O ataque de engenharia social torna-se uma grande ameaça à segurança do ativo encriptação

Nos últimos anos, os ataques de engenharia social direcionados a usuários de encriptação têm-se tornado cada vez mais comuns, constituindo uma séria ameaça à segurança do ativo. Desde 2025, ocorreram com frequência incidentes de fraude de engenharia social direcionados a usuários de uma plataforma de negociação conhecida, chamando a atenção generalizada na indústria. A partir das discussões da comunidade, parece que esses incidentes não são casos isolados, mas sim um tipo de esquema organizado e contínuo.

No dia 15 de maio, a plataforma de negociação publicou um anúncio que confirmou as especulações anteriores sobre a existência de "traidores" na plataforma. O Departamento de Justiça dos EUA já iniciou uma investigação sobre este incidente de vazamento de dados.

Este artigo irá compilar informações fornecidas por vários pesquisadores de segurança e vítimas, revelando os principais métodos utilizados pelos golpistas, e explorará como lidar efetivamente com esses tipos de golpes a partir das perspectivas da plataforma e do usuário.

Análise Histórica

O detetive on-chain Zach afirmou na atualização da plataforma social em 7 de maio: "Apenas na última semana, mais de 45 milhões de dólares foram roubados de usuários de uma plataforma de negociação devido a fraudes de engenharia social".

No último ano, Zach revelou várias vezes os incidentes de roubo de usuários da plataforma, com algumas vítimas perdendo até dezenas de milhões de dólares. Uma investigação detalhada que ele publicou em fevereiro de 2025 mostrou que, apenas entre dezembro de 2024 e janeiro de 2025, o total de fundos roubados devido a fraudes semelhantes já ultrapassou 65 milhões de dólares. A plataforma enfrenta uma grave crise de "fraude social", com ataques que continuam a afetar a segurança do ativo dos usuários a uma escala anual de 300 milhões de dólares. Zach também apontou:

• Os grupos que lideram esse tipo de fraude são principalmente divididos em duas categorias: uma é composta por atacantes de baixo nível de algum círculo, enquanto a outra são organizações criminosas cibernéticas localizadas na Índia;
• O alvo dos grupos de fraude são principalmente os usuários americanos, com métodos de operação padronizados e processos de conversa amadurecidos;
• O valor real da perda pode ser muito superior às estatísticas visíveis na cadeia, pois não inclui informações não divulgadas, como tíquetes de atendimento ao cliente e registos de denúncias à polícia que não podem ser obtidos.

Métodos de Fraude

Neste incidente, o sistema técnico da plataforma não foi comprometido; os golpistas aproveitaram os privilégios de um funcionário interno para obter algumas informações sensíveis dos usuários. Essas informações incluem: nome, endereço, contato, dados da conta, fotografias do cartão de identidade, entre outros. O objetivo final dos golpistas era utilizar métodos de engenharia social para induzir os usuários a fazer transferências.

Este tipo de ataque alterou os métodos tradicionais de phishing "à rede", passando a uma "ataque preciso", sendo considerado uma fraude social "personalizada". O percurso típico do crime é o seguinte:

1. Contactar os utilizadores na qualidade de "atendimento ao cliente oficial"

Os golpistas usam sistemas telefónicos falsificados para se passar por serviços de atendimento ao cliente da plataforma, ligando aos usuários e afirmando que a "conta sofreu um acesso ilegal" ou "anomalias detectadas no levantamento", criando um ambiente de urgência. Em seguida, enviam e-mails ou mensagens de texto de phishing que parecem autênticos, contendo números de ordem falsos ou links de "processo de recuperação", e orientam os usuários a agir. Esses links podem direcionar para interfaces clonadas da plataforma, podendo até enviar e-mails que parecem vir de um domínio oficial, com alguns e-mails utilizando técnicas de redirecionamento para contornar as proteções de segurança.

2. Guiar os usuários a baixar a carteira oficial

Os golpistas irão usar o pretexto de "proteger os ativos" para levar os usuários a transferir fundos para uma "carteira segura", além de ajudar os usuários a instalar a carteira oficial e orientá-los a transferir os ativos que estavam originalmente sob custódia na plataforma para uma nova carteira criada.

3. Induzir os usuários a usar as palavras-passe fornecidas pelos golpistas

Ao contrário da "enganação de obter palavras-chave" tradicional, os golpistas fornecem diretamente um conjunto de palavras-chave geradas por eles, induzindo os usuários a usá-las como "nova carteira oficial".

4. Os golpistas realizam roubo de fundos

As vítimas, em um estado de tensão, ansiedade e confiança no "atendimento ao cliente", são facilmente enganadas. Para elas, a nova carteira "fornecida oficialmente" é, naturalmente, muito mais segura do que a antiga carteira "suspeita de ter sido invadida". O resultado é que, uma vez que os fundos são transferidos para essa nova carteira, os golpistas podem imediatamente retirá-los. "Chaves que não estão sob seu controle significam que você não possui a moeda" - essa ideia é novamente comprovada de forma brutal em ataques de engenharia social.

Além disso, alguns e-mails de phishing afirmam que "devido a uma decisão de ação coletiva, a plataforma irá migrar completamente para carteiras auto-hospedadas", e pedem aos usuários que completem a migração de ativos antes de uma data específica. Sob a pressão do tempo e a sugestão psicológica de "ordens oficiais", os usuários são mais propensos a cooperar com a operação.

Segundo os investigadores de segurança, esses ataques costumam ser planeados e executados de forma organizada:

• Ferramentas de fraude aprimoradas: os golpistas usam sistemas PBX para falsificar números de chamadas, simulando chamadas de atendimento ao cliente oficiais. Ao enviar e-mails de phishing, eles utilizam robôs nas plataformas sociais para imitar e-mails oficiais, anexando um "guia de recuperação de conta" para orientar transferências.
• Objetivo preciso: os golpistas dependem dos dados de usuários roubados adquiridos em canais de redes sociais e na dark web, visando os usuários da região dos EUA como principal alvo, e até podem usar IA para processar os dados roubados, segmentando e reorganizando os números de telefone, gerando arquivos TXT em massa e, em seguida, enviando mensagens fraudulentas por meio de software de força bruta.
• Processo de engano contínuo: desde telefonemas, mensagens de texto até e-mails, o caminho da fraude geralmente é sem costura, as frases comuns de phishing incluem "a conta recebeu um pedido de levantamento", "a senha foi redefinida", "a conta teve um acesso anormal" e assim por diante, induzindo continuamente a vítima a realizar a "verificação de segurança", até completar a transferência da carteira.

Análise em cadeia

Através do sistema de anti-lavagem de dinheiro e rastreamento on-chain, foram analisados alguns endereços de golpistas, descobrindo-se que esses golpistas possuem uma forte capacidade de operação on-chain. Abaixo estão algumas informações-chave:

Os alvos dos ataques dos golpistas cobrem uma variedade de ativos que os usuários possuem, com o tempo de atividade desses endereços concentrado entre dezembro de 2024 e maio de 2025, sendo os ativos-alvo principalmente BTC e ETH. O BTC é o principal alvo de fraudes atualmente, com vários endereços obtendo lucros de até centenas de BTC de uma só vez, com valores individuais na casa dos milhões de dólares.

Após a obtenção dos fundos, os golpistas rapidamente utilizam um conjunto de processos de lavagem para converter e transferir os ativos, sendo o principal padrão o seguinte:

• Ativos da classe ETH são frequentemente trocados rapidamente por DAI ou USDT através de algum DEX, e depois dispersos e transferidos para vários novos endereços, com parte dos ativos indo para plataformas de negociação centralizadas;
• O BTC é principalmente transferido para o Ethereum através de protocolos de cross-chain, e depois trocado por DAI ou USDT, evitando riscos de rastreamento.

Vários endereços fraudulentos permanecem em estado de "inativo" após receber DAI ou USDT, ainda não foram transferidos.

Para evitar a interação do seu endereço com endereços suspeitos, e assim enfrentar o risco de congelamento de ativos, recomenda-se que os usuários utilizem sistemas de rastreamento e combate à lavagem de dinheiro em blockchain para realizar a detecção de risco do endereço alvo antes da negociação, a fim de evitar efetivamente ameaças potenciais.

Medidas de resposta

plataforma

Atualmente, os principais meios de segurança são mais uma proteção de "nível técnico", enquanto as fraudes de engenharia social muitas vezes contornam esses mecanismos, atingindo diretamente as vulnerabilidades psicológicas e comportamentais dos usuários. Portanto, recomenda-se que a plataforma integre a educação dos usuários, treinamento de segurança e design de usabilidade, estabelecendo uma linha de defesa de segurança "focada nas pessoas".

• Envio regular de conteúdos de educação contra fraudes: aumentar a capacidade dos utilizadores de se protegerem contra phishing através de pop-ups no App, interface de confirmação de transações, e e-mails;
• Otimizar o modelo de gestão de riscos, introduzindo "identificação interativa de comportamentos anormais": a maioria das fraudes sociais induz os usuários a realizar uma série de operações (como transferências, alterações de lista branca, vinculação de dispositivos, etc.) em um curto período de tempo. A plataforma deve identificar combinações interativas suspeitas (como "interações frequentes + novo endereço + grandes retiradas") com base no modelo de cadeia de comportamento, acionando um período de reflexão ou um mecanismo de revisão manual.
• Normalizar os canais de atendimento ao cliente e os mecanismos de verificação: os golpistas costumam se passar por atendentes para confundir os usuários; a plataforma deve unificar modelos de chamadas, mensagens de texto e e-mails, e fornecer um "portal de verificação de atendimento ao cliente", definindo um único canal oficial de comunicação para evitar confusões.

usuário

• Implementar uma estratégia de isolamento de identidade: evitar o uso do mesmo e-mail ou número de telefone em várias plataformas, reduzindo o risco de responsabilidade conjunta. Pode-se usar ferramentas de verificação de vazamentos para verificar regularmente se o e-mail foi exposto.
• Ativar a lista branca de transferências e o mecanismo de resfriamento de saques: pré-definir endereços confiáveis, reduzindo o risco de perda de fundos em situações de emergência.
• Manter-se atualizado sobre informações de segurança: através de empresas de segurança, mídias, plataformas de negociação e outros canais, fique atento às últimas dinâmicas das técnicas de ataque. Atualmente, algumas instituições de segurança estão prestes a lançar uma plataforma de simulação de phishing Web3, que irá simular várias técnicas típicas de phishing, incluindo envenenamento social, phishing por assinatura, interação com contratos maliciosos, etc., e combinará casos reais coletados em discussões históricas, atualizando continuamente o conteúdo dos cenários. Isso permitirá que os usuários aprimorem suas habilidades de identificação e resposta em um ambiente sem riscos.
• Preste atenção aos riscos offline e à proteção da privacidade: a divulgação de informações pessoais também pode desencadear problemas de segurança pessoal.

Desde o início deste ano, os profissionais/usuários de encriptação já enfrentaram vários incidentes que ameaçam a segurança pessoal. Dado que os dados vazados contêm nomes, endereços, informações de contato, dados de contas, fotos de identificação, os usuários relevantes também precisam aumentar a vigilância offline e prestar atenção à segurança.

Em suma, mantenha o ceticismo e continue a validar. Em qualquer operação de emergência, é imprescindível exigir que a outra parte comprove a sua identidade e verifique de forma independente através de canais oficiais, evitando tomar decisões irreversíveis sob pressão.

Resumo

Este evento expôs novamente que, face ao crescente amadurecimento das técnicas de ataques sociais, a indústria ainda apresenta lacunas significativas na proteção de dados dos clientes e segurança do ativo. É alarmante que, mesmo que os cargos relevantes na plataforma não tenham autoridade sobre os fundos, a falta de consciência e capacidade de segurança suficientes pode resultar em consequências graves devido a vazamentos acidentais ou coação. À medida que a plataforma continua a expandir, a complexidade do controle de segurança do pessoal aumenta, tornando-se um dos riscos mais difíceis de superar na indústria. Portanto, enquanto a plataforma fortalece os mecanismos de segurança em cadeia, deve também construir sistematicamente um "sistema de defesa contra ataques sociais" que cubra o pessoal interno e os serviços de outsourcing, integrando o risco humano na estratégia de segurança global.

Além disso, assim que um ataque for identificado como não sendo um evento isolado, mas sim uma ameaça contínua organizada e em grande escala, a plataforma deve responder imediatamente, proativamente investigar potenciais vulnerabilidades, alertar os usuários sobre precauções e controlar a extensão dos danos. Somente com uma resposta dupla em nível técnico e organizacional é que se poderá, em um ambiente de segurança cada vez mais complexo, realmente manter a confiança e os limites.