Угроза социальной инженерии для безопасности активов, пользователи Coinbase стали основными жертвами

В последние годы атаки социальной инженерии стали серьезной угрозой безопасности активов пользователей в области шифрования. С 2025 года случаи мошенничества с использованием социальной инженерии, нацеленные на пользователей одной торговой платформы, стали частыми и привлекли широкое внимание. Из обсуждений в сообществе видно, что такие события не являются единичными случаями, а представляют собой тип мошенничества с устойчивыми и организованными характеристиками.

15 мая одна из торговых платформ опубликовала заявление, подтвердившее ранее появившиеся слухи о наличии "внутреннего предателя" в компании. Известно, что Министерство юстиции США уже начало расследование по факту утечки данных.

В этой статье будет раскрыт основной modus operandi мошенников путем систематизации информации, предоставленной несколькими исследователями безопасности и жертвами, а также с двух точек зрения — платформы и пользователей — будет рассмотрено, как эффективно противодействовать таким мошенничествам.

Исторический анализ

Онлайн-детектив Зак в обновлении сообщений 7 мая заявил: "Всего за последнюю неделю более 45 миллионов долларов были украдены у пользователей с помощью социальной инженерии с одного из торговых платформ."

В прошлом году Зак многократно сообщал о кражах пользователей на этой платформе, ущерб отдельных жертв достигал десятков миллионов долларов. В феврале 2025 года он опубликовал подробное расследование, в котором говорится, что только с декабря 2024 года по январь 2025 года общая сумма украденных средств из-за подобных мошенничеств превышала 65 миллионов долларов, и раскрыл, что платформа сталкивается с серьезной кризисом "социальной инженерии", такие атаки продолжают наносить вред безопасности активов пользователей в масштабах 300 миллионов долларов в год. Он также отметил:

• Группы, ведущие такие мошенничества, в основном делятся на два типа: одна группа состоит из низкоуровневых атакующих из определенных кругов, другая же - из киберпреступных организаций, расположенных в Индии;
• Целями атак мошеннических групп в основном являются пользователи из США, методы преступления стандартизированы, а сценарии общения хорошо отработаны;
• Фактическая сумма убытков может значительно превышать видимую статистику на блокчейне, поскольку не включает в себя недоступную информацию, такую как заявки в службу поддержки и записи о заявлении в полицию.

Методы мошенничества

В этом инциденте техническая система платформы не была взломана, мошенники использовали права внутренних сотрудников для получения части конфиденциальной информации пользователей. Эта информация включает: имя, адрес, контактные данные, данные аккаунта, фотографии удостоверения личности и т.д. Конечная цель мошенников заключается в том, чтобы с помощью социальных инженерных методов склонить пользователей к переводу средств.

Этот тип атаки изменил традиционный метод "распределенной" фишинговой атаки и перешел к "точечным ударам", являясь настоящим "индивидуально подобранным" социальным мошенничеством. Типичный путь совершения преступления выглядит следующим образом:

1. Связаться с пользователем от имени "официальной службы поддержки"

Мошенники используют поддельные телефонные системы, выдавая себя за службу поддержки платформы, и звонят пользователям, утверждая, что их "учетная запись подверглась незаконному входу" или "обнаружены аномалии при выводе средств", создавая атмосферу срочности. Затем они отправляют поддельные фишинговые письма или смс, содержащие ложные номера заявок или ссылки на "процесс восстановления", и направляют пользователей к действиям. Эти ссылки могут вести на клонированные интерфейсы платформы и даже могут отправлять письма, которые выглядят так, будто они приходят с официального домена; часть писем использует технологии перенаправления, чтобы обойти защитные меры.

2. Направьте пользователя на скачивание определенного кошелька

Мошенники будут под предлогом "защиты активов" направлять пользователей на перевод средств в "безопасный кошелек", а также помогать пользователям устанавливать определенные кошельки и указывать им, как перевести активы, которые изначально хранились на платформе, в вновь созданный кошелек.

3. Подтолкнуть пользователей к использованию мнемонической фразы, предоставленной мошенниками

В отличие от традиционного "мошенничества с получением мнемонических фраз", мошенники напрямую предоставляют набор сгенерированных ими мнемонических фраз, побуждая пользователей использовать их в качестве "официального нового кошелька".

4. Мошенники занимаются кражей средств

Жертвы, находясь в напряженном и тревожном состоянии, доверяя "службе поддержки", легко попадают в ловушку. Для них новый кошелек, "предоставленный официально", естественно, оказывается более безопасным, чем "подозрительно взломанный" старый кошелек. В результате, как только средства переводятся в этот новый кошелек, мошенники могут немедленно их вывести. Идея "то, что не контролируешь, не твоё" снова жестоко подтверждается.

Кроме того, некоторые фишинговые письма утверждают, что "в связи с решением коллективного иска, платформа будет полностью перенесена на самоуправляемые кошельки" и требуют от пользователей завершить миграцию активов до 1 апреля. Под давлением времени и под психологическим воздействием "официальной инструкции", пользователи легче соглашаются на действия.

Согласно мнению исследователей безопасности, эти атаки часто планируются и осуществляются организованно:

• Инструменты мошенничества усовершенствованы: мошенники используют специальные системы для подделки номеров вызывающих абонентов, имитируя звонки официальной службы поддержки. При отправке фишинговых писем они используют ботов на социальных платформах для имитации официальных почтовых ящиков, прикладывая "руководство по восстановлению аккаунта", чтобы направить на перевод.
• Точная цель: мошенники, полагаясь на украденные данные пользователей, купленные через коммуникационные каналы и даркнет, нацеливаются в основном на пользователей из США. Они даже могут использовать ИИ для обработки украденных данных, разбивая и перерабатывая номера телефонов, массово создавая текстовые файлы, а затем отправляя смс-рассылки с помощью программ для взлома.
• Процесс обмана последовательный: от звонков, сообщений до писем, мошеннические пути обычно бесшовные. Распространенные фишинговые формулировки включают "Запрос на снятие средств был получен" , "Пароль был сброшен" , "Обнаружен необычный вход в аккаунт" и т.д., постоянно побуждая жертву провести "безопасную проверку", пока не завершится перевод в кошелек.

Анализ на цепи

Мы проанализировали адреса некоторых мошенников и обнаружили, что у этих мошенников есть высокая способность к операциям в блокчейне. Вот некоторые ключевые сведения:

Целями атак мошенников являются пользователи, владеющие различными активами. Время активности этих адресов сосредоточено в период с декабря 2024 года по май 2025 года, основными целевыми активами являются BTC и ETH. BTC является текущей основной целью мошенничества, несколько адресов могут получить прибыль в размере сотен BTC за раз, а одна транзакция может составлять миллионы долларов.

После получения средств мошенники быстро используют набор процессов отмывания для обмена и перевода активов. Основная схема следующая:

• Активы класса ETH часто быстро обмениваются на DAI или USDT через определенный DEX, затем распределяются и переводятся на несколько новых адресов, часть активов попадает на централизованные торговые платформы;

• BTC в основном переносится через кросс-цепочку на Эфириум, а затем обменивается на DAI или USDT, чтобы избежать рисков отслеживания.

Несколько мошеннических адресов остаются в состоянии "покоя" после получения DAI или USDT и еще не были выведены.

Чтобы избежать взаимодействия своего адреса с подозрительными адресами и тем самым столкнуться с риском заморозки активов, рекомендуется пользователям проводить проверку рисков целевого адреса перед сделкой, чтобы эффективно избежать потенциальных угроз.

Меры реагирования

платформа

В настоящее время основные средства безопасности больше ориентированы на защиту на "техническом уровне", в то время как социальная инженерия часто обходит эти механизмы, нацеливаясь на психологические и поведенческие уязвимости пользователей. Поэтому рекомендуется платформам интегрировать обучение пользователей, безопасность тренировок и проектирование удобства в единую систему, создавая "человекоориентированную" линию обороны.

• Регулярная рассылка материалов по обучению борьбе с мошенничеством: повышение способности пользователей к защите от фишинга через всплывающие окна приложения, интерфейс подтверждения транзакций, электронную почту и другие каналы;
• Оптимизация модели управления рисками, внедрение "интерактивного распознавания аномального поведения": большинство социальных инженерных мошенничеств будут в короткие сроки побуждать пользователей выполнять ряд действий (например, перевод средств, изменение белого списка, привязка устройства и т.д.). Платформа должна основывать свою работу на модели поведенческой цепочки для выявления подозрительных взаимодействий (например, "частые взаимодействия + новый адрес + крупный вывод средств"), чтобы инициировать период охлаждения или механизм ручного пересмотра.
• Нормализуйте каналы обслуживания клиентов и механизмы проверки: мошенники часто выдают себя за службу поддержки, чтобы запутать пользователей. Платформа должна унифицировать телефонные, SMS и email шаблоны, а также предоставить "вход для проверки службы поддержки", четко обозначив единственный официальный канал общения, чтобы избежать путаницы.

пользователь

• Реализация стратегии изоляции идентификации: избегайте использования одного и того же адреса электронной почты и номера телефона на нескольких платформах, чтобы снизить сопутствующий риск. Можно регулярно использовать инструменты проверки утечек для проверки, не был ли скомпрометирован адрес электронной почты.

• Включите белый список адресов для переводов и механизм охлаждения для выводов: задайте доверенные адреса, чтобы снизить риск потери средств в экстренных ситуациях.

• Постоянно следите за новостями безопасности: через каналы безопасности, СМИ, торговые платформы и другие источники узнавайте о последних методах атак и оставайтесь бдительными. В настоящее время несколько организаций по безопасности готовят к запуску платформу для симуляции фишинга Web3, которая будет имитировать различные типичные методы фишинга, включая атаки через социальную инженерию, фишинг с подделкой подписей, взаимодействие с вредоносными контрактами и другие, а также будет обновлять содержание сценариев на основе исторических примеров. Это позволит пользователям повысить свою способность к распознаванию и реагированию в среде без риска.

• Обратите внимание на риски оффлайн и защиту конфиденциальности: утечка личной информации также может вызвать проблемы с безопасностью личности.

Это не беспокойство о пустяках. С начала этого года, шифрование работники/пользователи столкнулись с несколькими случаями угрозы личной безопасности. Учитывая, что данные, которые были раскрыты, содержат имена, адреса, контактные данные, данные учетной записи, фотографии удостоверений личности и прочую информацию, соответствующим пользователям следует также проявлять бдительность в оффлайне и обращать внимание на безопасность.

В общем, сохраняйте сомнение и продолжайте проверять. При любых экстренных операциях обязательно требуйте от собеседника подтверждения личности и независимо проверяйте через официальные каналы, чтобы избежать принятия необратимых решений под давлением.

Итоги

Данное событие вновь выявило явные недочеты в защите данных клиентов и активов в условиях все более зрелых методов социальной инженерии. Стоит обратить внимание на то, что даже если соответствующие должности на платформе не имеют финансовых полномочий, недостаток безопасности и осведомленности может привести к серьезным последствиям из-за случайной утечки информации или подкупа. С расширением платформы сложность управления безопасностью персонала возрастает, что стало одной из самых трудных рисков в отрасли. Поэтому, усиливая механизмы безопасности в цепочке, платформа также должна системно создать "систему защиты от социальной инженерии", охватывающую как внутренний персонал, так и внешние услуги, включая человеческие риски в общую стратегию безопасности.

Кроме того, как только будет обнаружено, что атака не является изолированным инцидентом, а представляет собой организованную и масштабную постоянную угрозу, платформа должна немедленно отреагировать, активно проверяя потенциальные уязвимости, предупреждая пользователей о мерах предосторожности и контролируя масштаб ущерба. Только при двойном подходе на техническом и организационном уровнях можно действительно сохранить доверие и соблюдение границ в все более сложной среде безопасности.