Соціальна інженерія стала серйозною загрозою для безпеки активів шифрування
Останніми роками соціальні інженерні атаки на користувачів шифрування активів стали все більш поширеними, що стало одним із основних засобів загрози безпеці активів користувачів. З 2025 року сталися численні випадки шахрайства через соціальні інженерні методи, спрямовані на користувачів одного відомого торгового майданчика, що викликало широке обговорення в галузі. З обговорень у спільноті видно, що ці випадки не є поодинокими, а є новим типом шахрайства, яке має ознаки безперервності та організованості.
15 травня ця торговельна платформа опублікувала оголошення, в якому підтвердила раніше висловлені припущення про наявність "внутрішнього зрадника" в платформі. Відомо, що Міністерство юстиції США вже розпочало розслідування у зв'язку з цією подією витоку даних.
У цій статті буде представлено основні методи шахрайства, які розкриваються через збір інформації від кількох дослідників безпеки та жертв, а також розглянуто стратегії реагування з точки зору платформи та користувачів.
Історичний аналіз
"Лише за минулий тиждень було викрадено понад 45 мільйонів доларів через соціальну інженерію у користувачів певної платформи", – написав у своєму оновленні в соціальних мережах детектив ланцюга Зак 7 травня.
Протягом минулого року Зак неодноразово розкривав випадки крадіжок, з якими стикалися користувачі платформи, окремі жертви втратили до десятків мільйонів доларів. У детальному розслідуванні, опублікованому в лютому 2025 року, він показав, що лише за період з грудня 2024 року по січень 2025 року, втрати від таких шахрайств перевищили 65 мільйонів доларів. Платформа стикається з серйозною кризою "соціальної інженерії", атаки якої завдають шкоди безпеці активів користувачів на рівні 300 мільйонів доларів щорічно. Зак також зазначив:
Групи, що керують такого роду шахрайством, в основному поділяються на два типи: один тип - це низькорівневі нападники з певних кіл, інший - це кіберзлочинні організації, що знаходяться в Індії;
Шахрайські угрупування намагаються здобути переважно американських користувачів, методи злочинів стандартизовані, а мова спілкування розроблена.
Фактична сума збитків може бути значно вищою за статистику, що видно в ланцюгу, оскільки не включає недоступну інформацію, таку як заявки в службу підтримки та записи про повідомлення до поліції.
Методики шахрайства
У цій події технічна система платформи не була зламаною, зловмисники використали права внутрішніх співробітників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адреса, контактна інформація, дані облікового запису, фотографії посвідчення особи тощо. Остаточною метою зловмисників було використання соціальної інженерії для спонукання користувачів до переказу коштів.
Цей тип атаки змінив традиційні методи «розкидання сітки» у фішингу, перейшовши до «точкових ударів», що можна вважати «індивідуально налаштованими» соціальними шахрайствами. Типовий шлях злочину виглядає наступним чином:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблену телефонну систему (PBX), щоб видавати себе за службу підтримки платформи, телефонують користувачам і стверджують, що їх "рахунок зазнав незаконного входу" або "виявлено аномалії в знятті коштів", створюючи термінову атмосферу. Потім надсилають підроблені фішингові електронні листи або смс, які містять фальшивий номер заявки або посилання на "процес відновлення", спрямовуючи користувачів до дій. Ці посилання можуть вести на клоновані інтерфейси платформи, навіть можуть надсилати електронні листи, які, здається, походять з офіційного домену; частина електронних листів використовує техніку перенаправлення для обходу засобів захисту.
2. Сприяти користувачам у завантаженні самостійного гаманця
Шахраї під приводом "захисту активів" направляють користувачів на переказ коштів до "безпечного гаманця", допомагають користувачам встановити гаманці з самостійним управлінням та вказують, як перевести активи, які раніше зберігалися на платформі, до новоствореного гаманця.
3. Спонукати користувачів використовувати мнемонічні фрази, надані шахраями
На відміну від традиційного "вимагання мнемонічних фраз", шахраї безпосередньо надають набір власноруч згенерованих мнемонічних фраз, спокушаючи користувачів використовувати їх як "офіційний новий гаманець".
4. Шахраї здійснюють крадіжку коштів
Жертви, перебуваючи в напруженому, тривожному стані і довіряючи "сервісу підтримки", легко потрапляють у пастку. Для них "новий гаманець, який надається офіційно", звісно, безпечніший, ніж "старий гаманець, що, ймовірно, був зламаний". В результаті, як тільки кошти переносяться до цього нового гаманця, шахраї можуть відразу ж їх вивести. Це ще раз яскраво підтверджує принцип "Не ваші ключі, не ваші монети".
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову платформа повністю перейде на самостійні гаманці", і вимагають від користувачів завершити міграцію активів протягом короткого часу. Користувачі під тиском термінових строків та психологічним натиском "офіційних вказівок" легше погоджуються на дії.
За словами дослідників безпеки, ці атаки зазвичай організовано плануються та реалізуються:
Інструменти шахрайства вдосконалюються: шахраї використовують систему PBX для підробки номерів телефону, імітуючи дзвінки офіційної служби підтримки. Під час відправлення фішингових електронних листів вони використовують ботів у соціальних мережах для підробки офіційної електронної пошти, додаючи "посібник з відновлення облікового запису" для спрямування переказу.
Точна мета: шахраї, спираючись на вкрадені дані користувачів, куплені з соціальних медіа та темної мережі, націлюються на користувачів з певних регіонів як на основну мету, навіть використовують AI для обробки вкрадених даних, розділяючи та реконструюючи номери телефонів, масово генеруючи TXT-файли, а потім за допомогою програмного забезпечення для злому надсилають SMS-шахрайство.
Процес приманки послідовний: від телефону, SMS до електронної пошти, шлях шахрайства зазвичай безшовний, поширені фрази фішингу включають "рахунок отримав запит на виведення коштів", "пароль було скинуто", "рахунок має підозрілі входи" тощо, постійно спонукаючи жертв до проведення "безпечної перевірки", поки не буде завершено перенесення коштів.
Аналіз напрямків грошових потоків на ланцюгу
Аналізуючи адреси деяких шахраїв за допомогою системи протидії відмиванню коштів та відстеження в блокчейні, виявлено, що ці шахраї мають значні можливості для операцій у блокчейні. Нижче наведено деяку ключову інформацію:
Цілі атак шахраїв охоплюють різноманітні активи, які належать користувачам платформи, причому активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року. Основними цільовими активами є BTC та ETH. BTC є найбільшою метою шахрайства на сьогодні, кілька адрес отримують прибуток до сотень BTC за один раз, а одна транзакція може становити кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процесів для очищення активів, обмінюючи та переводячи їх, основна модель виглядає так:
Активи класу ETH зазвичай швидко обмінюються на DAI або USDT через певний DEX, а потім розподіляються на кілька нових адрес, частина активів потрапляє на централізовані торгові платформи;
BTC в основному переміщується через кросчейн-мости на Ethereum, а потім обмінюється на DAI або USDT, щоб уникнути ризиків відстеження.
Кілька адрес шахрайства залишаються в "спокійному" стані після отримання DAI або USDT і ще не були виведені.
Щоб уникнути взаємодії власної адреси з підозрілою адресою та ризику замороження активів, користувачам рекомендується перед проведенням угод використовувати систему моніторингу та відстеження коштів на основі блокчейну для оцінки ризиків цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Сучасні основні засоби безпеки більше є "технічним рівнем" захисту, тоді як соціальна інженерія часто обходить ці механізми, безпосередньо вражаючи психологічні та поведінкові вразливості користувачів. Тому рекомендується платформам інтегрувати навчання користувачів, тренування з безпеки та проектування зручності, створивши систему "людиноорієнтованого" захисту.
Регулярна відправка контенту з освіти проти шахрайства: підвищення спроможності користувачів запобігати фішингу через вікна програми, інтерфейс підтвердження транзакцій, електронну пошту тощо;
Оптимізація моделей управління ризиками, впровадження "інтерактивного виявлення аномальної поведінки": більшість соціальних інженерних шахрайств спонукають користувачів протягом короткого часу виконати ряд дій (таких як переказ, зміна білого списку, прив'язка пристрою тощо). Платформа повинна на основі моделі поведінкових ланцюгів виявляти підозрілі комбінації взаємодії (такі як "часта взаємодія + нова адреса + великі виведення"), ініціюючи період охолодження або механізм ручної перевірки.
Нормалізація каналів обслуговування клієнтів та механізмів верифікації: шахраї часто видають себе за представників служби підтримки, щоб заплутати користувачів. Платформа повинна уніфікувати шаблони телефонних, смс та електронних листів, а також надати "вхід для верифікації служби підтримки", чітко визначивши єдиний офіційний канал зв'язку, щоб уникнути плутанини.
користувач
Впровадження стратегії ізоляції ідентичності: уникайте спільного використання однієї електронної пошти та номера телефону на кількох платформах, знижуючи ризик спричинення шкоди, можна використовувати інструменти для перевірки витоків, щоб регулярно перевіряти, чи була електронна пошта скомпрометована.
Увімкнення білого списку переказів та механізму охолодження для виведення: попередньо налаштовані надійні адреси знижують ризик втрати коштів у термінових ситуаціях.
Постійно слідкуйте за інформацією про безпеку: через безпекові компанії, медіа, торговельні платформи тощо, дізнайтеся про останні тенденції методів атак і зберігайте пильність. Наразі кілька безпекових компаній розробляють платформу для тренувань з фішингу в Web3, яка симулює різні типові методи фішингу, включаючи соціальну інженерію, фішинг за допомогою підпису, взаємодію з шкідливими контрактами тощо, і поєднує їх з реальними прикладами, постійно оновлюючи зміст сцен. Це дозволить користувачам покращити здатність до розпізнавання та реагування в безризиковому середовищі.
Зверніть увагу на ризики офлайн та захист приватності: витік особистої інформації також може призвести до проблем з особистою безпекою.
Це не є безпідставним занепокоєнням, з початку року, шифрувальники/користувачі зазнали кількох випадків загрози особистій безпеці. З огляду на те, що дані, які були розкриті, містять імена, адреси, контактну інформацію, дані рахунків, фотографії посвідчення особи тощо, відповідні користувачі також повинні бути обережними в оффлайн-середовищі та звертати увагу на безпеку.
В загальному, зберігайте скептицизм, продовжуйте перевіряти. Усі термінові операції обов'язково вимагайте від іншої сторони підтвердження особи та незалежно перевіряйте через офіційні канали, уникаючи прийняття незворотних рішень під тиском.
Підсумок
Ця подія знову виявила очевидні недоліки в захисті даних клієнтів та активів в умовах дедалі більш зрілих методів соціальної інженерії. Варто зауважити, що навіть якщо відповідні посади на платформі не мають фінансових повноважень, нестача достатньої обізнаності та можливостей в області безпеки може призвести до серйозних наслідків через ненавмисний витік або підкуп. Оскільки платформа продовжує зростати, складність управління безпекою персоналу також зростає, що стало однією з найбільш складних ризиків в індустрії. Тому, зміцнюючи механізми безпеки в ланцюгу, платформа також повинна систематично розробити "систему захисту від соціальної інженерії", яка охоплює як внутрішній персонал, так і аутсорсингові послуги, включаючи людські ризики в загальну стратегію безпеки.
Крім того, як тільки буде виявлено, що атака не є ізольованою подією, а є організованою, масштабною постійною загрозою, платформа повинна негайно реагувати, активно перевіряти можливі вразливості, застерігати користувачів та контролювати масштаби збитків. Лише за умови подвійного реагування на технологічному та організаційному рівнях можна в умовах дедалі складнішого безпекового середовища справді зберегти довіру та межі.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Атаки соціальних інженерів на торгові платформи: річні втрати 300 мільйонів доларів. Повний аналіз заходів реагування.
Соціальна інженерія стала серйозною загрозою для безпеки активів шифрування
Останніми роками соціальні інженерні атаки на користувачів шифрування активів стали все більш поширеними, що стало одним із основних засобів загрози безпеці активів користувачів. З 2025 року сталися численні випадки шахрайства через соціальні інженерні методи, спрямовані на користувачів одного відомого торгового майданчика, що викликало широке обговорення в галузі. З обговорень у спільноті видно, що ці випадки не є поодинокими, а є новим типом шахрайства, яке має ознаки безперервності та організованості.
15 травня ця торговельна платформа опублікувала оголошення, в якому підтвердила раніше висловлені припущення про наявність "внутрішнього зрадника" в платформі. Відомо, що Міністерство юстиції США вже розпочало розслідування у зв'язку з цією подією витоку даних.
У цій статті буде представлено основні методи шахрайства, які розкриваються через збір інформації від кількох дослідників безпеки та жертв, а також розглянуто стратегії реагування з точки зору платформи та користувачів.
Історичний аналіз
"Лише за минулий тиждень було викрадено понад 45 мільйонів доларів через соціальну інженерію у користувачів певної платформи", – написав у своєму оновленні в соціальних мережах детектив ланцюга Зак 7 травня.
Протягом минулого року Зак неодноразово розкривав випадки крадіжок, з якими стикалися користувачі платформи, окремі жертви втратили до десятків мільйонів доларів. У детальному розслідуванні, опублікованому в лютому 2025 року, він показав, що лише за період з грудня 2024 року по січень 2025 року, втрати від таких шахрайств перевищили 65 мільйонів доларів. Платформа стикається з серйозною кризою "соціальної інженерії", атаки якої завдають шкоди безпеці активів користувачів на рівні 300 мільйонів доларів щорічно. Зак також зазначив:
Методики шахрайства
У цій події технічна система платформи не була зламаною, зловмисники використали права внутрішніх співробітників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адреса, контактна інформація, дані облікового запису, фотографії посвідчення особи тощо. Остаточною метою зловмисників було використання соціальної інженерії для спонукання користувачів до переказу коштів.
Цей тип атаки змінив традиційні методи «розкидання сітки» у фішингу, перейшовши до «точкових ударів», що можна вважати «індивідуально налаштованими» соціальними шахрайствами. Типовий шлях злочину виглядає наступним чином:
1. Зв'язатися з користувачем від імені "офіційної служби підтримки"
Шахраї використовують підроблену телефонну систему (PBX), щоб видавати себе за службу підтримки платформи, телефонують користувачам і стверджують, що їх "рахунок зазнав незаконного входу" або "виявлено аномалії в знятті коштів", створюючи термінову атмосферу. Потім надсилають підроблені фішингові електронні листи або смс, які містять фальшивий номер заявки або посилання на "процес відновлення", спрямовуючи користувачів до дій. Ці посилання можуть вести на клоновані інтерфейси платформи, навіть можуть надсилати електронні листи, які, здається, походять з офіційного домену; частина електронних листів використовує техніку перенаправлення для обходу засобів захисту.
2. Сприяти користувачам у завантаженні самостійного гаманця
Шахраї під приводом "захисту активів" направляють користувачів на переказ коштів до "безпечного гаманця", допомагають користувачам встановити гаманці з самостійним управлінням та вказують, як перевести активи, які раніше зберігалися на платформі, до новоствореного гаманця.
3. Спонукати користувачів використовувати мнемонічні фрази, надані шахраями
На відміну від традиційного "вимагання мнемонічних фраз", шахраї безпосередньо надають набір власноруч згенерованих мнемонічних фраз, спокушаючи користувачів використовувати їх як "офіційний новий гаманець".
4. Шахраї здійснюють крадіжку коштів
Жертви, перебуваючи в напруженому, тривожному стані і довіряючи "сервісу підтримки", легко потрапляють у пастку. Для них "новий гаманець, який надається офіційно", звісно, безпечніший, ніж "старий гаманець, що, ймовірно, був зламаний". В результаті, як тільки кошти переносяться до цього нового гаманця, шахраї можуть відразу ж їх вивести. Це ще раз яскраво підтверджує принцип "Не ваші ключі, не ваші монети".
Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову платформа повністю перейде на самостійні гаманці", і вимагають від користувачів завершити міграцію активів протягом короткого часу. Користувачі під тиском термінових строків та психологічним натиском "офіційних вказівок" легше погоджуються на дії.
За словами дослідників безпеки, ці атаки зазвичай організовано плануються та реалізуються:
Аналіз напрямків грошових потоків на ланцюгу
Аналізуючи адреси деяких шахраїв за допомогою системи протидії відмиванню коштів та відстеження в блокчейні, виявлено, що ці шахраї мають значні можливості для операцій у блокчейні. Нижче наведено деяку ключову інформацію:
Цілі атак шахраїв охоплюють різноманітні активи, які належать користувачам платформи, причому активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року. Основними цільовими активами є BTC та ETH. BTC є найбільшою метою шахрайства на сьогодні, кілька адрес отримують прибуток до сотень BTC за один раз, а одна транзакція може становити кілька мільйонів доларів.
Після отримання коштів шахраї швидко використовують набір процесів для очищення активів, обмінюючи та переводячи їх, основна модель виглядає так:
Активи класу ETH зазвичай швидко обмінюються на DAI або USDT через певний DEX, а потім розподіляються на кілька нових адрес, частина активів потрапляє на централізовані торгові платформи;
BTC в основному переміщується через кросчейн-мости на Ethereum, а потім обмінюється на DAI або USDT, щоб уникнути ризиків відстеження.
Кілька адрес шахрайства залишаються в "спокійному" стані після отримання DAI або USDT і ще не були виведені.
Щоб уникнути взаємодії власної адреси з підозрілою адресою та ризику замороження активів, користувачам рекомендується перед проведенням угод використовувати систему моніторингу та відстеження коштів на основі блокчейну для оцінки ризиків цільової адреси, щоб ефективно уникнути потенційних загроз.
Заходи
платформа
Сучасні основні засоби безпеки більше є "технічним рівнем" захисту, тоді як соціальна інженерія часто обходить ці механізми, безпосередньо вражаючи психологічні та поведінкові вразливості користувачів. Тому рекомендується платформам інтегрувати навчання користувачів, тренування з безпеки та проектування зручності, створивши систему "людиноорієнтованого" захисту.
користувач
Впровадження стратегії ізоляції ідентичності: уникайте спільного використання однієї електронної пошти та номера телефону на кількох платформах, знижуючи ризик спричинення шкоди, можна використовувати інструменти для перевірки витоків, щоб регулярно перевіряти, чи була електронна пошта скомпрометована.
Увімкнення білого списку переказів та механізму охолодження для виведення: попередньо налаштовані надійні адреси знижують ризик втрати коштів у термінових ситуаціях.
Постійно слідкуйте за інформацією про безпеку: через безпекові компанії, медіа, торговельні платформи тощо, дізнайтеся про останні тенденції методів атак і зберігайте пильність. Наразі кілька безпекових компаній розробляють платформу для тренувань з фішингу в Web3, яка симулює різні типові методи фішингу, включаючи соціальну інженерію, фішинг за допомогою підпису, взаємодію з шкідливими контрактами тощо, і поєднує їх з реальними прикладами, постійно оновлюючи зміст сцен. Це дозволить користувачам покращити здатність до розпізнавання та реагування в безризиковому середовищі.
Зверніть увагу на ризики офлайн та захист приватності: витік особистої інформації також може призвести до проблем з особистою безпекою.
Це не є безпідставним занепокоєнням, з початку року, шифрувальники/користувачі зазнали кількох випадків загрози особистій безпеці. З огляду на те, що дані, які були розкриті, містять імена, адреси, контактну інформацію, дані рахунків, фотографії посвідчення особи тощо, відповідні користувачі також повинні бути обережними в оффлайн-середовищі та звертати увагу на безпеку.
В загальному, зберігайте скептицизм, продовжуйте перевіряти. Усі термінові операції обов'язково вимагайте від іншої сторони підтвердження особи та незалежно перевіряйте через офіційні канали, уникаючи прийняття незворотних рішень під тиском.
Підсумок
Ця подія знову виявила очевидні недоліки в захисті даних клієнтів та активів в умовах дедалі більш зрілих методів соціальної інженерії. Варто зауважити, що навіть якщо відповідні посади на платформі не мають фінансових повноважень, нестача достатньої обізнаності та можливостей в області безпеки може призвести до серйозних наслідків через ненавмисний витік або підкуп. Оскільки платформа продовжує зростати, складність управління безпекою персоналу також зростає, що стало однією з найбільш складних ризиків в індустрії. Тому, зміцнюючи механізми безпеки в ланцюгу, платформа також повинна систематично розробити "систему захисту від соціальної інженерії", яка охоплює як внутрішній персонал, так і аутсорсингові послуги, включаючи людські ризики в загальну стратегію безпеки.
Крім того, як тільки буде виявлено, що атака не є ізольованою подією, а є організованою, масштабною постійною загрозою, платформа повинна негайно реагувати, активно перевіряти можливі вразливості, застерігати користувачів та контролювати масштаби збитків. Лише за умови подвійного реагування на технологічному та організаційному рівнях можна в умовах дедалі складнішого безпекового середовища справді зберегти довіру та межі.