گزارش SlowMist: تکنیک‌های هک کریپتو پیشرفت زیادی نکرده‌اند، اما بسیار زیرکانه‌ و خلاقانه‌تر شده‌اند!

در سه‌ماهه دوم سال، کاربران حوزه کریپتو با افزایش حملاتی روبرو شدند که بیش از آنکه از لحاظ فنی گمراه‌کننده باشند، از نظر روانی فریب‌دهنده بودند. شرکت امنیت بلاکچین اسلومیست (SlowMist)، اعلام کرده که هکرها روش‌های خلاقانه‌تری برای سرقت ارزهای دیجیتال به‌کار گرفته‌اند.

به گزارش میهن بلاکچین، لیزا (Lisa)، مدیر عملیات این شرکت، در گزارش سه‌ماهه دوم MistTrack گفته است که گرچه روش‌های هک از نظر فنی پیشرفته‌تر نشده‌اند، اما نوع کلاهبرداری‌ها پیچیده‌تر و فریبنده‌تر شده است. او به افزایش استفاده از افزونه‌های جعلی مرورگر، کیف‌ پول‌های سخت‌افزاری دستکاری‌شده و حملات مهندسی اجتماعی اشاره کرده است.

افزونه‌های مخرب مرورگر؛ ابزار جدید هکرها

لیزا در ادامه گفت:

در سه‌ماهه دوم، روندی مشخص دیده می‌شود؛ روش‌های حمله شاید فنی‌تر نشده باشند، اما از نظر روانی تأثیرگذارتر شده‌اند.

او همچنین افزود:

در حال حاضر، هکرها کمتر به حملات آنچین متکی هستند و بیشتر روی نقاط ورودی خارج از زنجیره تمرکز دارند. افزونه‌های مرورگر، شبکه‌های اجتماعی، فرآیندهای احراز هویت و رفتار کاربران به هدف‌های اصلی آن‌ها تبدیل شده‌اند.

یکی از روش‌های جدید حمله، استفاده از افزونه‌هایی در مرورگر است که خود را به‌عنوان ابزار امنیتی معرفی می‌کنند. برای مثال، افزونه‌ای به نام Osiris در مرورگر کروم، ادعا می‌کرد که می‌تواند لینک‌های فیشینگ را شناسایی کند. اما این افزونه همه فایل‌هایی با فرمت exe، dmg و zip را هنگام دانلود رهگیری و آن‌ها را با برنامه‌های مخرب جایگزین می‌کرد.

لیزا اظهار داشت:

مهاجمان حتی کاربران را راهنمایی می‌کردند که وارد سایت‌هایی مثل Notion یا Zoom شوند. وقتی کاربران می‌خواستند از این سایت‌ها نرم‌افزار دانلود کنند، فایل‌ها از قبل با نسخه‌های آلوده جایگزین شده بودند. با این حال، مرورگر همچنان منبع دانلود را رسمی و معتبر نشان می‌داد و به همین دلیل، کاربران متوجه هیچ چیز مشکوکی نمی‌شدند.

این برنامه‌های مخرب، اطلاعات حساس را از رایانه کاربران جمع‌آوری می‌کردند. این اطلاعات شامل داده‌های مرورگر کروم و رمزهای ذخیره‌شده در سیستم macOS بود. این اطلاعات می‌توانست کلید خصوصی، عبارت بازیابی یا اطلاعات ورود به حساب کاربری را در اختیار مهاجم قرار دهد.

امنیت روانی؛ حلقه گمشده کاربران کریپتو

یکی دیگر از روش‌های حمله، فریب کاربران برای استفاده از کیف‌ پول‌های سخت‌افزاری تقلبی بود. مهاجمان در برخی موارد، یک کیف‌ پول سرد آلوده برای قربانی ارسال می‌کردند و به او می‌گفتند در قرعه‌کشی برنده شده است. در موارد دیگر، می‌گفتند کیف‌ پول فعلی قربانی آلوده است و باید دارایی‌ها را منتقل کند.

طبق گزارش لیزا، در یکی از موارد، یکی از قربانی‌ها با خرید کیف‌ پول سخت‌افزاری آلوده که تبلیغش را در شبکه اجتماعی TikTok دیده بود، ۶.۵ میلیون دلار از دست داد. در نمونه‌ای دیگر، مهاجم کیف‌ پولی را که قبلاً فعال شده بود، فروخت و وقتی خریدار دارایی‌هایش را به آن منتقل کرد، مهاجم فوراً موجودی را برداشت کرد.

شرکت SlowMist، همچنین اعلام کرد که در سه‌ماهه دوم، یکی از کاربران از آن‌ها کمک خواسته چون نمی‌توانسته مجوزی خطرناک را از کیف‌ پول خود لغو (Revoke) کند. بررسی‌ها نشان داد سایتی که کاربر از آن استفاده می‌کرد، نسخه‌ای تقلبی و بسیار شبیه به سایت Revoke Cash بوده است؛ این سایت از کاربر می‌خواست برای بررسی امضاهای مشکوک، کلید خصوصی خود را وارد کند.

لیزا گفت:

ما کدهای سایت را بررسی کردیم و متوجه شدیم این سایت فیشینگ از سرویس EmailJS استفاده می‌کرد تا اطلاعات واردشده، مانند کلید خصوصی و آدرس کاربر را به ایمیل مهاجم بفرستد.

او ادامه داد:

این حملات از نظر فنی پیچیده نیستند، اما در سوءاستفاده از ترس و اعتماد کاربران بسیار موفق عمل می‌کنند. عباراتی مثل «امضای مشکوک شناسایی شد»، باعث ایجاد ترس می‌شود و کاربر را به تصمیم‌گیری عجولانه وادار می‌کند. در چنین شرایطی، افراد راحت‌تر فریب می‌خورند و اطلاعات حساس را در اختیار مهاجمان قرار می‌دهند.

برخی حملات دیگر نیز از ارتقای اخیر شبکه اتریوم با نام پکترا (Pectra) سوءاستفاده کردند. در روشی دیگر، هکرها توانستند از طریق سیستم بازیابی حساب در اپلیکیشن WeChat، به حساب برخی کاربران دسترسی پیدا کنند. آن‌ها با جعل هویت صاحب اصلی حساب، به دوستان او پیام می‌دادند و با پیشنهاد تتر (USDT) ارزان‌، آن‌ها را فریب می‌دادند.

طبق اعلام SlowMist، داده‌های این گزارش بر اساس ۴۲۹ مورد سرقت ثبت‌شده در سه‌ماهه دوم گردآوری شده است. این شرکت همچنین اعلام کرد که موفق شده حدود ۱۲ میلیون دلار از دارایی‌های سرقت‌شده ۱۱ قربانی را مسدود کرده و برگرداند.