חקירה שפרסם חוקר הבלוקצ'יין ZachXBT, שנחשב לאחד מחוקרי הבלוקצ'יין המוערכים בתעשייה, מציירת תמונה מטרידה אך מוכרת: תוקף שפעל מקנדה הצליח לגרוף מעל שני מיליון דולר ממשתמשי Coinbase, לא דרך חולשת אבטחה במערכת, אלא דרך הנקודה הכי רגישה, בני אדם.
לרכישת מטבעות דיגיטליים. וואלה קריפטו >>
ההונאה התבססה על התחזות לנציג תמיכה, שכנוע הקורבן שהוא "עוזר לו", והובלה שלו לביצוע פעולות שפגעו בו כלכלית.
לפי הפרסום, התוקף פנה לקורבנות תוך שימוש בטכניקות של הנדסה חברתית. התחזה לעובד תמיכה רשמי של Coinbase, יצר תחושת דחיפות, והוביל משתמשים לחשוב שהחשבון שלהם בסכנה. משם הדרך להוצאת כספים או מסירת מידע רגיש הייתה קצרה.
לחבר את הנקודות
ZachXBT הצליח לקשור בין המקרים לאחר הצלבת צילומי מסך משיחות טלגרם, פוסטים ברשתות החברתיות ונתוני עסקאות על הבלוקצ'יין. לדבריו, אותו גורם התרברב באורח חייו, פרסם תמונות וסרטונים, ורכש שמות משתמש יקרים בטלגרם, מה שדווקא הקל על זיהוי דפוסי הפעילות שלו.
בין הממצאים נכלל גם סרטון מוקלט שבו נשמע לכאורה התוקף משוחח עם אחד הקורבנות, ומציג עצמו כנציג תמיכה. הפרטים המלאים של השיחה לא פורסמו, אך הדפוס ברור: יצירת אמון, הפחדה מרומזת, והכוונה לפעולה שגורמת לנזק.
מה שמחדד את הסיפור הוא העובדה שלא מדובר במתקפה טכנולוגית מתקדמת. אין כאן קוד זדוני או פריצה לרשת. ההצלחה נבעה מהיכולת להבין איך אנשים חושבים, ממה הם מפחדים, ואיך לגרום להם לפעול מהר מדי.
איך אפשר להגן על עצמנו?
בעולם הקריפטו, האחריות האישית היא קו ההגנה הראשון. נציגי תמיכה אמיתיים לא יבקשו מכם סיסמאות, מילות שחזור או העברת כספים לכתובת "זמנית". הם גם לא יפנו אליכם ביוזמתם דרך טלגרם או שיחות לא מתואמות.
כלל אצבע חשוב הוא לא ללחוץ על קישורים שמגיעים בהודעות לא צפויות, ולא להגיב לשיחות נכנסות שמציגות עצמן כ"תמיכה דחופה". אם יש ספק, נכנסים לאתר הרשמי או לאפליקציה ופונים משם.
בנוסף, החזקת כספים משמעותיים בארנק חומרה ולא בבורסה, שימוש בסיסמאות ייחודיות ואימות דו שלבי, הם צעדים פשוטים שיכולים למנוע נזק גדול.