کیف پول‌های دیجیتال دیگر جای امنی نیستند

اگر در گذشته، از دست دادن کیف پول دیجیتال اغلب به دلیل افشای تصادفی کلید خصوصی کاربران بود، اکنون هکرها ابزارهایی ایجاد کرده‌اند تا به کاربران «کمک» کنند دارایی‌های خود را بدون اطلاع خودشان اهدا کنند.

دو حادثه اخیر که این روند را نشان می‌دهند، ظهور افزونه‌های مخرب و کمپین‌های APT هستند که پرسنل صنعت بلاکچین را هدف قرار می‌دهند.

TheHackerNews گزارش داد که در اواسط نوامبر ۲۰۲۵، جامعه امنیتی از کشف یک افزونه مرورگر کروم به نام "Safery: Ethereum Wallet" شوکه شد. این افزونه که در ظاهر یک کیف پول اتریوم امن و انعطاف‌پذیر است، در واقع یک "ماشین مکنده خون" با طراحی پیچیده است.

به گفته محققان امنیتی "Safery"، مهاجمان سایبری از فناوری بلاکچین برای پنهان کردن جرایم خود استفاده می‌کنند. به طور خاص، هنگامی که کاربران عبارت بازیابی (عبارت بازیابی) را در این کیف پول جعلی وارد می‌کنند، بدافزار آن عبارت را در آدرس‌های کیف پول در شبکه سوئی (بلاک چین سوئی) رمزگذاری می‌کند.

کشفیات کسپرسکی نشان می‌دهد که آنها نه تنها به کاربران عادی حمله می‌کنند، بلکه گروه جرایم سایبری بدنام BlueNoroff (که با نام Sapphire Sleet یا APT38 نیز شناخته می‌شود) دو کمپین حمله هدفمند جدید به نام‌های GhostCall و GhostHire را مستقر کرده است که مستقیماً برنامه‌نویسان و مدیران اجرایی در حوزه Web3 را هدف قرار داده‌اند.

در کمپین GhostCall، هکرها از طریق تلگرام و با جعل هویت سرمایه‌گذاران خطرپذیر (VC) به اهداف خود نزدیک شدند. بخش ترسناک ماجرا، مهندسی اجتماعی پیچیده‌ای بود: آنها قربانیان را دعوت می‌کردند تا به جلسات ویدیویی در وب‌سایت‌های جعلی مانند Zoom یا Microsoft Teams بپیوندند.

هنگام شرکت، قربانیان ویدیوهای سایر شرکت‌کنندگان را مشاهده می‌کنند. در واقع، این‌ها آنطور که بسیاری از مردم به اشتباه تصور می‌کنند، دیپ‌فیک نیستند، بلکه ضبط‌های صوتی/تصویری واقعی از قربانیان قبلی هستند که توسط هکرها به سرقت رفته‌اند.

این «اصالت» باعث می‌شود قربانیان احتیاط خود را کنار بگذارند و به راحتی «به‌روزرسانی‌های» جعلی حاوی AppleScript مخرب (برای macOS) یا فایل‌های اجرایی مخرب (برای ویندوز) را دانلود کنند.

علاوه بر این، استفاده از کدهای QR شکل جدیدی به خود گرفته است و آن جاسازی کدهای QR در پیوست‌های PDF است. این فایل‌های PDF گاهی اوقات با رمز عبور محافظت می‌شوند (رمز عبور از طریق ایمیل یا یک ایمیل جداگانه ارسال می‌شود) تا از ابزارهای اسکن خودکار ویروس عبور کنند.

اسکن کدهای QR کاربران را مجبور می‌کند از دستگاه‌های تلفن همراه شخصی خود - که اغلب فاقد همان محافظت‌های امنیتی قوی مانند رایانه‌های شرکتی هستند - برای دسترسی به سایت‌های جعلی و فیشینگ استفاده کنند.

محققان امنیتی در کسپرسکی یک تکنیک قابل توجه را نشان دادند که در آن هکرها صفحات ورود جعلی (مثلاً جعل هویت سرویس ذخیره‌سازی pCloud) ایجاد می‌کنند که قادر به تعامل بلادرنگ با سرویس واقعی از طریق API هستند.

وقتی کاربری اطلاعات ورود و کد OTP خود را در سایت جعلی وارد می‌کند، سایت بلافاصله آن داده‌ها را به سرویس واقعی ارسال می‌کند. اگر اطلاعات صحیح باشد، هکر قبل از اینکه کاربر حتی متوجه شود، جلسه ورود را در دست می‌گیرد.

علاوه بر این، برای جلوگیری از شناسایی و تجزیه و تحلیل توسط فیلترهای امنیتی برای وب‌سایت‌های فیشینگ، هکرها "زنجیره‌های تأیید" راه‌اندازی کرده‌اند. وقتی کاربران روی لینک کلیک می‌کنند، باید از لایه‌های زیادی از کدهای تأیید هویت CAPTCHA یا صفحات تأیید جعلی عبور کنند تا به صفحه مقصد (صفحه ورود جعلی گوگل/مایکروسافت) برسند. این کار هم ربات‌های تأیید خودکار را فیلتر می‌کند و هم حس اعتماد کاذبی را برای کاربران ایجاد می‌کند که وب‌سایت کاملاً امن است.

خطرات فیشینگ توسط مدل «فیشینگ به عنوان سرویس» تشدید می‌شود، همانطور که در دادخواست اخیر گوگل علیه هکرهای پشت پلتفرم Lighthouse مشهود است.

برای سرمایه‌گذاران، توصیه‌ی «کلیدهای خصوصی خود را به اشتراک نگذارید» دیگر کافی نیست. کارشناسان کسپرسکی می‌گویند بررسی دقیق منشأ افزونه‌ها، احتیاط در مورد هرگونه دعوت‌نامه‌ی جلسات آنلاین یا پیشنهادهای شغلی غیرمنتظره و احتیاط در مورد درخواست‌های ورود از طریق ایمیل (حتی با محافظت PDF یا CAPTCHA) از مهارت‌های ضروری برای بقا در این عصر دیجیتال پر از تله است.

منبع: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html