馨嘉源区块链

揭露社会工程学威胁：保护加密资产免受新型网络攻击

• 曝光台
• 2024 年 6 月 10 日

社会工程学与数据保护有关，是一种利用心理操纵手段强迫个人透露敏感信息或执行预定行动的做法。因此，一般人很容易屈服于贪婪、恐惧或好奇等情绪所驱动的破坏性冲动。

Avast 防病毒软件的创建者报告称，2024 年第一季度 90% 的威胁都是社会工程攻击。更糟糕的是，这类攻击在所有平台上都很常见，包括 YouTube、移动设备和个人电脑。当然，加密货币行业也不乏基于社会工程的骗局。

鱼叉式网络钓鱼
网络钓鱼基于一个非常简单的原则：犯罪分子冒充合法企业，诱骗用户泄露敏感信息。通常，攻击者会冒充合法账户并主动联系用户，假装是技术支持或其他类似部门的人员。

想象一下，黑客试图从钱包中窃取种子短语或私钥。他假借 Trust Wallet 或 MetaMask 支持的名义，向不警惕的受害者发送电子邮件并索要敏感信息。一旦受害者这样做，攻击者将完全控制钱包。

使用诱饵
为了利用受害者的贪婪或好奇心，诱饵攻击者会使用空头承诺（该词源于英文单词“bait”）。例如，常见的做法是向员工群发电子邮件，声称其中包含重要的公司新闻，如加薪、假期安排、职位空缺等。当受害者打开恶意文件时，恶意软件就会自动安装在他们的计算机上。

只是为了好玩
诈骗者使用“quid pro quo”（意为“交换条件”）攻击，以服务为交换条件索要个人信息。为了获取敏感信息，攻击者可能会使用奖励或研究参与等诱惑手段。犯罪分子还可能伪装成技术支持人员，通过提出解决问题来诱骗受害者泄露敏感信息。当攻击者假装提供服务时，这与网络钓鱼不同。

使用假名
“借口”一词（英语中意为“介词”）是该名称的由来。因此，其要点是攻击者试图使用令人信服的借口来获取用户数据或加密货币。通常，骗子会冒充可靠的官员，例如银行、税务或执法官员。

不安全的软件
“恐吓软件”一词​​的意思是“恐吓软件”，指的是骗子欺骗受害者，让他们以为自己正面临危险的骗局。点击按钮可以删除病毒、下载“特殊”软件来处理病毒，或者联系可以提供帮助的人。如果受害者屈服于“恐吓者”，他们最终只会遭遇更糟糕的后果。

避免此类攻击的方法
永远不要告诉任何人你的私钥或种子短语。这是第一条规则。保持警惕的第二条建议是熟悉社交工程攻击的基础知识。了解加密货币是什么以及它如何运作对于加密货币行业至关重要。不要打开未知文件，不要点击未知链接，并使用防病毒软件；这些都是可以帮助您在线安全的一般安全规则。

最后一种攻击是更为复杂的“个人”攻击方式，其中犯罪者会尽可能多地了解受害者，以赢得他们的信任。首先，你需要更加谨慎地对待你的在线状态，避免公开你的数据。其次，要警惕泄密；如今各种服务经常发布用户数据。

攻击成功的案例
一个表现良好的 Play-to-Earn 计划是 Axie Infinity，它使用了 Ronin Network 的以太坊侧链。2022 年 3 月 23 日，黑客从游戏账户中窃取了 173,600 ETH，约合 5.912 亿美元。整个事件始于一个提供工作的 LinkedIn 骗局。他们的一名员工感染了一个 PDF 文件，黑客利用该文件实施了抢劫。一家虚构的公司为这名男子提供了一份高薪工作，他愚蠢地接受了。美国政府将这次袭击归咎于朝鲜黑客组织 Lazarus。

加密货币行业有一些独特之处，需要进行调整，例如基于社会工程学的计划。大多数攻击可能会试图通过勒索用户或获取私钥然后窃取他们的加密货币钱包来窃取加密货币。欺诈受害者将很难拿回他们的钱，因为区块链交易是匿名且不可逆转的，这使情况变得更糟。

相反，用户在加密货币生态系统中扮演着重要角色，这既是福也是祸。用户可以通过将密钥保存在安全的地方并拒绝为了方便而牺牲安全性来确保自己的安全。例如，担心银行会泄露他的信息是没有根据的。虽然这确实使许多事情变得更加复杂——例如，你不能信任交易所，你的加密货币需要存储在冷钱包中——但它也让你完全控制你的资金。这在当今世界被认为是很多的。