Загроза соціальної інженерії для безпеки активів, користувачі Coinbase стали основними жертвами

У останні роки соціальна інженерія стала серйозною загрозою для безпеки активів користувачів у сфері шифрування. З 2025 року почастішали випадки шахрайства через соціальну інженерію, спрямовані на користувачів певної торгової платформи, що викликало широкий резонанс. З обговорень у спільноті видно, що ці випадки не є поодинокими, а є типом шахрайства, що має стійкі та організовані характеристики.

15 травня одна з торгових платформ опублікувала оголошення, у якому підтвердила раніше висловлені припущення про наявність "внутрішнього зрадника" в компанії. Відомо, що Міністерство юстиції США розпочало розслідування з приводу цього витоку даних.

Ця стаття розкриє основні методи злочинців, організувавши інформацію, надану кільком дослідникам безпеки та жертвам, а також розгляне, як ефективно реагувати на такі схеми з двох точок зору: платформи та користувача.

Історичний аналіз

Ланцюговий детектив Зак у комунікаційному оновленні 7 травня зазначив: "Лише за минулий тиждень ще понад 45 мільйонів доларів було вкрадено від користувачів певної торгової платформи через соціальну інженерію."

Протягом минулого року Зак неодноразово розкривав випадки крадіжок у користувачів цієї платформи, і збитки окремих жертв сягали десятків мільйонів доларів. У лютому 2025 року він опублікував детальне розслідування, в якому зазначено, що лише з грудня 2024 року по січень 2025 року загальна сума коштів, вкрадених через подібні шахрайства, перевищила 65 мільйонів доларів, і розкрив, що платформа стикається з серйозною кризою "соціальної інженерії", яка продовжує завдавати шкоди безпеці активів користувачів на рівні 300 мільйонів доларів на рік. Він також зазначив:

• Групи, які ведуть такі шахрайства, в основному поділяються на два типи: один тип - це низькорівневі нападники з певних кіл, інший тип - це кіберзлочинні організації, які знаходяться в Індії;
• Цільові групи шахраїв в основному націлені на користувачів США, методи злочинів стандартизовані, а процеси спілкування - зрілі;
• Фактична сума збитків може бути значно вищою за статистику, доступну в ланцюзі, оскільки не враховує недоступну інформацію, таку як заявки до служби підтримки та записи про кримінальні справи в поліції.

Метод шахрайства

У цьому інциденті технічна система платформи не була зламаною, зловмисники скористалися правами внутрішніх співробітників, щоб отримати частину чутливої інформації користувачів. Ця інформація включає: ім'я, адресу, контактні дані, дані облікового запису, фотографії посвідчення особи тощо. Кінцевою метою зловмисників було використання соціальних інженерних методів для підштовхування користувачів до переказу грошей.

Цей тип атаки змінив традиційні методи "розкидання мережі" у фішингу, а натомість перейшов до "точкового удару", що можна назвати "індивідуально налаштованим" соціальним шахрайством. Типовий шлях злочину виглядає наступним чином:

1. Зв'язатися з користувачем від імені "офіційної служби підтримки"

Шахраї використовують підроблені телефонні системи, щоб видавати себе за службу підтримки платформи, телефонують користувачам і стверджують, що їх "рахунок зазнав незаконного входу" або "виявлено аномалію при виведенні коштів", створюючи термінову атмосферу. Вони потім надсилають фальшиві фішингові електронні листи або SMS, які містять неправдиві номери заявок або посилання на "процес відновлення", і спонукають користувачів до дій. Ці посилання можуть вказувати на клонований інтерфейс платформи, навіть можуть надсилати електронні листи, які, здається, походять з офіційного домену, частина електронних листів використовує техніку перенаправлення для обходу засобів безпеки.

2. Спрямування користувачів на завантаження певного гаманця

Шахраї будуть підштовхувати користувачів до переведення коштів у "безпечний гаманець" під приводом "захисту активів", а також допомагатимуть користувачам встановлювати певні гаманці та вказуватимуть їм, як перевести активи, які раніше зберігалися на платформі, у новостворений гаманець.

3. Спонукати користувачів використовувати мнемонічні фрази, надані шахраями

На відміну від традиційного "викрадення мнемонічних фраз", шахраї безпосередньо надають набір власноруч згенерованих мнемонічних фраз, спокушаючи користувачів використовувати їх як "офіційний новий гаманець".

4.Шахраї вчиняють крадіжку коштів

Жертви, перебуваючи в напрузі, тривозі та довіряючи "сервісу підтримки", легко потрапляють у пастку. Для них "новий гаманець, наданий офіційно" природно є безпечнішим, ніж "старий гаманець, який, ймовірно, було зламано". В результаті, як тільки кошти переводяться на цей новий гаманець, шахраї можуть одразу ж їх забрати. Ідея "не твоє – значить, не твоє" знову жорстоко підтверджується.

Крім того, деякі фішингові листи стверджують, що "у зв'язку з рішенням колективного позову, платформа повністю перейде на самостійні гаманці", і вимагають від користувачів завершити переміщення активів до 1 квітня. Користувачі під тиском термінових строків і психологічного натяку "офіційної інструкції" легше піддаються маніпуляціям.

За словами дослідників безпеки, ці атаки зазвичай організовано плануються та реалізуються:

• Поліпшення інструментів шахрайства: шахраї використовують спеціалізовані системи для підробки номерів телефону, імітуючи дзвінки офіційної служби підтримки. При надсиланні фішингових електронних листів вони використовують ботів на соціальних платформах для підробки офіційних електронних адрес, додаючи "посібник з відновлення рахунку", щоб направити на переказ.
• Точна мета: шахраї, спираючись на вкрадені дані користувачів, які були придбані через комунікаційні канали та темну мережу, намагаються націлитися на користувачів з США як основну мету, навіть використовуючи AI для обробки вкрадених даних, розбиваючи та реорганізовуючи номери телефонів, масово генеруючи текстові файли, а потім надсилаючи смс-розсилки через програми для злому.
• Процес шахрайства безперервний: від дзвінків, смс до електронної пошти, шлях шахрайства зазвичай безшовний, поширені фрази для фішингу включають "рахунок отримав запит на виведення коштів", "пароль було скинуто", "рахунок має аномальне входження" тощо, постійно спонукаючи жертву до "перевірки безпеки", поки не буде завершено переказ коштів.

Аналіз на ланцюгу

Ми провели аналіз деяких адрес шахраїв і виявили, що ці шахраї мають досить сильні можливості для операцій в мережі, нижче наведено деяку ключову інформацію:

Зловмисники націлені на різноманітні активи, що належать користувачам, активність цих адрес зосереджена на період з грудня 2024 року по травень 2025 року, при цьому основними цілями активів є BTC та ETH. BTC є нині найбільшою метою шахрайства, кілька адрес одночасно отримують прибуток в кілька сотень BTC, а одна транзакція має вартість кілька мільйонів доларів.

Після отримання коштів шахраї швидко використовують набір процесів для очищення активів, обмінюючи та переміщуючи їх. Основна модель така:

• Активи класу ETH зазвичай швидко обмінюються на DAI або USDT через певний DEX, потім розподіляються на кілька нових адрес, частина активів потрапляє на централізовану торговельну платформу;

• BTC головним чином переноситься через кросчейн-міст до Ефіру, після чого обмінюється на DAI або USDT, щоб уникнути ризиків відстеження.

Кілька шахрайських адрес залишаються в "сплячому" стані після отримання DAI або USDT і ще не були виведені.

Щоб уникнути взаємодії своєї адреси з підозрілими адресами та ризику замороження активів, рекомендується користувачам перед проведенням угоди перевірити цільову адресу на ризик, щоб ефективно уникнути потенційних загроз.

Заходи

платформа

Наразі основні засоби безпеки більше зосереджені на "технічному рівні" захисту, тоді як соціальна інженерія часто обходить ці механізми, безпосередньо вражаючи психологічні та поведінкові вразливості користувачів. Тому рекомендується платформам інтегрувати освіту користувачів, навчання безпеці та дизайн зручності, створюючи систему безпеки, орієнтовану на людину.

• Регулярна відправка освітнього контенту з боротьби з шахрайством: через спливаючі вікна в додатку, інтерфейс підтвердження транзакцій, електронну пошту та інші канали для підвищення здатності користувачів захищатися від фішингових атак;
• Оптимізація моделей управління ризиками, впровадження "інтерактивного виявлення аномальної поведінки": більшість соціальних шахрайств спонукають користувачів протягом короткого часу виконати ряд дій (таких як переказ, зміна білого списку, прив'язка пристроїв тощо). Платформа повинна на основі моделі поведінкових ланцюгів виявляти підозрілі комбінації взаємодій (таких як "часті взаємодії + нова адреса + великі зняття"), що викликає період охолодження або механізм ручного перегляду.
• Уніфікація каналів обслуговування клієнтів та механізмів верифікації: шахраї часто видають себе за обслуговування клієнтів, щоб ввести в оману користувачів. Платформа повинна уніфікувати телефонні, SMS та електронні шаблони, а також надати "вхід для верифікації обслуговування клієнтів", чітко визначивши єдиний офіційний канал комунікації, щоб уникнути плутанини.

користувач

• Реалізація стратегії ізоляції ідентифікації: уникайте використання однієї й тієї ж електронної пошти та номера телефону на кількох платформах, зменшуючи ризик спільної відповідальності; можна використовувати інструменти перевірки витоків для регулярної перевірки, чи була електронна пошта скомпрометована.

• Увімкніть білий список переказів та механізм охолодження для виведення: попередньо встановлені надійні адреси зменшують ризик втрати коштів у екстрених ситуаціях.

• Постійно стежте за новинами безпеки: через безпекові компанії, медіа, торгові платформи та інші канали дізнавайтеся про останні тенденції атак, залишайтеся насторожі. Наразі кілька безпекових агентств готують платформу для симуляції фішингу Web3, яка незабаром запрацює. Ця платформа імітуватиме різні типові методи фішингу, включаючи соціальне інженерство, фішинг підпису, взаємодію з шкідливими контрактами тощо, а також поєднуватиме історичні приклади, постійно оновлюючи вміст сценаріїв. Це дозволить користувачам підвищити свої навички розпізнавання та реагування в безризиковому середовищі.

• Зверніть увагу на ризики в офлайні та захист приватності: витік особистої інформації також може спричинити проблеми з безпекою особи.

Це не є безпідставними хвилюваннями, з початку року працівники/користувачі шифрування стикалися з кількома випадками загрози особистій безпеці. З огляду на те, що в даних, що були витоку, міститься інформація, така як ім’я, адреса, контактні дані, дані облікового запису, фотографії паспорта тощо, відповідні користувачі також повинні підвищити обережність у реальному житті та звернути увагу на безпеку.

У підсумку, зберігайте скептицизм, постійно перевіряйте. Усі термінові операції вимагають, щоб ви обов'язково просили іншу сторону підтвердити свою особу та незалежно перевірити через офіційні канали, щоб уникнути прийняття незворотних рішень під тиском.

Підсумок

Ця подія знову виявила очевидні недоліки в захисті даних клієнтів та активів в умовах все більш зрілих методів соціальної інженерії. Варто звернути увагу на те, що навіть якщо відповідні посади платформи не мають доступу до коштів, їх недостатня обізнана та неспроможність можуть призвести до серйозних наслідків через ненавмисне витікання інформації або вербування. З розширенням обсягу платформи, складність контролю безпеки персоналу зростає, що стало одним з найскладніших ризиків у галузі. Таким чином, платформа повинна не лише зміцнювати механізми безпеки на ланцюгу, але й системно будувати "систему захисту від соціальної інженерії", яка охоплює внутрішній персонал та аутсорсингові послуги, включаючи людські ризики в загальну стратегію безпеки.

Крім того, як тільки буде виявлено, що атака не є ізольованою подією, а є організованою, масованою та постійною загрозою, платформа повинна терміново реагувати, активно перевіряти потенційні вразливості, попереджати користувачів про запобігання та контролювати масштаби збитків. Тільки завдяки двосторонньому реагуванню на технічному та організаційному рівнях можна насправді зберегти довіру та межі в дедалі складнішому середовищі безпеки.