Ataques de engenharia social ameaçam a segurança do ativo encriptado, usuários da Coinbase tornam-se as principais vítimas

Nos últimos anos, os ataques de engenharia social tornaram-se uma ameaça significativa à segurança do ativo dos usuários no campo da encriptação. Desde 2025, eventos de fraudes de engenharia social direcionados a usuários de uma determinada plataforma de negociação têm ocorrido com frequência, gerando ampla atenção. A partir das discussões na comunidade, é evidente que esses eventos não são casos isolados, mas sim um tipo de golpe com características de continuidade e organização.

No dia 15 de maio, uma plataforma de negociação publicou um anúncio confirmando as especulações anteriores sobre a existência de "traidores" dentro da plataforma. Segundo informações, o Departamento de Justiça dos EUA já iniciou uma investigação sobre este incidente de vazamento de dados.

Este artigo irá divulgar os principais métodos de atuação dos golpistas, organizando informações fornecidas por vários pesquisadores de segurança e vítimas, e explorar como lidar eficazmente com esses tipos de fraudes a partir das perspectivas da plataforma e do usuário.

Análise Histórica

O detetive on-line Zach afirmou na atualização de comunicação de 7 de maio: "Apenas na última semana, mais de 45 milhões de dólares foram roubados de usuários de uma plataforma de negociação devido a fraudes de engenharia social."

No último ano, Zach revelou várias vezes os incidentes de roubo de usuários da plataforma, com perdas individuais de vítimas que chegaram a dezenas de milhões de dólares. Em fevereiro de 2025, ele publicou uma investigação detalhada afirmando que, apenas entre dezembro de 2024 e janeiro de 2025, o total de fundos roubados devido a golpes semelhantes já superou os 65 milhões de dólares, e revelou que a plataforma está enfrentando uma grave crise de "fraude social". Esses ataques continuam a afetar a segurança do ativo dos usuários a um ritmo anual de 300 milhões de dólares. Ele também apontou:

• Os grupos que lideram este tipo de fraude dividem-se principalmente em duas categorias: uma é composta por atacantes de baixo nível provenientes de círculos específicos, enquanto a outra é formada por organizações de cibercrime localizadas na Índia;
• Os alvos dos ataques dos grupos de fraude são principalmente usuários dos EUA, com métodos de operação padronizados e processos de discurso maduros;
• O valor real da perda pode ser muito superior às estatísticas visíveis na cadeia, pois não inclui informações não públicas, como ordens de serviço de atendimento ao cliente e registros de denúncias policiais que não podem ser obtidos.

Métodos de golpe

Neste incidente, o sistema técnico da plataforma não foi comprometido; os fraudadores utilizaram os privilégios de um funcionário interno para obter algumas informações sensíveis dos usuários. Essas informações incluem: nome, endereço, informações de contato, dados da conta, fotos do cartão de identidade, entre outros. O objetivo final dos fraudadores é utilizar técnicas de engenharia social para induzir os usuários a fazer transferências.

Este tipo de ataque alterou os métodos tradicionais de phishing "em rede" e passou a adotar "ataques direcionados", sendo considerado uma fraude de engenharia social "sob medida". O percurso típico do crime é o seguinte:

1. Contatar o usuário na qualidade de "serviço de apoio ao cliente oficial"

Os golpistas usam sistemas de telefonia falsificados para se passar por atendimento ao cliente da plataforma, ligando para os usuários alegando que "a sua conta sofreu um login ilegal" ou "detetou-se uma anomalia no levantamento", criando uma atmosfera de urgência. Em seguida, enviam e-mails ou mensagens de texto de phishing falsificados, que contêm números de ordem de serviço falsos ou links de "processo de recuperação", e orientam os usuários a agir. Esses links podem apontar para interfaces clonadas da plataforma, e até mesmo enviar e-mails que parecem vir de domínios oficiais, sendo que alguns e-mails utilizam técnicas de redirecionamento para contornar a proteção de segurança.

2. Guiar os usuários a baixar uma carteira específica

Os golpistas irão, sob o pretexto de "proteger ativos", orientar os usuários a transferir fundos para uma "carteira segura", além de ajudar os usuários a instalar carteiras específicas e guiá-los a transferir os ativos que estavam originalmente custodiados na plataforma para uma nova carteira criada.

3. Induzir os usuários a usar a frase mnemônica fornecida pelos golpistas

Ao contrário da tradicional "fraude de roubo de palavras-passe", os golpistas fornecem diretamente um conjunto de palavras-passe geradas por eles, induzindo os usuários a usá-las como "nova carteira oficial".

4. Os golpistas realizam roubo de fundos

As vítimas, sob tensão, ansiedade e confiando no "atendimento ao cliente", são facilmente enganadas. Para elas, a nova carteira "oferecida oficialmente" parece naturalmente mais segura do que a velha carteira "suspeita de ter sido invadida". O resultado é que, assim que os fundos são transferidos para essa nova carteira, os golpistas podem imediatamente desviá-los. O conceito de "não possuído por você não é seu" é mais uma vez brutalmente comprovado.

Além disso, alguns e-mails de phishing afirmam que "devido a uma decisão de ação coletiva, a plataforma será totalmente migrada para carteiras auto-hospedadas", e exigem que os usuários completem a migração dos ativos antes de 1 de abril. Sob a pressão do tempo e a sugestão psicológica de "ordens oficiais", os usuários tendem a cooperar mais facilmente com a operação.

Segundo os investigadores de segurança, esses ataques costumam ser planejados e implementados de forma organizada:

• Ferramenta de fraude aprimorada: os golpistas usam sistemas específicos para falsificar números de telefone e simular chamadas de atendimento ao cliente oficiais. Ao enviar e-mails de phishing, utilizam robôs em plataformas sociais para imitar e-mails oficiais, anexando um "guia de recuperação de conta" para direcionar transferências.
• Alvo preciso: os golpistas utilizam dados de usuários roubados adquiridos através de canais de comunicação e da dark web, focando principalmente em usuários da região dos EUA, e até mesmo utilizam IA para processar os dados roubados, dividindo e reconfigurando números de telefone, gerando em massa arquivos de texto, e depois enviando mensagens de texto fraudulentas através de software de explosão.
• Processo de engano coerente: desde chamadas, mensagens de texto até e-mails, o caminho da fraude geralmente é perfeitamente contínuo. As frases de phishing comuns incluem "o conta recebeu um pedido de retirada", "a senha foi redefinida", "a conta apresentou um login anormal", e assim por diante, induzindo continuamente a vítima a realizar uma "verificação de segurança" até que a transferência da carteira esteja completa.

Análise na cadeia

Analisamos alguns endereços de golpistas e descobrimos que esses golpistas têm uma forte capacidade de operação on-chain, a seguir estão algumas informações-chave:

Os alvos dos ataques dos golpistas abrangem uma variedade de ativos mantidos pelos usuários, com o tempo de atividade desses endereços concentrado entre dezembro de 2024 e maio de 2025. Os ativos-alvo são principalmente BTC e ETH. O BTC é atualmente o principal alvo de fraudes, com vários endereços obtendo lucros de centenas de BTC de uma só vez, com um valor individual de vários milhões de dólares.

Após a obtenção dos fundos, os golpistas rapidamente utilizam um conjunto de processos de lavagem para trocar e transferir os ativos, sendo o modo principal o seguinte:

• Ativos da classe ETH são frequentemente trocados rapidamente por DAI ou USDT através de algum DEX, e então dispersos para vários novos endereços, com parte dos ativos indo para plataformas de negociação centralizadas;

• O BTC é principalmente transferido para o Ethereum através de pontes cross-chain, e depois trocado por DAI ou USDT, evitando riscos de rastreamento.

Vários endereços de fraude permanecem em estado de "inatividade" após receber DAI ou USDT, ainda não foram transferidos.

Para evitar que o seu endereço interaja com endereços suspeitos e enfrente o risco de congelamento de ativos, recomenda-se que os usuários realizem uma verificação de risco no endereço-alvo antes de realizar transações, a fim de evitar eficazmente ameaças potenciais.

Medidas de resposta

plataforma

Atualmente, os principais meios de segurança são mais uma proteção a nível "técnico", enquanto as fraudes sociais muitas vezes contornam esses mecanismos, atingindo diretamente as vulnerabilidades psicológicas e comportamentais dos usuários. Portanto, recomenda-se que a plataforma integre educação do usuário, treinamento de segurança e design de usabilidade, estabelecendo uma linha de defesa de segurança "voltada para as pessoas".

• Envio regular de conteúdos de educação contra fraudes: através de pop-ups da App, interface de confirmação de transações, e-mails, entre outros, para aumentar a capacidade de os usuários se protegerem contra phishing;
• Otimização do modelo de gestão de riscos, introduzindo "Identificação Interativa de Comportamento Anômalo": A maioria das fraudes de engenharia social induz os usuários a completar uma série de operações em um curto período de tempo (como transferências, alterações de lista branca, vinculação de dispositivo, etc.). A plataforma deve identificar combinações interativas suspeitas (como "interações frequentes + novo endereço + grandes retiradas") com base no modelo de cadeia de comportamento, acionando um período de reflexão ou mecanismo de revisão manual.
• Normatizar os canais de atendimento ao cliente e o mecanismo de verificação: os golpistas frequentemente se passam por atendentes para confundir os usuários, a plataforma deve padronizar telefone, SMS, modelos de e-mail e fornecer um "portal de verificação do atendimento ao cliente", esclarecendo o único canal oficial de comunicação para evitar confusões.

usuário

• Implementar uma estratégia de isolamento de identidade: evitar o uso do mesmo e-mail ou número de telefone em várias plataformas, reduzindo o risco de ligação. Pode-se utilizar ferramentas de verificação de vazamentos para checar regularmente se o e-mail foi comprometido.

• Ativar a lista branca de transferências e o mecanismo de resfriamento de retiradas: pré-definir endereços confiáveis para reduzir o risco de perda de fundos em situações de emergência.

• Acompanhe continuamente as informações de segurança: através de empresas de segurança, mídias, plataformas de negociação e outros canais, fique por dentro das últimas dinâmicas das técnicas de ataque e mantenha-se alerta. Atualmente, várias instituições de segurança estão prestes a lançar uma plataforma de simulação de phishing em Web3, que simulará várias técnicas de phishing típicas, incluindo envenenamento social, phishing por assinatura, interações com contratos maliciosos, entre outros, e irá atualizar continuamente o conteúdo dos cenários, com base em casos históricos. Isso permitirá que os usuários aprimorem suas habilidades de reconhecimento e resposta em um ambiente sem riscos.

• Atenção aos riscos offline e à proteção da privacidade: a divulgação de informações pessoais também pode causar problemas de segurança pessoal.

Isto não é um exagero, desde o início do ano, os profissionais/usuários de encriptação já enfrentaram vários incidentes que ameaçam a segurança pessoal. Dado que os dados vazados incluem nomes, endereços, informações de contato, dados de conta, fotos de identificação, os usuários relevantes também devem aumentar a vigilância offline e prestar atenção à segurança.

Em suma, mantenha o ceticismo e continue a verificar. Em caso de operações urgentes, exija sempre que a outra parte prove sua identidade e verifique de forma independente através de canais oficiais, evitando tomar decisões irreversíveis sob pressão.

Resumo

Este evento expôs novamente que, diante das técnicas de engenharia social cada vez mais maduras, a indústria ainda apresenta lacunas significativas na proteção de dados dos clientes e na segurança do ativo. É alarmante que, mesmo que os cargos relevantes da plataforma não possuam autorização para movimentação de fundos, a falta de consciência e capacidade de segurança suficientes pode resultar em sérias consequências devido a vazamentos acidentais ou coações. À medida que a plataforma se expande, a complexidade do controle de segurança do pessoal também aumenta, tornando-se um dos riscos mais difíceis de superar na indústria. Portanto, enquanto a plataforma reforça os mecanismos de segurança on-chain, também deve construir sistematicamente um "sistema de defesa contra a engenharia social" que cubra tanto os funcionários internos quanto os serviços terceirizados, integrando os riscos humanos na estratégia de segurança geral.

Além disso, uma vez que um ataque é identificado como não sendo um evento isolado, mas uma ameaça contínua, organizada e em grande escala, a plataforma deve responder imediatamente, investigando proativamente potenciais vulnerabilidades, alertando os usuários para precauções e controlando a extensão dos danos. Somente com uma resposta dupla em termos técnicos e organizacionais é que se poderá realmente manter a confiança e os limites em um ambiente de segurança cada vez mais complexo.