کالبدشکافی یک کلاهبرداری ۹۱ میلیون دلاری بیت‌کوین با مهندسی اجتماعی

by

این داستانی است که به عنوان یک یادآوری تکان‌دهنده برای هر سرمایه‌گذار ارز دیجیتال عمل می‌کند: مبلغ سرسام‌آور ۹۱ میلیون دلار بیت‌کوین (۷۸۳ BTC) از کیف پول یک سرمایه‌گذار ناپدید شد. این یک هک پیچیده با بهره‌برداری از کد نبود، بلکه یک کلاهبرداری مهندسی اجتماعی فوق‌العاده ماهرانه بود که توسط کارآگاه آن‌چین مشهور، ZachXBT، فاش شد.

اما این سرقت عظیم چگونه اتفاق افتاد؟ قربانی به طرز هوشمندانه‌ای توسط مهاجمانی که خود را به عنوان نمایندگان پشتیبانی مشتری یک شرکت سازنده کیف پول سخت‌افزاری و یک صرافی ارز دیجیتال جا زده بودند، فریب خورد. آن‌ها با ایجاد حس اعتماد و اعتبار دروغین، سرمایه‌گذار را متقاعد کردند تا اقداماتی را انجام دهد که در نهایت منجر به به خطر افتادن دارایی‌هایش شد.

تصویر جرم و جنایت در حوزه کریپتو

بلافاصله پس از سرقت وجوه، مجرمان شروع به پاک کردن ردپای خود کردند. تحقیقات ZachXBT نشان داد که ۷۸۳ بیت‌کوین از طریق «کیف پول واسابی»، یک «میکسر» بیت‌کوین متمرکز بر حریم خصوصی که برای مبهم کردن رد تراکنش‌ها طراحی شده، جابجا شده است. این کار بازیابی وجوه را به مراتب دشوارتر می‌کند.

نگران‌کننده‌تر اینکه، این حادثه دقیقاً یک سال پس از یک سرقت مشابه و حتی بزرگتر رخ داده است. ZachXBT به یک مورد قبلی اشاره کرد که در آن همین تاکتیک‌ها توسط سه نفر برای سرقت ۴,۰۶۴ بیت‌کوین، به ارزش باورنکردنی ۲۴۳ میلیون دلار در آن زمان، استفاده شده بود. در آن مورد، کلاهبرداران خود را به عنوان تیم پشتیبانی گوگل جا زده و یک طلبکار از شرکت ورشکسته Genesis را هدف قرار دادند و او را فریب دادند تا تنظیمات احراز هویت دو مرحله‌ای خود را تغییر دهد. عاملان این سرقت بعدها پس از ولخرجی برای خرید خودروهای لوکس، ساعت و املاک و مستغلات دستگیر شدند.

این رویدادها بر ماهیت متنوع و در حال تکامل حملات مهندسی اجتماعی تأکید می‌کنند:

  • تعویض سیم‌کارت (SIM Swapping): یک تاکتیک شگفت‌آور رایج که در آن مجرمان یک ارائه‌دهنده خدمات تلفن همراه را متقاعد می‌کنند تا شماره تلفن شما را به دستگاه خودشان منتقل کنند و به کدهای احراز هویت دو مرحله‌ای شما دسترسی پیدا کنند. این روش به طور مشهور برای هک حساب کاربری X کمیسیون بورس و اوراق بهادار آمریکا (SEC) در سال ۲۰۲۴ استفاده شد.
  • فیشینگ و جعل هویت: FBI هشدارهای صریحی در مورد مجرمانی که هویت کارمندان را جعل می‌کنند، از انتقال تماس برای دسترسی به شماره تلفن قربانیان استفاده می‌کنند و کمپین‌های فیشینگ برای جمع‌آوری اطلاعات حساس ایجاد می‌کنند، صادر کرده است.
  • پیشنهادات شغلی مخرب: حتی جویندگان کار نیز در معرض خطر هستند. در یک کمپین، یک شرکت ارز دیجیتال جعلی که توسط گروه هکری Crazy Evil ایجاد شده بود، متقاضیان را فریب داد تا در طی یک فرآیند مصاحبه ساختگی، بدافزاری را که کیف پول‌ها را خالی می‌کند، دانلود کنند.

نکته کلیدی این است که عنصر انسانی اغلب ضعیف‌ترین حلقه در زنجیره امنیت است. همیشه به تماس‌های ناخواسته مشکوک باشید، هویت‌ها را از طریق کانال‌های رسمی تأیید کنید و هرگز اطلاعات حساس خود را به اشتراک نگذارید یا به حساب‌های خود دسترسی ندهید، مهم نیست که شخص مقابل چقدر متقاعدکننده به نظر می‌رسد.

منبع: بر اساس مقاله ارائه شده.

Leave a Comment