотних рішень під тиском.
Підсумок
Ця подія ще раз підкреслила, що в умовах все більш зрілих методів соціальної інженерії індустрія все ще має очевидні недоліки у захисті клієнтських даних та активів. Варто зауважити, що навіть якщо відповідні посади на платформі не мають фінансових повноважень, нестача достатньої обізнаності щодо безпеки та здатності також може призвести до серйозних наслідків через ненавмисне витікання інформації або вербування. З розширенням платформи складність контролю безпеки персоналу зростає, що стало одним з найскладніших ризиків в індустрії. Тому платформа, зміцнюючи механізми безпеки на ланцюзі, також повинна системно створювати "систему захисту від соціальної інженерії", що охоплює внутрішній персонал та послуги аутсорсингу, включаючи людські ризики в загальну стратегію безпеки.
Крім того, як тільки буде виявлено, що атака не є ізольованою подією, а є організованою, масштабною постійною загрозою, платформа повинна вжити термінових заходів, активно перевіряти потенційні вразливості, попереджати користувачів про заходи безпеки та контролювати масштаби збитків. Лише завдяки двосторонньому реагуванню на технічному та організаційному рівнях можна дійсно зберегти довіру та межі в все більш складному середовищі безпеки.