Соціальна інженерія стала серйозною загрозою для безпеки активів.

В останні роки соціально інженерні атаки на користувачів шифрування криптовалют стали все більш поширеними, що становить серйозну загрозу для безпеки активів. З 2025 року часто траплялися випадки шахрайства через соціальну інженерію, спрямовані на користувачів певної відомої торгової платформи, що привернуло широку увагу в галузі. Судячи з обговорень у спільноті, такі випадки не є поодинокими, а є організованим та тривалим типом шахрайства.

15 травня ця торгова платформа оприлюднила оголошення, підтвердивши раніше висунуті припущення про наявність "внутрішнього агента" на платформі. Міністерство юстиції США вже розпочало розслідування цієї справи про витік даних.

Ця стаття зібрала інформацію від кількох дослідників безпеки та жертв, щоб розкрити основні методи шахрайства та обговорити, як ефективно реагувати на такі схеми з точки зору платформи та користувачів.

Історичний аналіз

Онлайн-детектив Зак в обновлении в социальных сетях 7 мая заявил: "Только за прошлую неделю было украдено более 45 миллионов долларов США у пользователей одной из торговых платформ в результате социальной инженерии".

Протягом минулого року Зак неодноразово розкривав інциденти крадіжки користувачів платформи, деякі жертви втратили до десятків мільйонів доларів. Його детальне розслідування, опубліковане у лютому 2025 року, показало, що лише з грудня 2024 року по січень 2025 року загальна сума вкрадених коштів через подібні шахрайства перевищила 65 мільйонів доларів. Платформа стикається з серйозною кризою "соціальної інженерії", де атаки завдають шкоди безпеці активів користувачів з річним обсягом у 300 мільйонів доларів. Зак також зазначив:

• Групи, які ведуть такі шахрайства, в основному поділяються на два типи: одна група складається з низькорівневих атакуючих з певного кола, інша - це організовані злочинці, розташовані в Індії;
• Мета атак шахрайських угруповань в основному - користувачі з США, методи злочину стандартизовані, а процеси спілкування розвинені;
• Фактична сума збитків може бути значно вищою за статистику, видиму на ланцюгу, оскільки не враховуються недоступні дані, такі як заявки в службу підтримки та записи про повідомлення в поліцію.

Методи шахрайства

У цій події технічна система платформи не була зламаною, шахраї скористалися правами внутрішніх співробітників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактну інформацію, дані рахунку, фотографії посвідчення особи тощо. Остаточною метою шахраїв було використання соціальних інженерних методів для спонукання користувачів до переказу коштів.

Цей тип атаки змінив традиційні "розкидання мереж" методи фішингу, перейшовши до "точкових ударів", що можна назвати "індивідуально налаштованим" соціальним шахрайством. Типовий шлях злочину виглядає так:

1. Зв'язатися з користувачем від імені "офіційної служби підтримки"

Шахраї використовують підроблені телефонні системи, щоб видавати себе за службу підтримки платформи, телефонуючи користувачам і стверджуючи, що їх "рахунок зазнав незаконного входу" або "виявлено аномалію при виведенні коштів", створюючи термінову атмосферу. Вони потім надсилають підроблені фішингові електронні листи або SMS, які містять фальшиві номери заявок або посилання на "процес відновлення", і направляють користувачів до дій. Ці посилання можуть вести на клоновані інтерфейси платформи, навіть можуть надсилати електронні листи, які, здається, походять з офіційного домену, деякі електронні листи використовують технологію перенаправлення, щоб обійти заходи безпеки.

2. Спрямуйте користувачів на завантаження офіційного гаманця

Шахраї будуть використовувати "захист активів" як причину для того, щоб спонукати користувачів переводити кошти на "безпечний гаманець", а також допомагатимуть користувачам встановлювати офіційний гаманець і вказуватимуть, як перенести активи, які спочатку були зберігані на платформі, в новостворений гаманець.

3. Спонукати користувачів використовувати мнемонічні фрази, надані шахраями

На відміну від традиційного "вимагання мнемонічних фраз", шахраї безпосередньо надають набір згенерованих ними мнемонічних фраз, спонукаючи користувачів використовувати їх як "офіційний новий гаманець".

4. Шахраї здійснюють крадіжку коштів

Жертви, перебуваючи в стані напруги, тривоги та довіри до "служби підтримки", дуже легко попадають у пастку. Для них "новий гаманець, що надається офіційно", звісно, буде безпечнішим, ніж "старий гаманець, що, як вважається, був зламаний". В результаті, як тільки кошти потрапляють на цей новий гаманець, шахраї можуть негайно їх перевести. "Ключі, які не під твоїм контролем, означають, що ти не володієш монетами" — ця ідея знову жорстоко підтверджується під час соціальних інженерних атак.

Крім того, деякі фішингові електронні листи стверджують, що "через рішення колективного позову платформа повністю перейде на самостійні гаманці" і вимагають від користувачів завершити міграцію активів до певної дати. Користувачі під тиском термінів і психологічного натяку "офіційних вказівок" легше погоджуються на дії.

За словами дослідників безпеки, ці атаки часто організовано плануються та здійснюються:

• Інструменти для шахрайства вдосконалені: шахраї використовують систему PBX для підробки номерів телефонних дзвінків, імітуючи дзвінки офіційної служби підтримки. Під час відправки фішингових електронних листів використовуються боти в соціальних мережах для імітації офіційної електронної пошти, додаючи "Посібник з відновлення рахунку" для спрямування переказів.
• Точна мета: шахраї, спираючись на вкрадені дані користувачів, придбані з соціальних платформ та темного вебу, націлюються на користувачів з США як основну мету, навіть використовують AI для обробки вкрадених даних, розділяючи та реконструюючи номери телефонів, масово генеруючи TXT файли, а потім за допомогою програмного забезпечення для злому надсилають SMS-шахрайство.
• Процес шахрайства безперервний: від телефону, смс до електронної пошти, шлях шахрайства зазвичай безшовний, поширені фрази для фішингу включають "рахунок отримав запит на виведення коштів", "пароль був скинутий", "рахунок має аномальний вхід" тощо, постійно спонукаючи жертв пройти "безпечну перевірку", поки не буде завершено переміщення коштів.

Аналіз на блокчейні

Через систему аналізу боротьби з відмиванням грошей та відстеження на блокчейні були проаналізовані деякі адреси шахраїв, виявилося, що ці шахраї мають сильні навички роботи з блокчейном, нижче наведено деякі ключові дані:

Зловмисники націлюються на різноманітні активи, якими володіють користувачі, причому активність цих адрес зосереджена в період з грудня 2024 року по травень 2025 року. Основними цілями активів є BTC та ETH. BTC є наразі найголовнішою метою шахрайства, кілька адрес одночасно отримують прибуток у кілька сотень BTC, а одна транзакція має вартість кілька мільйонів доларів.

Після отримання коштів шахраї швидко використовують набір процесів очищення для обміну та переміщення активів, основна модель виглядає наступним чином:

• Активи класу ETH зазвичай швидко обмінюються на DAI або USDT через певний DEX, а потім розподіляються на кілька нових адрес, частина активів потрапляє на централізовану торгову платформу;
• BTC в основному переноситься через крос-чейн протокол до Ethereum, а потім обмінюється на DAI або USDT, щоб уникнути ризиків відстеження.

Декілька шахрайських адрес після отримання DAI або USDT все ще перебувають у "сплячому" стані і ще не були виведені.

Щоб уникнути взаємодії власної адреси з підозрілими адресами, що може призвести до ризику замороження активів, користувачам рекомендується перед здійсненням транзакцій використовувати систему моніторингу та відстеження на базі блокчейну для оцінки ризиків цільової адреси, щоб ефективно уникнути потенційних загроз.

Заходи реагування

платформа

Поточні основні засоби безпеки більше є захистом на "технічному рівні", тоді як соціальні шахрайства часто обходять ці механізми, безпосередньо вражаючи психіку та поведінкові вразливості користувачів. Тому рекомендується платформам інтегрувати освіту користувачів, навчання безпеки та дизайн зручності, створивши систему "людиномісткої" безпеки.

• Регулярне надсилання матеріалів з освіти проти шахрайства: підвищення здатності користувачів до захисту від фішингу через спливаючі вікна в додатку, інтерфейс підтвердження транзакцій, електронну пошту тощо;
• Оптимізація моделей управління ризиками, впровадження "інтерактивного виявлення аномальної поведінки": більшість шахрайств з використанням соціальної інженерії спонукають користувачів протягом короткого часу виконати ряд операцій (наприклад, перекази, зміна білих списків, прив'язка пристроїв тощо). Платформа повинна на основі моделі поведінкових ланцюгів виявляти підозрілі комбінації взаємодій (наприклад, "часта взаємодія + нова адреса + великі зняття"), щоб активувати період охолодження або механізм ручної перевірки.
• Стандартизація каналів обслуговування клієнтів та механізмів перевірки: шахраї часто видають себе за представників служби підтримки, щоб заплутати користувачів. Платформа повинна уніфікувати телефонні, SMS та електронні поштові шаблони, а також надати "вхід на перевірку служби підтримки", чітко визначивши єдиний офіційний канал комунікації, щоб уникнути плутанини.

користувач

• Впровадження стратегії ізоляції особи: уникати використання однієї й тієї ж електронної пошти та номеру телефону на кількох платформах, зменшуючи ризики взаємозв'язку, можна регулярно перевіряти електронну пошту за допомогою інструментів для перевірки витоків.
• Увімкнення білого списку для переказів та механізму охолодження для виведення: попередньо налаштуйте надійні адреси, щоб зменшити ризик втрати коштів у надзвичайних ситуаціях.
• Постійно слідкуйте за інформацією про безпеку: через канали безпекових компаній, ЗМІ, торгові платформи тощо дізнавайтеся про останні тенденції атак, зберігайте пильність. Наразі деякі безпекові агентства готують до запуску платформу для тренувань з фішингу у Web3, яка імітуватиме різні типові методи фішингу, включаючи соціальну інженерію, фішинг через підписання, взаємодію з шкідливими контрактами тощо, а також оновлюватиме сценарії на основі реальних випадків, зібраних під час історичних обговорень. Це дозволить користувачам покращити свої навички виявлення та реагування в безризиковому середовищі.
• Зверніть увагу на ризики офлайн та захист приватності: витік особистої інформації також може спричинити проблеми з особистою безпекою.

Цього року працівники/користувачі шифрування зазнали кількох інцидентів, які загрожували їхній особистій безпеці. Оскільки дані, що були витоками, містять імена, адреси, контактні дані, дані облікового запису, фотографії паспортів тощо, відповідні користувачі повинні також бути обережними в оффлайн-середовищі та звертати увагу на безпеку.

Узагальнюючи, зберігайте сумнів, постійно перевіряйте. Усі випадки термінових операцій обов'язково вимагайте від співрозмовника підтвердження особи та самостійно перевіряйте через офіційні канали, уникайте прийняття незворотних рішень під тиском.

Підсумок

Ця подія знову виявила, що, незважаючи на зростаючу зрілість методів соціальної інженерії, в індустрії все ще існують суттєві недоліки в захисті даних клієнтів та безпеки активів. Варто звернути увагу, що навіть якщо відповідні посади на платформі не мають фінансових повноважень, відсутність достатньої обізнаності щодо безпеки та можливостей також може призвести до серйозних наслідків через ненавмисне розкриття інформації або вербування. З розширенням платформи, складність контролю за безпекою персоналу зростає, що стало одним із найбільш складних ризиків у галузі. Тому платформа, зміцнюючи механізми безпеки в ланцюгу, також повинна систематично створити "систему захисту від соціальної інженерії", яка охоплює внутрішній персонал та аутсорсингові послуги, включаючи людські ризики в загальну стратегію безпеки.

Крім того, як тільки буде виявлено, що атака є не ізольованою подією, а організованою, масштабною постійною загрозою, платформа повинна терміново реагувати, активно перевіряти потенційні вразливості, попереджати користувачів про запобігання та контролювати масштаби збитків. Лише завдяки подвійній реакції на технологічному та організаційному рівнях можна в умовах все більш складного безпекового середовища справді зберегти довіру та межі.