ארנקים דיגיטליים כבר אינם מקום בטוח

אם בעבר, אובדן ארנק דיגיטלי נבע לעתים קרובות מחשיפת המפתח הפרטי של משתמשים בטעות, כיום האקרים יצרו כלים ש"עזרו" למשתמשים לתרום את נכסיהם מבלי לדעת זאת.

שני אירועים מתוקשרים אחרונים הממחישים מגמה זו הם הופעתם של הרחבות זדוניות וקמפיינים של APT המכוונים נגד אנשי תעשיית הבלוקצ'יין.

TheHackerNews דיווח כי באמצע נובמבר 2025, קהילת האבטחה נדהמה מגילוי תוסף לדפדפן כרום בשם "Safery: Ethereum Wallet". תוסף זה, המחופש לארנק את'ריום מאובטח וגמיש, הוא למעשה "מכונת מציצת דם" מעוצבת ומתוחכמת.

על פי חוקרי אבטחה של "Safery", תוקפי סייבר משתמשים בטכנולוגיית בלוקצ'יין כדי להסתיר את פשעיהם. באופן ספציפי, כאשר משתמשים מזינים את ביטוי ההתאוששות (ביטוי הזרע) לארנק המזויף הזה, התוכנה הזדונית תצפין ביטוי זה לכתובות ארנק ברשת Sui (בלוקצ'יין Sui).

גילוי של קספרסקי מראה שהם לא תוקפים רק משתמשים רגילים, קבוצת פשיעת הסייבר הידועה לשמצה BlueNoroff (הידועה גם בשם Sapphire Sleet או APT38) פרסה שני קמפיינים חדשים של תקיפה ממוקדת, GhostCall ו-GhostHire, המכוונים ישירות למתכנתים ומנהלים בתחום Web3.

בקמפיין GhostCall, האקרים פנו למטרות דרך טלגרם, והתחזו לקרנות הון סיכון (VC). החלק המפחיד היה ההנדסה החברתית המורכבת: הם הזמינו את הקורבנות להצטרף לפגישות וידאו באתרים מזויפים כמו זום או מיקרוסופט טימס.

בעת השתתפות, הקורבנות יראו סרטונים של משתתפים אחרים. למעשה, אלה אינם דיפפייקס כפי שרבים טועים לחשוב, אלא הקלטות אודיו/וידאו אמיתיות של קורבנות קודמים שנגנבו על ידי האקרים.

"אותנטיות" זו גורמת לקורבנות להוריד את ערנותם ולהוריד בקלות "עדכונים" מזויפים המכילים AppleScript זדוני (עבור macOS) או קבצי הפעלה זדוניים (עבור Windows).

בנוסף, השימוש בקודי QR קיבל צורה חדשה, והוא מטמיע קודי QR בקבצי PDF מצורפים. קבצי PDF אלה מוגנים לעיתים בסיסמה (הסיסמה נשלחת בדוא"ל או בדוא"ל נפרד) כדי לעקוף כלי סריקת וירוסים אוטומטיים.

סריקת קודי QR מאלצת משתמשים להשתמש במכשירים הניידים האישיים שלהם - שלעתים קרובות חסרות את אותן הגנות אבטחה חזקות כמו מחשבים ארגוניים - כדי לגשת לאתרים מזויפים של פישינג.

חוקרי אבטחה בקספרסקי הראו טכניקה בולטת שבה האקרים יוצרים דפי כניסה מזויפים (למשל, התחזות לשירות אחסון pCloud) המסוגלים לתקשר בזמן אמת עם השירות האמיתי באמצעות API.

כאשר משתמש מזין את פרטי ההתחברות וקוד ה-OTP שלו לאתר המזויף, האתר מעביר מיד את הנתונים הללו לשירות האמיתי. אם המידע נכון, ההאקר ישתלט על סשן ההתחברות עוד לפני שהמשתמש יבין זאת.

בנוסף, כדי להימנע מגילוי וניתוח על ידי מסנני אבטחה לאתרי פישינג, האקרים הקימו "שרשראות אימות". כאשר משתמשים לוחצים על הקישור, הם יצטרכו לעבור דרך שכבות רבות של קודי אימות CAPTCHA או דפי אימות מזויפים לפני שהם מגיעים לדף היעד (דף כניסה מזויף של גוגל/מיקרוסופט). זה גם מסנן בוטים של אימות אוטומטי וגם יוצר תחושה כוזבת של אמון בקרב המשתמשים שהאתר מאובטח לחלוטין.

הסכנות של פישינג מוגברות על ידי מודל ה"פישינג כשירות", כפי שמעידה התביעה האחרונה של גוגל נגד ההאקרים שמאחורי פלטפורמת Lighthouse.

עבור משקיעים, העצה "אל תשתפו את המפתחות הפרטיים שלכם" כבר אינה מספיקה. מומחי קספרסקי אומרים שבדיקה מדוקדקת של מקור הסיומות, זהירות מפני הזמנות לפגישות מקוונות או הצעות עבודה בלתי צפויות, והיזהר מבקשות התחברות ממיילים (אפילו עם הגנת PDF או CAPTCHA) הן מיומנויות הישרדות חובה בעידן הדיגיטלי המלא במלכודות.

מקור: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html