Социальная инженерия стала серьезной угрозой безопасности активов.

В последние годы социальные инженерные атаки на пользователей шифрования становятся все более распространенными, что представляет серьезную угрозу для безопасности активов. С 2025 года произошли многочисленные случаи мошенничества с использованием социальных инженерных приемов, нацеленные на пользователей одной известной торговой платформы, что привлекло широкое внимание в отрасли. Судя по обсуждениям в сообществе, такие случаи не являются единичными, а представляют собой организованный и постоянный тип мошенничества.

15 мая эта торговая платформа выпустила заявление, подтвердившее ранее существовавшие слухи о наличии "внутреннего предателя" на платформе. Министерство юстиции США начало расследование этого инцидента с утечкой данных.

В этой статье будет собрана информация от нескольких исследователей безопасности и жертв, чтобы раскрыть основные методы действий мошенников, а также рассмотреть, как эффективно противодействовать таким схемам с точки зрения платформы и пользователей.

Исторический анализ

Онлайн-детектив Зак сообщил в обновлении в социальных сетях 7 мая: "Всего за последнюю неделю более 45 миллионов долларов были похищены у пользователей одной из торговых платформ из-за мошенничества с социальной инженерией".

В прошлом году Зак несколько раз раскрывал случаи кражи средств у пользователей данной платформы, некоторые жертвы потеряли десятки миллионов долларов. В подробном расследовании, опубликованном в феврале 2025 года, он показал, что только с декабря 2024 года по январь 2025 года общая сумма украденных средств в результате подобных мошенничеств превысила 65 миллионов долларов. Платформа сталкивается с серьезным кризисом "социальной инженерии", атаки которого продолжают наносить ущерб безопасности активов пользователей на уровне 300 миллионов долларов в год. Зак также отметил:

• Главные группы, занимающиеся такими мошенничествами, в основном делятся на два типа: одна группа состоит из низкоуровневых нападающих из определенного круга, а другая - из сетевых преступных организаций, расположенных в Индии;
• Целями атак мошеннических групп в основном являются пользователи из США, методы преступления стандартизированы, а разговорные сценарии отработаны.
• Фактическая сумма убытков может значительно превышать статистику, видимую в блокчейне, так как не учитывается недоступная информация, такая как заявки в службу поддержки и сообщения в полицию.

Методы мошенничества

В этом инциденте техническая система платформы не была взломана, мошенники использовали права внутренних сотрудников для получения части чувствительной информации пользователей. Эта информация включает: имя, адрес, контактные данные, данные учетной записи, фотографии удостоверения личности и т.д. Конечной целью мошенников было использование методов социальной инженерии для побуждения пользователей к переводу средств.

Этот тип атак изменил традиционные методы фишинга, переходя к "точечным ударам", что можно назвать "индивидуально подобранным" социальным мошенничеством. Типичный путь совершения преступления следующий:

1. Связаться с пользователем от имени "официальной службы поддержки"

Мошенники используют поддельные телефонные системы, чтобы выдать себя за службу поддержки платформы, звонят пользователям и сообщают, что их "аккаунт подвергся незаконному входу" или "обнаружены аномалии при выводе средств", создавая атмосферу срочности. Затем они отправляют поддельные фишинговые письма или сообщения, содержащие ложные номера заявок или ссылки на "процесс восстановления", и направляют пользователей к действиям. Эти ссылки могут вести на клонированные интерфейсы платформы, а также могут отправлять письма, которые выглядят так, как будто они поступают с официального домена, некоторые письма используют технологии перенаправления, чтобы обойти защиту безопасности.

2. Направьте пользователей на загрузку официального кошелька

Мошенники будут под предлогом "защиты активов" направлять пользователей на перевод средств в "безопасный кошелек", также они помогут пользователям установить официальный кошелек и укажут, как перевести активы, которые изначально хранились на платформе, в новый созданный кошелек.

3. Введение пользователей в заблуждение с использованием мнемонической фразы, предоставленной мошенниками

В отличие от традиционного "мошенничества с получением мнемонической фразы", мошенники прямо предоставляют набор созданных ими мнемонических фраз, подталкивая пользователей использовать их в качестве "официального нового кошелька".

4. Мошенники занимаются кражей средств

Жертвы в состоянии напряжения, тревоги и доверия к "службе поддержки" легко попадают в ловушку. Для них "новый кошелек, предоставленный официально", естественно, безопаснее, чем "старый кошелек, который, по-видимому, был взломан". В результате, как только средства переводятся в этот новый кошелек, мошенники могут немедленно их вывести. "Ключи, которыми вы не управляете, означают, что у вас нет этих монет" — эта концепция снова была жестоко подтверждена в социальных инженерных атаках.

Кроме того, некоторые фишинговые письма утверждают, что "в связи с решением коллективного иска платформа полностью перейдет на самообслуживаемые кошельки" и требуют от пользователей завершить миграцию активов до определенной даты. Под давлением срочности и психологического влияния "официальной команды" пользователи легче поддаются манипуляциям.

Согласно исследователям безопасности, эти атаки часто организованно планируются и осуществляются:

• Усовершенствование инструментов мошенничества: мошенники используют систему PBX для подделки номеров звонков, имитируя звонки официальной службы поддержки. При отправке фишинговых писем они используют ботов на социальных платформах для подделки официального адреса электронной почты, прикладывая "Руководство по восстановлению аккаунта" для перенаправления средств.
• Точная цель: мошенники основываются на украденных данных пользователей, купленных через социальные платформы и даркнет, чтобы нацелиться на пользователей из США, и даже используют ИИ для обработки украденных данных, разбивая и перерабатывая номера телефонов, создавая пакетные TXT файлы, а затем отправляя SMS мошенничество с помощью программного обеспечения для подбора паролей.
• Последовательный процесс обмана: от телефона, смс до электронной почты, путь мошенничества обычно бесшовный, распространенные фишинговые формулировки включают "счет получил запрос на вывод средств", "пароль был сброшен", "вход в счет с аномальной активности" и т.д., постоянно побуждая жертву пройти "безопасную проверку", пока не завершится перевод средств.

Анализ на блокчейне

Анализируя адреса некоторых мошенников с помощью системы противодействия отмыванию денег и отслеживания в блокчейне, было обнаружено, что эти мошенники обладают высокой операционной способностью в блокчейне. Вот некоторые ключевые сведения:

Целями атак мошенников являются разнообразные активы, которыми владеют пользователи. Активность этих адресов сосредоточена в период с декабря 2024 года по май 2025 года. Основными целевыми активами являются BTC и ETH. BTC является текущей основной целью мошенничества, при этом несколько адресов одновременно получают прибыль в несколько сотен BTC, а одна транзакция может стоить миллионы долларов.

После получения средств мошенники быстро используют набор процессов отмывания для обмена и перемещения активов, основные схемы следующие:

• Активы, подобные ETH, часто быстро обмениваются на DAI или USDT через некоторые DEX, затем диверсифицируются и переводятся на несколько новых адресов, часть активов поступает на централизованные торговые платформы;
• BTC в основном переносится через кросс-цепочные протоколы на Ethereum, а затем обменивается на DAI или USDT, чтобы избежать рисков отслеживания.

Несколько мошеннических адресов после получения DAI или USDT остаются в состоянии "покоя" и еще не были выведены.

Чтобы избежать взаимодействия своего адреса с подозрительными адресами и тем самым не столкнуться с риском заморозки активов, рекомендуется пользователям перед проведением транзакций использовать систему противодействия отмыванию денег и отслеживания на блокчейне для проверки целевого адреса на наличие рисков, чтобы эффективно избежать потенциальных угроз.

Меры реагирования

платформа

В настоящее время основные методы безопасности больше ориентированы на "технический уровень" защиты, в то время как социальная инженерия часто обходит эти механизмы, непосредственно затрагивая психологические и поведенческие уязвимости пользователей. Поэтому рекомендуется, чтобы платформа интегрировала образование пользователей, обучение безопасности и проектирование удобства в единую систему, создавая "человекоориентированную" линию безопасности.

• Регулярная отправка материалов по образованию по борьбе с мошенничеством: повышение способности пользователей к защите от фишинга через всплывающие окна приложения, интерфейс подтверждения транзакций, электронную почту и другие каналы;
• Оптимизация моделей управления рисками, внедрение "интерактивного распознавания аномального поведения": большинство мошенничеств с использованием социальной инженерии будут в короткие сроки побуждать пользователя выполнять ряд действий (таких как переводы, изменения белого списка, привязка устройств и т.д.). Платформа должна на основе модели поведенческой цепочки распознавать подозрительные комбинации взаимодействий (такие как "частое взаимодействие + новый адрес + крупное снятие средств"), чтобы инициировать период охлаждения или механизм ручной проверки.
• Установить стандарты каналов обслуживания клиентов и механизмов проверки: мошенники часто выдают себя за службу поддержки, чтобы запутать пользователей. Платформа должна унифицировать телефонные, смс и email-шаблоны, а также предоставить "вход для проверки службы поддержки", четко обозначив единственный официальный канал общения, чтобы избежать путаницы.

пользователь

• Реализуйте стратегию изоляции идентификации: избегайте использования одного и того же адреса электронной почты и номера телефона на нескольких платформах, чтобы снизить сопутствующие риски, можно использовать инструменты проверки утечек для регулярной проверки, был ли адрес электронной почты скомпрометирован.
• Включите белый список для переводов и механизм охлаждения для выводов: задайте доверенные адреса, чтобы снизить риск потери средств в экстренных ситуациях.
• Постоянно следите за новостями безопасности: через каналы безопасности, СМИ, торговые платформы и т. д. узнавайте о последних новинках методов атак и сохраняйте бдительность. В настоящее время некоторые безопасные организации готовят к запуску платформу для имитации фишинга в Web3, которая будет моделировать различные типичные методы фишинга, включая атаки через социальную инженерию, фишинг с подписями, взаимодействие с вредоносными контрактами и др., а также будет постоянно обновлять сценарии, основываясь на реальных случаях из исторических дискуссий. Это позволит пользователям повысить свои навыки распознавания и реагирования в безопасной среде.
• Обратите внимание на риски оффлайн и защиту конфиденциальности: утечка личной информации также может вызвать проблемы с безопасностью личности.

С начала этого года работники и пользователи шифрования столкнулись с несколькими случаями угрозы личной безопасности. Учитывая, что утечка данных содержит имена, адреса, контактную информацию, данные учетной записи, фотографии удостоверений личности и другие сведения, соответствующим пользователям также следует быть бдительными в офлайн-режиме и обратить внимание на безопасность.

В общем, оставайтесь скептичными и продолжайте проверять. Во всех случаях, связанных с экстренными действиями, обязательно требуйте от собеседника подтверждения личности и проверяйте информацию через официальные каналы, чтобы избежать необратимых решений под давлением.

Итог

Это событие снова показало, что в условиях все более зрелых методов социального инженерии в отрасли по-прежнему существуют очевидные недостатки в защите данных клиентов и безопасности активов. Стоит обратить внимание на то, что даже если у соответствующих сотрудников платформы нет финансовых полномочий, отсутствие достаточной безопасности и осведомленности может привести к серьезным последствиям из-за случайной утечки или вербовки. С увеличением размера платформы сложность управления безопасностью персонала также возрастает, что стало одной из самых сложных рисков для отрасли. Поэтому, укрепляя механизмы безопасности на цепочке, платформе также необходимо систематически создать "систему защиты от социальной инженерии", охватывающую как внутренний персонал, так и аутсорсинговые услуги, включая человеческие риски в общую стратегию безопасности.

Кроме того, как только будет обнаружена атака, которая не является изолированным случаем, а представляет собой организованную, масштабную и постоянную угрозу, платформа должна немедленно отреагировать, активно проверяя потенциальные уязвимости, предупреждая пользователей о необходимости принятия мер предосторожности и контролируя масштабы ущерба. Только при двойном подходе на техническом и организационном уровнях можно действительно сохранить доверие и границы в условиях все более сложной безопасности.