การโจมตีด้วยวิศวกรรมสังคมในการเงินดิจิทัล: วิธีการปกป้องตัวเอง

วิศวกรรมสังคมคือศิลปะของการจัดการผู้คนให้ทำการกระทำที่กระทบต่อความปลอดภัยของพวกเขา ในสาขาการเงินดิจิทัล วิศวกรรมสังคมข้ามผ่านมาตรการความปลอดภัยทางเทคนิคทั้งหมด — คีย์ที่เข้ารหัสอย่างแข็งแกร่งที่สุด กระเป๋าเก็บเงินฮาร์ดแวร์ที่ปลอดภัยที่สุด และความปลอดภัยของการแลกเปลี่ยนที่มีประสิทธิภาพมากที่สุด ทั้งหมดนี้จะไร้ค่าหากเจ้าของสามารถถูกหลอกให้มอบการเข้าถึง

วิศวกรรมสังคมไม่ได้เกี่ยวกับการใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ มันใช้ประโยชน์จากจิตวิทยาของมนุษย์: ความเชื่อถือ ความกลัว ความรีบเร่ง ความโลภ ความช่วยเหลือ และอำนาจ การเข้าใจกลวิธีเหล่านี้คือการลงทุนด้านความปลอดภัยที่สำคัญที่สุดที่คุณสามารถทำได้ เพราะไม่มีวิธีแก้ปัญหาทางเทคนิคที่สามารถปกป้องอย่างเต็มที่จากการโจมตีด้วยวิศวกรรมสังคมที่ซับซ้อน

เหตุใดวิศวกรรมสังคมจึงมีประสิทธิผลในการเงินดิจิทัล

ลักษณะเฉพาะหลายประการของระบบนิเวศการเงินดิจิทัลทำให้มีความเสี่ยงต่อวิศวกรรมสังคมเป็นพิเศษ:

ธุรกรรมที่ไม่สามารถกลับไปได้ — เมื่อส่งการเงินดิจิทัลแล้ว ไม่สามารถกลับไปได้ ไม่มีธนาคารให้โทร ไม่มีการคืนเงินให้ยื่น
ตัวตนแบบสมมติตัวอักษร — ง่ายต่อการสร้างตัวตนปลอม ปลอมแปลงผู้อื่น และดำเนินการโดยนิรนามชื่อ
ความซับซ้อนทางเทคนิค — ผู้ใช้งานจำนวนมากไม่เข้าใจอย่างสมบูรณ์ว่ากระเป๋าเก็บเงิน คีย์ และธุรกรรมของพวกเขาทำงานอย่างไร ทำให้พวกเขายอมรับคำแนะนำ "ผู้เชี่ยวชาญ" จากผู้โจมตี
มูลค่าสูง อารมณ์สูง — ผู้คนมีความรู้สึกเรื่องสินทรัพย์ทางการเงินของพวกเขา โดยเฉพาะในช่วงความผันผวนของตลาด ทำให้พวกเขาเสี่ยงต่อการควบคุมจิตใจมากขึ้น
การสนับสนุนที่กระจายตัว — ไม่มีบริการลูกค้าส่วนกลางสำหรับ Bitcoin หรือ Ethereum ผู้ใช้ขอความช่วยเหลือในฟอรัมชุมชน ซึ่งผู้โจมตีรอคอยอยู่
วัฒนธรรมการแบ่งปัน — ชุมชนการเงินดิจิทัลมักจะเปิด และมีความร่วมมือ สร้างโอกาสให้ผู้โจมตีสร้างความเชื่อถือ

หมวดหมู่ของการโจมตีด้วยวิศวกรรมสังคม

1. การปลอมแปลงตัวตน

ผู้โจมตีแอบแนว ปลอมแปลงเป็นคนที่คุณไว้ใจ — สมาชิกทีมโครงการการเงินดิจิทัล การสนับสนุนการแลกเปลี่ยน นักพัฒนากระเป๋าเก็บเงิน ผู้มีอิทธิพล หรือแม้แต่เพื่อน

การสนับสนุนลูกค้าปลอม

นี่คือการโจมตีด้วยวิศวกรรมสังคมการเงินดิจิทัลที่พบบ่อยที่สุด:

คุณโพสต์คำถามหรือข้อร้องเรียนในฟอรัมสาธารณะ (Reddit, Discord, Telegram, Twitter)
ในเวลาไม่กี่นาที มีคนอ้างว่า "การสนับสนุนอย่างเป็นทางการ" ติดต่อคุณผ่าน DM
พวกเขาให้คำตอบที่ดูมืออาชีพและขอให้คุณ "ยืนยันกระเป๋าเก็บเงินของคุณ" หรือ "ซิงค์บัญชีของคุณ" โดยใช้ลิงก์
ลิงก์นำไปยังเว็บไซต์ฟิชชิงที่บันทึก ประโยคเมล็ด หรือข้อมูลประจำตัวของคุณ

ตัวอย่างจริง: หลังจากรั่วไหลของฐานข้อมูลลูกค้าของ Ledger ในปี 2020 ผู้ใช้ได้รับอีเมลและ DM จากผู้โจมตีปลอมแปลงการสนับสนุน Ledger โดยอ้างว่า "การอัปเดตความปลอดภัย" จำเป็น และชี้นำผู้ใช้ไปยังเว็บไซต์ฟิชชิงที่ขอวลีการกู้คืน 24 คำ

การปลอมแปลงทีมโครงการ

ผู้โจมตีสร้างบัญชีสื่อสังคมที่เลียนแบบตัวตนของผู้ก่อตั้งหรือสมาชิกทีมจริงอย่างใกล้ชิด:

ชื่อผู้ใช้ที่คล้ายกัน (ขีดล่างพิเศษ ตัวอักษรตัวพิมพ์ใหญ่ I แทนตัวพิมพ์เล็ก l)
รูปประจำตัวและประวัติที่คัดลอก
ตอบกลับในเธรดซึ่งบุคคลจริงทำงานอยู่

พวกเขาอาจส่ง DM ให้ผู้ใช้ข้อเสนอการขายโทเคนพิเศษ การเข้าถึงแบบเร็ว หรือการอ้างสิทธิ์แอร์ดรอปที่ต้องการการเชื่อมต่อกระเป๋าเก็บเงินไปยังเว็บไซต์ที่เป็นอันตราย

การปลอมแปลงเพื่อน/เพื่อนร่วมงาน

หากผู้โจมตีมีข้อมูลเกี่ยวกับเครือข่ายสังคมของคุณ (จากสื่อสังคม การรั่วไหลข้อมูล หรือการแฮกบัญชีของเพื่อน) พวกเขาอาจปลอมแปลงคนที่คุณรู้จัก:

"เฮ ฉันต้องรับการเงินดิจิทัลด่วน — คุณช่วยส่ง 0.5 ETH ไปยังที่อยู่นี้ได้ไหม ฉันจะจ่ายให้คุณวันพรุ่งนี้"
บัญชีที่ถูกแฮกส่ง DM ไปยังผู้ติดต่อทั้งหมดด้วยลิงก์ฟิชชิงหรือคำขอเงิน

2. การสร้างเหตุผลปลอม

การสร้างเหตุผลปลอมเกี่ยวข้องกับการสร้างสถานการณ์ที่คิดค้น (เหตุผล) เพื่อเข้าร่วมกับเป้าหมายและแยกข้อมูล:

การแบ่งปัน "โดยไม่ตั้งใจ"

ผู้โจมตีโพสต์สิ่งที่ดูเหมือนเป็นข้อความที่ไม่ตั้งใจซึ่งประกอบด้วยประโยคเมล็ด แสดงให้เห็นว่าพวกเขา "โดยไม่ตั้งใจ" เปิดเผยข้อมูลประจำตัวกระเป๋าเก็บเงิน ผู้ใช้ที่อยากรู้อยากเห็นที่พยายามเข้าถึงกระเป๋าเก็บเงินพบว่ามีเงินแต่ต้องการค่าธรรมเนียมธุรกรรมในการถอน เมื่อพวกเขาส่งค่าธรรมเนียม มันจะถูกนำไปโดยผู้โจมตีทันที (กระเป๋าเก็บเงินคือ honeypot ที่มี sweeper bot)

การสร้างเหตุผลของนักวิจัยความปลอดภัย

"ฉันเป็นนักวิจัยความปลอดภัยและฉันพบช่องโหว่ในกระเป๋าเก็บเงินของคุณ ฉันต้องการตรวจสอบการตั้งค่าของคุณเพื่อยืนยันว่าคุณได้รับผลกระทบหรือไม่ คุณสามารถแบ่งปันเวอร์ชันซอฟต์แวร์กระเป๋าเก็บเงินของคุณ เส้นทางอนุมาน และอักษรตัวแรกของที่อยู่ของคุณได้หรือไม่"

นี่จะค่อยๆ 升级ไปยังคำขอที่ละเอียดอ่อนมากขึ้น โดยใช้ประโยชน์จากอำนาจของบทบาท "นักวิจัย"

การสร้างเหตุผลของกฎหมาย/กฎระเบียบ

"นี่คือ [หน่วยงานรัฐบาลปลอม] บัญชีการเงินดิจิทัลของคุณถูกทำเครื่องหมายสำหรับกิจกรรมที่น่าสงสัย คุณต้องโอนเงินของคุณไปยังที่อยู่ของรัฐบาลที่ปลอดภัยสำหรับการสอบสวนหรือเผชิญกับการฟ้องร้อง"

นี่ใช้ประโยชน์จากความกลัวจากผลทางกฎหมาย ไม่มีหน่วยงานรัฐบาลที่ถูกต้องตามกฎหมายจะขอให้คุณโอนการเงินดิจิทัล

3. การลอบใจ

การลอบใจเสนอสิ่งที่พึงประสงค์เพื่อดึงดูดเหยื่อ:

แอร์ดรอปโทเคนฟรี

"เชื่อมต่อกระเป๋าเก็บเงินของคุณเพื่อขอรับ 500 โทเคน XYZ ฟรี!" กระบวนการเชื่อมต่อขอการอนุมัติสัญญาอัจฉริยะที่เป็นอันตรายซึ่งลบกระเป๋าเก็บเงิน ดูรายละเอียดเพิ่มเติมในคู่มือ การป้องกันฟิชชิง เกี่ยวกับการโจมตีการอนุมัติ

USB ไดรฟ์ที่ติดเชื้อ

การลอบใจทางกายภาพ: USB ไดรฟ์ที่มีป้ายกำกับ "การสำรองข้อมูลกระเป๋าเก็บเงินการเงินดิจิทัล" หรือ "ส่วนตัว" ที่ปล่อยไว้ในที่สาธารณะ เมื่อแทรกเข้าไปในคอมพิวเตอร์ พวกเขาติดตั้งมัลแวร์ที่ค้นหาไฟล์กระเป๋าเก็บเงิน ประโยคเมล็ดในเอกสารข้อความ และข้อมูลส่วนขยายเบราว์เซอร์

เสนอการจ้างงานปลอม

"เรากำลังจ้างนักวิเคราะห์ DeFi โปรดดาวน์โหลดแพลตฟอร์มการซื้อขายแบบกำหนดเองของเราเพื่อการประเมินผล" แพลตฟอร์มประกอบด้วยมัลแวร์ สิ่งนี้ถูกใช้ในการโจมตีที่โดดเด่น รวมถึงการกำหนดเป้าหมายของกลุ่ม Lazarus ต่อบริษัทการเงินดิจิทัล

4. การหลวงเรื่องความรัก และการหลวงความสัมพันธ์ (Pig Butchering)

การหลวง "Pig butchering" เป็นการโจมตีด้วยวิศวกรรมสังคมระยะยาวที่รวมการสร้างความสัมพันธ์เข้ากับการฉ้อโกงการลงทุน:

ติดต่อ — ผู้โจมตีเริ่มการติดต่อในแอปเดตพบ สื่อสังคม หรือแพลตฟอร์มส่งข้อความ พวกเขาแสดงตัวตนที่น่าดึงดูด และประสบความสำเร็จ
การสร้างความสัมพันธ์ — ในช่วงเวลาหลายสัปดาห์หรือหลายเดือน พวกเขาสร้างความสัมพันธ์ที่รู้สึกแท้จริง พวกเขาแบ่งปันรายละเอียดส่วนตัว แสดงความสนใจ และสร้างสัตยาบัน
การแนะนำการลงทุน — พวกเขากล่าวถึงความสำเร็จในการลงทุนการเงินดิจิทัลอย่างเนื่องสำนึก พวกเขาแสดงผลกำไรที่คิดค้น และส่งเสริมให้เหยื่อลงทุน
แพลตฟอร์ม — พวกเขาชี้นำเหยื่อไปยังการแลกเปลี่ยนปลอมหรือแพลตฟอร์มการลงทุนที่แสดงผลตอบแทนที่คิดค้น เหยื่อฝากและเห็นยอด "ยอดเงิน" ของพวกเขาเพิ่มขึ้น
การขยาย — ส่งเสริมโดยผลกำไร เหยื่อลงทุนเพิ่มเติม — บ่อยครั้งยืมเงินหรือชำระบัญชีเงินออม
ทางออก — เมื่อเหยื่อพยายามถอน แพลตฟอร์มเรียกร้อง "ภาษี" "ค่าธรรมเนียม" หรือเงินฝากเพิ่มเติม ในที่สุด ผู้โจมตีและแพลตฟอร์มหายไป

การหลวงเหล่านี้ทำให้เกิดความสูญเสียรายบุคคลตั้งแต่หลายร้อยพันถึงหลายล้านดอลลาร์ และความสูญเสียโดยรวมในหลายสิบพันล้าน

สัญญาณเตือน:

ผู้ติดต่อทางออนไลน์ที่นำเสนอการลงทุนการเงินดิจิทัลโดยไม่ได้รับการแนะนำ
แพลตฟอร์มการลงทุนที่คุณไม่เคยได้ยินมาด้วยผลตอบแทนที่ผิดปกติสูง
ความกดดันในการลงทุนเพิ่มเติมหรือทำการตัดสินใจอย่างรวดเร็ว
ไม่สามารถถอนเงินได้โดยไม่ต้องจ่ายค่าธรรมเนียมเพิ่มเติม

5. การใช้ประโยชน์จากอำนาจ

ผู้โจมตีใช้ประโยชน์จากอำนาจที่รับรู้:

อีเมลการแลกเปลี่ยนปลอม

อีเมลที่ดูเหมือนมาจากการแลกเปลี่ยนหลัก ซึ่งแจ้งให้คุณทราบเกี่ยวกับ "กิจกรรมที่น่าสงสัย" และต้องการการดำเนินการทันที ความรีบเร่งถูกออกแบบให้ข้างต้นการคิดอย่างวิจารณญาณของคุณ ดูคู่มือ การป้องกันฟิชชิง

การปลอมแปลงการบังคับใช้กฎหมาย

"การเงินดิจิทัลของคุณเชื่อมโยงกับการฟอกเงิน โอนไปยังที่อยู่นี้เพื่อเก็บรักษาระหว่างการสอบสวน" การบังคับใช้กฎหมายจริงไม่ทำงานวิธีนี้

การใช้ประโยชน์จากอำนาจด้านเทคนิค

"ฉันเป็นนักพัฒนา blockchain และฉันสามารถเห็นจาก mempool ว่ากระเป๋าเก็บเงินของคุณมีช่องโหว่ คุณต้องย้ายเงินของคุณไปยังกระเป๋าเก็บเงินใหม่ทันที ฉันจะสอบแนวทางให้คุณ"

6. การโจมตี $5 Wrench

การบังคับทางกายภาพ — ขู่เกรงว่าจะใช้ความรุนแรงหรือใช้จริงเพื่อบังคับให้เปิดเผยประโยคเมล็ดหรือโอนเงินของคุณ นี่คือรูปแบบที่ตรงไปตรงมาที่สุดของวิศวกรรมสังคม

มาตรการต่อต้าน:

ความสามารถในการปฏิเสธได้ — ใช้ BIP-39 passphrase เพื่อให้กระเป๋าเก็บเงินพื้นฐานประกอบด้วยเพียงจำนวนเล็กน้อย ภายใต้ความกดดัน เปิดเผยประโยคเมล็ดโดยไม่มี passphrase
ลายเซ็นหลายลาย — หากการใช้จ่ายต้องได้รับคีย์หลายตัวที่เก็บไว้ในสถานที่ต่างๆ คุณไม่สามารถบังคับให้ลงนามแบบตัวเดียว
ธุรกรรมล็อคตามเวลา — การตั้งค่าบางอย่างต้องใช้ระยะเวลาในการรอสำหรับธุรกรรมขนาดใหญ่ ให้เวลาสำหรับการแทรกแซง
อย่าเปิดเผยการถือครองของคุณต่อสาธารณะ — การป้องกันที่ดีที่สุดคือไม่ถูกระบุว่าเป็นเป้าหมาย

หลักการทางจิตวิทยาที่ถูกใช้ประโยชน์

การเข้าใจการเลิกเรียนที่ผู้โจมตีใช้ประโยชน์ช่วยให้คุณจำได้ว่าพวกเขากำลังถูกนำมาใช้กับคุณ:

ความรีบเร่ง

"ทำหรือสูญเสียเงินของคุณ" "ข้อเสนอนี้หมดอายุใน 10 นาที" "บัญชีของคุณจะถูกล็อคในอีก 24 ชั่วโมง"

ความรีบเร่งข้ามโครงสร้างการพิจารณา บริษัทที่ถูกต้องตามกฎหมายไม่บังคับให้คุณตัดสินใจความปลอดภัยทันที

อำนาจ

"ฉันมาจาก [Exchange] ทีมความปลอดภัย" "ในฐานะวิศวกรสนับสนุน Ledger ฉันต้อง..."

ผู้คนเชื่อฟังตามหน่วยงานหรือบทบาทผู้มีอำนาจที่รับรู้มากขึ้น ตรวจสอบอำนาจเสมอผ่านช่องทางอิสระ

ความเกี่ยวข้องกันแบบหนึ่งแสน

ผู้โจมตีจัดเตรียมสิ่งที่มีคุณค่าก่อน (ข้อมูลที่เป็นประโยชน์ ของขวัญเล็กน้อย บริการฟรี) สร้างความรู้สึกต้องตอบแทนที่พวกเขาใช้ประโยชน์ในภายหลัง

ความหายาก

"เพียง 100 ที่ในการขายล่วงหน้าพิเศษ" "โอกาสรายชื่อจำกัดเวลา"

ความหายากที่มนุษย์สร้างความกลัวในการพลาด (FOMO) ขับเคลื่อนการตัดสินใจแบบอิมพัลส์

ความเป็นสังคม

"ทุกคนในกลุ่มกำลังลงทุน" "ดูที่เรื่องพยากรณ์เหล่านี้" "1000 คนได้อ้างสิทธิ์แล้ว"

เหตุใดวิศวกรรมสังคมจึงมีประสิทธิผลในการเงินดิจิทัล​

หมวดหมู่ของการโจมตีด้วยวิศวกรรมสังคม​

1. การปลอมแปลงตัวตน​

การสนับสนุนลูกค้าปลอม​

การปลอมแปลงทีมโครงการ​

การปลอมแปลงเพื่อน/เพื่อนร่วมงาน​

2. การสร้างเหตุผลปลอม​

การแบ่งปัน "โดยไม่ตั้งใจ"​

การสร้างเหตุผลของนักวิจัยความปลอดภัย​

การสร้างเหตุผลของกฎหมาย/กฎระเบียบ​

3. การลอบใจ​

แอร์ดรอปโทเคนฟรี​

USB ไดรฟ์ที่ติดเชื้อ​

เสนอการจ้างงานปลอม​

4. การหลวงเรื่องความรัก และการหลวงความสัมพันธ์ (Pig Butchering)​

5. การใช้ประโยชน์จากอำนาจ​

อีเมลการแลกเปลี่ยนปลอม​

การปลอมแปลงการบังคับใช้กฎหมาย​

การใช้ประโยชน์จากอำนาจด้านเทคนิค​

6. การโจมตี $5 Wrench​

หลักการทางจิตวิทยาที่ถูกใช้ประโยชน์​

ความรีบเร่ง​

อำนาจ​

ความเกี่ยวข้องกันแบบหนึ่งแสน​

ความหายาก​

ความเป็นสังคม​