क्रिप्टो में सोशल इंजीनियरिंग अटैक: अपने आप को कैसे सुरक्षित रखें

सोशल इंजीनियरिंग लोगों को ऐसी कार्रवाई करने के लिए हेरफेर करने की कला है जो उनकी सुरक्षा को नुकसान पहुंचाती है। क्रिप्टोकरेंसी में, सोशल इंजीनियरिंग सभी तकनीकी सुरक्षा उपायों को दरकिनार कर देती है — सबसे मजबूत क्रिप्टोग्राफिक कुंजी, सबसे सुरक्षित हार्डवेयर वॉलेट, और सबसे मजबूत एक्सचेंज सुरक्षा सभी बेकार हैं अगर मालिक को एक्सेस सौंपने के लिए धोखा दिया जा सकता है।

सोशल इंजीनियरिंग सॉफ्टवेयर कमजोरियों का दुरुपयोग नहीं करती है। यह मानव मनोविज्ञान का दुरुपयोग करती है: विश्वास, भय, आवश्यकता, लालच, सहायकता, और प्राधिकार। इन रणनीति को समझना सबसे महत्वपूर्ण सुरक्षा निवेश है जो आप कर सकते हैं, क्योंकि कोई भी तकनीकी समाधान एक परिष्कृत सोशल इंजीनियरिंग अटैक से पूरी तरह सुरक्षा नहीं दे सकता है।

क्रिप्टो में सोशल इंजीनियरिंग प्रभावी क्यों है

क्रिप्टोकरेंसी इकोसिस्टम की कई विशेषताएं इसे सोशल इंजीनियरिंग के प्रति विशेष रूप से कमजोर बनाती हैं:

अपरिवर्तनीय लेनदेन — एक बार क्रिप्टोकरेंसी भेज दी जाने के बाद, इसे उलटा नहीं किया जा सकता। बैंक को कॉल करने के लिए या चार्जबैक दाखिल करने के लिए कोई नहीं है।
छद्म नाम पहचान — नकली पहचान बनाना, दूसरों का अनुकरण करना और गुमनाम रूप से काम करना आसान है।
तकनीकी जटिलता — कई उपयोगकर्ता पूरी तरह से नहीं समझते कि उनके वॉलेट, कुंजी, और लेनदेन कैसे काम करते हैं, जिससे वे हमलावरों से "विशेषज्ञ" मार्गदर्शन के प्रति ग्रहणशील हो जाते हैं।
उच्च मूल्य, उच्च भावना — लोग अपनी वित्तीय संपत्ति के बारे में भावुक हो जाते हैं, खासकर बाजार की अस्थिरता के दौरान, जिससे वे हेराफेरी के लिए अधिक संवेदनशील हो जाते हैं।
विकेंद्रीकृत समर्थन — Bitcoin या Ethereum के लिए कोई केंद्रीय ग्राहक सेवा नहीं है। उपयोगकर्ता सामुदायिक मंचों में सहायता खोजते हैं, जहां हमलावर प्रतीक्षा करते हैं।
साझा करने की संस्कृति — क्रिप्टो समुदाय अक्सर खुले और सहयोगी होते हैं, जिससे हमलावरों को विश्वास बनाने के अवसर मिलते हैं।

सोशल इंजीनियरिंग अटैक की श्रेणियां

1. नकली प्रतिनिधित्व

हमलावर किसी ऐसे व्यक्ति के रूप में दावा करते हैं जिस पर आप भरोसा करते हैं — एक क्रिप्टो प्रोजेक्ट टीम सदस्य, एक्सचेंज समर्थन, वॉलेट डेवलपर, प्रभावशाली, या यहां तक कि एक मित्र।

नकली ग्राहक समर्थन

यह सबसे आम क्रिप्टो सोशल इंजीनियरिंग अटैक है:

आप एक सार्वजनिक मंच पर एक प्रश्न या शिकायत पोस्ट करते हैं (Reddit, Discord, Telegram, Twitter)।
कुछ मिनटों के भीतर, कोई व्यक्ति जो "आधिकारिक समर्थन" होने का दावा करता है, आपसे DM के माध्यम से संपर्क करता है।
वे एक पेशेवर दिखने वाला जवाब देते हैं और आपसे एक लिंक का उपयोग करके "अपने वॉलेट को सत्यापित" या "अपने खाते को सिंक" करने के लिए कहते हैं।
लिंक एक फिशिंग साइट की ओर जाता है जो आपके seed phrase या क्रेडेंशियल्स को कैप्चर करता है।

वास्तविक उदाहरण: 2020 में Ledger के ग्राहक डेटाबेस लीक के बाद, उपयोगकर्ताओं को हमलावरों से ईमेल और DM प्राप्त हुए जो Ledger समर्थन का अनुकरण कर रहे थे, दावा कर रहे थे कि एक "सुरक्षा अपडेट" आवश्यक था और उपयोगकर्ताओं को एक फिशिंग साइट की ओर निर्देशित कर रहे थे जो उनके 24-शब्द रिकवरी फ्रेज के लिए पूछा।

प्रोजेक्ट टीम नकली प्रतिनिधित्व

हमलावर सोशल मीडिया खाते बनाते हैं जो वास्तविक प्रोजेक्ट संस्थापकों या टीम सदस्यों की निकटता से नकल करते हैं:

समान उपयोगकर्ता नाम (अतिरिक्त अंडरस्कोर, बड़ा I लोअरकेस l की जगह)।
कॉपी किया गया प्रोफाइल चित्र और बायो।
उन थ्रेड्स का जवाब देना जहां वास्तविक व्यक्ति सक्रिय है।

वे उपयोगकर्ताओं को DM कर सकते हैं एक्सक्लूसिव टोकन बिक्री, प्रारंभिक एक्सेस, या एयरड्रॉप दावों की पेशकश करते हुए जिनके लिए एक वॉलेट को एक दुर्भावनापूर्ण साइट से कनेक्ट करना आवश्यक है।

मित्र/सहकर्मी नकली प्रतिनिधित्व

अगर एक हमलावर के पास आपके सामाजिक नेटवर्क के बारे में जानकारी है (सोशल मीडिया से, डेटा ब्रीच से, या किसी मित्र के खाते को हैक करने से), तो वे ऐसे किसी को नकल कर सकते हैं जिसे आप जानते हैं:

"अरे, मुझे तुरंत कुछ क्रिप्टो प्राप्त करने की जरूरत है — क्या आप इस पते को 0.5 ETH भेज सकते हैं? मैं कल आपको वापस भुगतान कर दूंगा।"
एक हैक किए गए खाते से सभी संपर्कों को DM भेजना फिशिंग लिंक या फंड अनुरोध के साथ।

2. प्रीटेक्सटिंग

प्रीटेक्सटिंग में लक्ष्य को शामिल करने और जानकारी निकालने के लिए एक काल्पनिक परिदृश्य (एक pretext) बनाना शामिल है:

"आकस्मिक" साझा करना

एक हमलावर एक seed phrase युक्त दिखने वाले संदेश को पोस्ट करता है, यह सुझाव देता है कि उन्होंने गलती से अपने वॉलेट क्रेडेंशियल्स को "आकस्मिक रूप से" प्रकट किया है। जिज्ञासु उपयोगकर्ता जो वॉलेट को एक्सेस करने का प्रयास करते हैं वे पाते हैं कि इसमें फंड हैं लेकिन निकालने के लिए एक लेनदेन शुल्क की आवश्यकता है। जब वे शुल्क भेजते हैं, तो इसे तुरंत हमलावर द्वारा लिया जाता है (वॉलेट एक honeypot है जिसमें एक sweeper bot है)।

सुरक्षा शोधकर्ता Pretext

"मैं एक सुरक्षा शोधकर्ता हूं और मुझे आपके वॉलेट में एक कमजोरी मिली है। मुझे यह सत्यापित करने की जरूरत है कि क्या आप प्रभावित हैं। क्या आप अपने वॉलेट सॉफ्टवेयर संस्करण, व्युत्पत्ति पथ, और अपने पते के पहले कुछ वर्ण साझा कर सकते हैं?"

यह धीरे-धीरे अधिक संवेदनशील अनुरोधों में बढ़ता है, "शोधकर्ता" भूमिका के प्राधिकार का लाभ उठाते हुए।

कानूनी/नियामक Pretext

"यह [नकली सरकारी एजेंसी] है। आपके क्रिप्टोकरेंसी खाते को संदिग्ध गतिविधि के लिए फ्लैग किया गया है। आपको अपने फंड को अनुसंधान के लिए एक सुरक्षित सरकारी होल्डिंग पते में स्थानांतरित करना चाहिए या अभियोजन का सामना करना चाहिए।"

यह कानूनी परिणामों के भय का दुरुपयोग करता है। कोई भी वैध सरकारी एजेंसी कभी भी आपसे क्रिप्टोकरेंसी स्थानांतरित करने के लिए कहेगी।

3. प्रलोभन

प्रलोभन पीड़ित को लुभाने के लिए कुछ वांछनीय प्रदान करता है:

नि:शुल्क टोकन एयरड्रॉप

"500 नि:शुल्क XYZ टोकन प्राप्त करने के लिए अपने वॉलेट को कनेक्ट करें!" कनेक्शन प्रक्रिया एक दुर्भावनापूर्ण स्मार्ट कॉन्ट्रैक्ट अनुमोदन का अनुरोध करती है जो वॉलेट को खाली कर देती है। अनुमोदन अटैक पर विस्तार के लिए हमारी Phishing Prevention guide देखें।

संक्रमित USB ड्राइव

भौतिक प्रलोभन: USB ड्राइव जिनका लेबल "क्रिप्टो वॉलेट बैकअप" या "निजी" है जो सार्वजनिक स्थानों में छोड़ी गई हैं। जब कंप्यूटर में सम्मिलित किया जाता है, तो वे मैलवेयर इंस्टॉल करते हैं जो वॉलेट फाइलों, टेक्स्ट दस्तावेज़ों में seed phrases, और ब्राउज़र एक्सटेंशन डेटा को खोजता है।

नकली नौकरी की पेशकश

"हम एक DeFi विश्लेषक को नियुक्त कर रहे हैं। कृपया मूल्यांकन के लिए हमारा कस्टम ट्रेडिंग प्लेटफॉर्म डाउनलोड करें।" प्लेटफॉर्म में मैलवेयर है। इसका उपयोग उच्च-प्रोफाइल अटैक में किया गया है, जिसमें Lazarus Group की क्रिप्टो फर्मों को लक्षित करना शामिल है।

4. रोमांस और संबंध स्कैम (Pig Butchering)

"Pig butchering" स्कैम दीर्घकालीन सोशल इंजीनियरिंग अटैक हैं जो संबंध निर्माण को निवेश धोखाधड़ी के साथ जोड़ते हैं:

संपर्क — हमलावर एक डेटिंग ऐप, सोशल मीडिया, या मैसेजिंग प्लेटफॉर्म पर संपर्क शुरू करता है। वे एक आकर्षक, सफल व्यक्तित्व प्रस्तुत करते हैं।
संबंध निर्माण — हफ्तों या महीनों में, वे एक वास्तविक-अनुभव संबंध बनाते हैं। वे व्यक्तिगत विवरण साझा करते हैं, रुचि व्यक्त करते हैं, और भावनात्मक लगाव बनाते हैं।
निवेश परिचय — वे क्रिप्टोकरेंसी निवेश में अपनी सफलता का अनौपचारिक उल्लेख करते हैं। वे नकली मुनाफा दिखाते हैं और पीड़ित को निवेश करने के लिए प्रोत्साहित करते हैं।
प्लेटफॉर्म — वे पीड़ित को एक नकली एक्सचेंज या निवेश प्लेटफॉर्म की ओर निर्देशित करते हैं जो नकली रिटर्न दिखाता है। पीड़ित जमा करता है और देखता है कि उनका "बैलेंस" बढ़ता है।
वृद्धि — मुनाफे से प्रोत्साहित होकर, पीड़ित अधिक निवेश करता है — अक्सर पैसे उधार लेते हुए या बचत को समाप्त करते हुए।
बाहर निकलना — जब पीड़ित निकालने की कोशिश करता है, तो प्लेटफॉर्म "कर," "शुल्क," या अतिरिक्त जमा की मांग करता है। अंततः, हमलावर और प्लेटफॉर्म गायब हो जाते हैं।

इन स्कैम से व्यक्तिगत नुकसान सैकड़ों हजार से लेकर लाखों डॉलर तक हो गया है और कुल नुकसान दसियों अरब में है।

चेतावनी के संकेत:

एक ऑनलाइन संपर्क जो अप्रत्याशित रूप से क्रिप्टोकरेंसी निवेश के बारे में बात करता है।
निवेश प्लेटफॉर्म जिन्हें आपने कभी नहीं सुना है असामान्य रूप से उच्च रिटर्न के साथ।
अधिक निवेश करने या जल्दी कार्य करने के लिए दबाव।
अतिरिक्त शुल्क के बिना निकालने में असमर्थता।

5. प्राधिकार का दुरुपयोग

हमलावर कथित प्राधिकार का लाभ उठाते हैं:

नकली एक्सचेंज ईमेल

ईमेल जो एक प्रमुख एक्सचेंज से आते दिख रहे हैं, आपको "संदिग्ध गतिविधि" के बारे में सूचित कर रहे हैं और तत्काल कार्रवाई की आवश्यकता है। आवश्यकता आपकी आलोचनात्मक सोच को ओवरराइड करने के लिए डिज़ाइन की गई है। हमारी Phishing Prevention guide देखें।

कानून प्रवर्तन का अनुकरण

"आपकी क्रिप्टोकरेंसी मनी लॉन्ड्रिंग से जुड़ी है। इसे जांच के दौरान सुरक्षा के लिए इस पते में स्थानांतरित करें।" असली कानून प्रवर्तन इस तरह काम नहीं करती है।

तकनीकी प्राधिकार का दुरुपयोग

"मैं एक ब्लॉकचेन डेवलपर हूं और मैं mempool से देख सकता हूं कि आपके वॉलेट में एक कमजोरी है। आपको तुरंत अपने फंड को एक नए वॉलेट में स्थानांतरित करने की जरूरत है। मैं आपको इसके माध्यम से मार्गदर्शन करूंगा।"

6. $5 Wrench अटैक

शारीरिक जबरदस्ती — हिंसा की धमकी देना या वास्तव में इसे आपके seed phrase या फंड को स्थानांतरित करने के लिए प्रकट करने के लिए बाध्य करने के लिए उपयोग करना। यह सोशल इंजीनियरिंग का सबसे सीधा रूप है।

प्रतिसाध्य:

Plausible deniability — एक BIP-39 passphrase का उपयोग करें ताकि आधार वॉलेट में केवल एक छोटी decoy राशि हो। जबरदस्ती के तहत, seed phrase को passphrase के बिना प्रकट करें।
बहु-हस्ताक्षर — यदि खर्च के लिए विभिन्न स्थानों में संग्रहीत कई कुंजी की आवश्यकता है, तो आप एकतरफा रूप से स्वचालित रूप से हस्ताक्षर नहीं कर सकते।
समय-लॉक किए गए लेनदेन — कुछ सेटअप बड़े लेनदेन के लिए एक प्रतीक्षा अवधि की आवश्यकता करते हैं, जिससे हस्तक्षेप के लिए समय मिलता है।
सार्वजनिक रूप से अपनी होल्डिंग का खुलासा न करें — सर्वोत्तम बचाव लक्ष्य के रूप में पहचाना नहीं जाना है।

शोषित मनोवैज्ञानिक सिद्धांत

हमलावर जो मनोवैज्ञानिक ट्रिगर का दुरुपयोग करते हैं, उन्हें समझने से आप पहचान सकते हैं कि वे आपके खिलाफ कब उपयोग किए जा रहे हैं:

आवश्यकता

"अभी कार्य करें या अपने फंड खो दें।" "यह ऑफर 10 मिनट में समाप्त हो जाता है।" "आपका खाता 24 घंटों में लॉक हो जाएगा।"

आवश्यकता विचार-विमर्श को अल्प-परिपथ करती है। वैध कंपनियां आपको तत्काल सुरक्षा निर्णय लेने के लिए बाध्य नहीं करती हैं।

प्राधिकार

"मैं [एक्सचेंज] सुरक्षा टीम से हूं।" "एक Ledger समर्थन इंजीनियर के रूप में, मुझे..."

लोग कथित प्राधिकार आंकड़ों के साथ अधिक आसानी से अनुपालन करते हैं। हमेशा स्वतंत्र चैनलों के माध्यम से प्राधिकार को सत्यापित करें।

पारस्परिकता

एक हमलावर पहले कुछ मूल्यवान (सहायक जानकारी, एक छोटा उपहार, एक नि:शुल्क सेवा) प्रदान करता है, एक दायित्व की भावना बनाता है जिसे वे बाद में दुरुपयोग करते हैं।

दुर्लभता

"इस एक्सक्लूसिव presale में केवल 100 स्पॉट।" "सीमित-समय whitelist अवसर।"

कृत्रिम दुर्लभता लापता होने का डर (FOMO) बनाती है, आवेग निर्णय चलाती है।

सामाजिक प्रमाण

"समूह में सभी निवेश कर रहे हैं।" "ये प्रशंसापत्र देखें।" "1000 लोग पहले से दावा कर चुके हैं।"

लोग दूसरों के कथित कार्यों का अनुसरण करते हैं। प्रशंसापत्र और समूह दबाव क्रिप्टो में आसानी से सुसज्जित हैं।

पसंद

लोग उन लोगों के अनुरोधों के साथ अधिक आसानी से अनुपालन करते हैं जिन्हें वे पसंद करते हैं। यह है कि रोमांस स्कैम इतने प्रभावी क्यों हैं — पीड़ित वास्तव में हमलावर को पसंद करते हैं और विश्वास करते हैं।

संगति

एक बार जब आप कुछ छोटा (एक समूह में शामिल होना, एक छोटा निवेश करना) के लिए प्रतिबद्ध हो जाते हैं, तो हमलावर वृद्धि करते हैं, आपकी पिछली कार्यों के साथ सुसंगत होने की आपकी इच्छा का दुरुपयोग करते हुए।

बचाव रणनीति

1. सत्यापन सिद्धांत

किसी भी अनुरोध पर कार्य करने से पहले कभी भी स्वतंत्र रूप से स्रोत को सत्यापित न करें:

कोई DM आपको दावा करता है कि वह एक्सचेंज समर्थन है? अपने बुकमार्क के माध्यम से सीधे एक्सचेंज में लॉगिन करें और आधिकारिक चैनल के माध्यम से समर्थन से संपर्क करें।
एक ईमेल आपको अपने खाते को सुरक्षित करने के लिए कहता है? सीधे एक्सचेंज पर नेविगेट करें (ईमेल लिंक पर क्लिक न करें) और अपनी खाता स्थिति की जांच करें।
एक "मित्र" क्रिप्टो के लिए पूछता है? उन्हें उनके ज्ञात फोन नंबर पर कॉल करके सत्

क्रिप्टो में सोशल इंजीनियरिंग प्रभावी क्यों है​

सोशल इंजीनियरिंग अटैक की श्रेणियां​

1. नकली प्रतिनिधित्व​

नकली ग्राहक समर्थन​

प्रोजेक्ट टीम नकली प्रतिनिधित्व​

मित्र/सहकर्मी नकली प्रतिनिधित्व​

2. प्रीटेक्सटिंग​

"आकस्मिक" साझा करना​

सुरक्षा शोधकर्ता Pretext​

कानूनी/नियामक Pretext​

3. प्रलोभन​

नि:शुल्क टोकन एयरड्रॉप​

संक्रमित USB ड्राइव​

नकली नौकरी की पेशकश​

4. रोमांस और संबंध स्कैम (Pig Butchering)​

5. प्राधिकार का दुरुपयोग​

नकली एक्सचेंज ईमेल​

कानून प्रवर्तन का अनुकरण​

तकनीकी प्राधिकार का दुरुपयोग​

6. $5 Wrench अटैक​

शोषित मनोवैज्ञानिक सिद्धांत​

आवश्यकता​

प्राधिकार​

पारस्परिकता​

दुर्लभता​

सामाजिक प्रमाण​

पसंद​

संगति​

बचाव रणनीति​

1. सत्यापन सिद्धांत​