A black device in a green sealed pouch beside a

کلاهبرداری‌های نامه‌ای کیف پول سخت‌افزاری جعلی: چگونه “تله مهاجرت” عبارت کلیدی شما را می‌دزدد

By AI News Crypto Editorial Team9 دقیقه مطالعه

کلاهبرداری‌های نامه‌ای کیف پول سخت‌افزاری جعلی از طریق پست فیزیکی برای جعل هویت لجر، ترزور و سایر برندها استفاده می‌کنند و سپس گیرندگان را تحت فشار قرار می‌دهند تا یک "تعویض امنیتی" یا "به‌روزرسانی نرم‌افزاری" انجام دهند که عبارت دانه‌های آن‌ها را استخراج می‌کند. هنگامی که آن ۱۲، ۱۸ یا ۲۴ کلمه نشت کند، مهاجمان می‌توانند کیف پول را در جای دیگری بازسازی کرده و وجوه را در معاملاتی که معمولاً غیرقابل برگشت هستند، منتقل کنند.

نکات کلیدی

  • این کلاهبرداری‌ها یک "تله مهاجرت" دو مرحله‌ای هستند: یک نامه یا بسته فیزیکی اقتدار را تولید می‌کند، سپس یک مرحله بازیابی یا وارد کردن اجباری عبارت دانه را به دام می‌اندازد.عبارت دانه..
  • مهاجم نیازی به شکستن رمزنگاری یک "کیف پول سخت‌افزاری" ندارد. آن‌ها فقط به عبارت دانه نیاز دارند، که شرکت‌های کیف پول معتبر به آن نیاز ندارند و از آن نخواهند پرسید.بسته‌بندی "مهر و موم شده" و نامه‌های شبیه برند سیگنال‌های امنیتی نیستند. منشأ و تأیید مستقل مهم هستند.اگر وجوه پس از نشت کلید منتقل شوند، بازیابی معمولاً غیرمحتمل است حتی زمانی که محققان می‌توانند ردپای آن را دنبال کنند، بنابراین پیشگیری بهتر از پاسخ است.
  • چگونه کلاهبرداری‌های نامه‌ای کیف پول جعلی کار می‌کنند
  • بازی با پست فیزیکی شروع می‌شود زیرا از فیلترهای اسپم ذهنی که مردم برای ایمیل و پیام‌های مستقیم استفاده می‌کنند، عبور می‌کند. یک نامه بر روی کاغذی شبیه برند، گاهی اوقات همراه با یک دستگاه ناخواسته، احساس می‌کند که یک تولیدکننده شناخته‌شده در حال اجرای یک اصلاح رسمی است. به همین دلیل است که این الگو اغلب به عنوان فیشینگ فیزیکی توصیف می‌شود: روش تحویل آفلاین است، اما محموله هنوز یک روند فیشینگ است.

ساختار کلاهبرداری در نسخه‌های "نامه جعلی لجر" و "کلاهبرداری نامه‌ای ترزور" یکسان است. نامه ادعا می‌کند که یک نقض، بهره‌برداری یا مشکل امنیتی فوری وجود دارد و گیرنده را به عنوان کسی که در حال حاضر در معرض خطر است، معرفی می‌کند. PCMag نسخه‌ای را مستند کرده است که در آن کلاهبرداران سخت‌افزار جعلی لجر را با نامه‌ای ارسال کردند که ادعا می‌کرد دستگاه موجود قربانی امن نیست. بایننس بعداً یک تنظیم مشابه را توصیف کرد: یک بسته ناخواسته حاوی یک دستگاه لجر و نامه‌ای که ادعا می‌کرد به دلیل نقض داده‌های لجر ارسال شده است و به کاربر دستور می‌دهد که دستگاه خود را تعویض کند.

از آنجا، نامه قربانی را به یک مرحله مهاجرت هدایت می‌کند. دستورالعمل‌ها معمولاً به یک URL یا یک کلاهبرداری کیف پول QR کد اشاره می‌کنند که به یک سایت شبیه‌سازی شده می‌رسد یا دانلود یک برنامه را درخواست می‌کند. به قربانی گفته می‌شود که "تأیید کند"، "بازیابی کند" یا "وارد کند" تا وجوه را ایمن کند. آن مرحله هدف کلی است.

اگر قربانی عبارت دانه را در هر چیزی که به اینترنت متصل است، تایپ کند، خرید کیف پول سخت‌افزاری به یک رویداد استخراج کلید تبدیل شده است.

به همین دلیل است که دسته وسیع‌تری از کلاهبرداری‌های کیف پول کریپتو و نحوه جلوگیری از آن‌ها به یک قانون برمی‌گردد. کلاهبرداری در صورتی که تأیید از طریق کانال‌های رسمی مستقل انجام شود و عبارت دانه هرگز از فرآیند پشتیبان‌گیری آفلاین قربانی خارج نشود، فرو می‌ریزد.

مکانیسم پشت سرقت

یک کیف پول سخت‌افزاری یک دستگاه امضا است، نه یک خزانه جادویی. این دستگاه برای نگه‌داشتن "کلیدهای خصوصی" در خارج از یک کامپیوتر متصل به اینترنت ساخته شده است در حالی که هنوز اجازه می‌دهد معاملات امضا شوند. نقطه ضعف هدف قرار گرفته شده توسط ایمیل فیشینگ کیف پول سخت‌افزاری، رمزنگاری دستگاه نیست. این مسیر بازیابی است.

مسیر بازیابی عبارت دانه است: معمولاً ۱۲، ۱۸ یا ۲۴ کلمه که کنترل وجوه را در دست دارند. راهنمای "بیت‌کوین" در دو نکته که در اینجا مهم است، صریح است. اول، آن کلمات به عنوان کلید کیف پول عمل می‌کنند. دوم، شرکت‌های کیف پول معتبر به آن‌ها نیاز ندارند و از آن‌ها نخواهند پرسید. به همین دلیل است که روایت "دستگاه خود را تعویض کنید" اینقدر مؤثر است. این درخواست برای تنها رازی که مهم است را به یک روندی که به نظر می‌رسد پشتیبانی مشتری است، قاچاق می‌کند.

پس از اینکه یک مهاجم عبارت دانه را به دست آورد، بقیه ساده است. آن‌ها می‌توانند کیف پول را بر روی دستگاه یا کیف پول نرم‌افزاری خود بازیابی کرده و "دارایی‌ها" را خارج کنند.

کیف پول سخت‌افزاری اصلی قربانی هنوز می‌تواند به صورت فیزیکی در دست باشد و هنوز هم در معنای محدود "ایمن" باشد، در حالی که وجوه قبلاً رفته‌اند زیرا مهاجم از یک وضعیت کیف پول کپی شده عمل می‌کند."بسته‌بندی مهر و موم شده" این مشکل را حل نمی‌کند. کوین‌تلگراف موردی را توصیف کرد که در آن یک کاربر به یک کیف پول سخت‌افزاری مهر و موم شده که از طریق تیک‌تاک به دست آمده بود، اعتماد کرد و ۶.۹ میلیون دلار از دست داد. این بخش به طور کامل جزئیات نمی‌دهد که آیا این نقض از یک دانه پیش‌تولید شده، یک جریان تنظیم شده دستکاری شده، یا یک بسته دوباره مهر و موم شده ناشی شده است، اما درس واضح است: بسته‌بندی یک تضمین رمزنگاری از منشأ نیست.زمانی که کلیدها نشت می‌کنند و وجوه منتقل می‌شوند، گزینه‌های مدافع به سرعت کاهش می‌یابد. کوین‌تلگراف اشاره می‌کند که SlowMist می‌تواند وجوه دزدیده شده را ردیابی کند، اما امید کمی برای بازیابی پس از نشت کلید "کیف پول سرد" توصیف کرد. این عدم تقارن است که این کلاهبرداری‌ها از آن بهره‌برداری می‌کنند.

نمونه‌های واقعی و طعمه‌های رایجلایه قانع‌کننده در کانال‌ها به طرز قابل توجهی تکراری است. راهنمای بیت‌کوین کمپین‌های فیشینگ را توصیف می‌کند که به عبارات فوری مانند "به‌روزرسانی امنیتی"، "دارایی‌ها در حال به‌روزرسانی" و "فعالیت مشکوک" تکیه می‌کنند، که با جعل برند همراه است. نسخه نامه فیزیکی از همان متن استفاده می‌کند، فقط در یک پاکت تحویل داده می‌شود.سه مثال مستند الگو را ترسیم می‌کنند:

۱. ۲۰ ژوئن ۲۰۲۱: PCMag گزارش داد که کلاهبرداران دستگاه‌های جعلی لجر را با نامه‌ای ارسال کردند که ادعا می‌کرد دستگاه موجود گیرنده ناامن است.

نامه به عنوان ابزار اقتدار عمل می‌کند و دستگاه به عنوان تقویت‌کننده اعتماد.۲. ۲۴ ژانویه ۲۰۲۴: راهنمای بیت‌کوین یک حادثه ایمیل جعل ترزور را توصیف می‌کند که به نقض یک ارائه‌دهنده شخص ثالث مرتبط است و به گزارش بلاکید اشاره می‌کند که خساراتی بیش از ۶۰۰،۰۰۰ دلار از قربانیانی که پاسخ داده‌اند، ثبت شده است. این یک نامه نیست، اما نشان می‌دهد که چگونه ارتباطات "به نظر رسمی" می‌تواند حتی زمانی که از یک دامنه معتبر ناشی می‌شود، مؤثر باشد.۳.

۱۲ اوت ۲۰۲۵: کوین‌تلگراف خسارت ۶.۹ میلیون دلاری کیف پول "مهر و موم شده" تیک‌تاک را بازگو کرد و تیک‌تاک و پلتفرم‌های اجتماعی مشابه را به عنوان مکان‌های رایج برای فروش کیف پول سخت‌افزاری و سایر کلاهبرداری‌ها علامت‌گذاری کرد.

طعمه‌ها بر یک عمل متمرکز می‌شوند: قربانی را وادار به انجام یک بازیابی یا وارد کردن می‌کنند که آن‌ها آغاز نکرده‌اند. به همین دلیل است که کدهای QR اینقدر رایج هستند. یک کد QR اصطکاک تایپ یک URL را حذف می‌کند و انتقال از کاغذ به تلفن را به عنوان یک مرحله عادی در نظر می‌گیرد.

برخی از جریان‌ها همچنین سعی می‌کنند از ضبط دانه به فیشینگ امضا افزایش یابند، جایی که قربانی به تأیید یک معامله یا پیامی که دسترسی یا مجوزها را اعطا می‌کند، تحت فشار قرار می‌گیرد. شرط پیروزی اصلی کلاهبرداری نامه‌ای هنوز عبارت دانه است، اما همان ترفندهای فوری و اقتدار برای دریافت امضاها زمانی که مهاجم نمی‌تواند کلمات را به دست آورد، استفاده می‌شود.چگونه آن‌ها را شناسایی و از آن‌ها جلوگیری کنیمدفاع این نیست که "هوشمندتر باشید". بلکه باید دو مزیت کلاهبرداری را حذف کنید: زمان و کانال. فوریت مزیت است و کد QR یا "لینک" نامه در واقع درب تله است.

یک فرآیند تصمیم‌گیری ساده بیشتر کلاهبرداری‌های نامه‌ای کیف پول سخت‌افزاری جعلی را شکست می‌دهد:

۱. بلافاصله روند را متوقف کنید. کد QR را اسکن نکنید، روی لینک کلیک نکنید و دستگاه ناخواسته را وصل نکنید.

۲. از طریق کانال‌های مستقل تأیید کنید. از یک نشانه‌گذاری معتبر استفاده کنید یا به صورت دستی به سایت رسمی تولیدکننده بروید و سپس به دنبال یک اطلاعیه امنیتی در آنجا بگردید. از جزئیات تماس چاپ شده در نامه استفاده نکنید.

۳. هر درخواستی برای وارد کردن عبارت دانه به یک وب‌سایت یا برنامه را به عنوان خصمانه در نظر بگیرید. قانون راهنمای بیت‌کوین همان چیزی است که مهم است: شرکت‌های کیف پول معتبر به آن نیاز ندارند و از آن نخواهند پرسید.

۴. "تعویض دستگاه" را از "افشای کلید" جدا کنید. یک دستگاه جدید می‌تواند بدون تایپ کردن عبارت دانه به یک صفحه وب تنظیم شود. تنها زمانی که عبارت دانه باید استفاده شود، یک بازیابی است که مالک آن را آغاز می‌کند، با استفاده از نرم‌افزار معتبر، نه یک "به‌روزرسانی امنیتی" که شخص دیگری آغاز کرده است.

این جایی است که بهترین شیوه‌های کیف پول سخت‌افزاری از یک چک‌لیست عمومی به یک موضع تبدیل می‌شود. فرض کنید دستگاه‌های ورودی غیرقابل اعتماد هستند تا زمانی که خلاف آن ثابت شود و فرض کنید دستورالعمل‌های ورودی خصمانه هستند تا زمانی که تأیید شوند.

مورد تیک‌تاک برچسب هشدار واضحی برای منشأ است. کوین‌تلگراف پلتفرم‌های رسانه‌های اجتماعی، از جمله تیک‌تاک، را به عنوان مکان‌های رایج برای کلاهبرداری‌ها و فروش‌های کیف پول سخت‌افزاری آسیب‌دیده توصیف می‌کند. "مهر و موم شده" یک سیگنال بازاریابی است، نه یک اثبات امنیتی.

نزدیک به پایان هر گفت‌وگوی پیشگیری، چارچوب وسیع‌تر مهم است: عادات پیشگیری از کلاهبرداری کیف پول. همان انضباط تأیید که یک نامه جعلی لجر را مسدود می‌کند، همچنین دامنه‌های شبیه‌سازی شده، دانلودهای برنامه مخرب و رشته‌های پشتیبانی جعل شده را مسدود می‌کند.اگر قبلاً با یکی از آن‌ها تعامل داشته‌ایدخسارت بستگی به این دارد که کدام مرحله انجام شده است. باز کردن یک نامه نقطه شکست نیست. نقطه شکست افشای اسرار یا مهاجرت تحت دستورالعمل‌های مهاجم است.

وضعیت را به ترتیب اولویت‌بندی کنید:

۱. اگر عبارت دانه در هر سایت یا برنامه‌ای تایپ شده است، آن را به عنوان آسیب‌دیده در نظر بگیرید. مدل راهنمای بیت‌کوین در اینجا بی‌رحم است: هر کسی که ۱۲، ۱۸ یا ۲۴ کلمه را داشته باشد، کنترل وجوه را در دست دارد.

۲. اگر یک معامله امضا شده یا یک پیام تحت فشار تأیید شده است، فرض کنید مهاجم در حال تلاش برای فیشینگ امضا بوده و بررسی کنید که چه چیزی مجاز شده است. هدف در این جریان‌ها تبدیل یک لحظه وحشت به یک مجوز پایدار است.

۳. اگر وجوه قبلاً منتقل شده‌اند، انتظار یک احتمال پایین برای بازیابی داشته باشید. مثال کوین‌تلگراف اشاره می‌کند که SlowMist می‌تواند وجوه دزدیده شده را ردیابی کند اما امید کمی برای بازیابی پس از نشت کلید توصیف کرده است.

هدف فوری پس از مشکوک شدن به افشا، متوقف کردن هرگونه خسارت بیشتر است، نه بحث با نامه. این به معنای متوقف کردن هرگونه مراحل "به‌روزرسانی" بیشتر، تأیید از طریق کانال‌های رسمی که به طور مستقل پیدا شده‌اند و در نظر گرفتن هر پیام ورودی جدید به عنوان بخشی از همان کمپین است.

حقیقت ناخوشایند این است که پاسخ معمولاً بدتر از پیشگیری است زیرا انتقال‌های کریپتو معمولاً پس از تأیید غیرقابل برگشت هستند. به همین دلیل است که این کلاهبرداری‌ها حول یک لحظه غیرقابل برگشت ساخته شده‌اند: خارج کردن عبارت دانه از دستگاه و خارج از کنترل مالک.

نگاه

من دیده‌ام که مردم یک پاکت برنددار را مانند یک به‌روزرسانی امنیتی از اپل می‌بینند. این واکنش دقیقاً همان چیزی است که کلاهبرداری‌های نامه‌ای کیف پول سخت‌افزاری تقلبی با هزینه پست خریداری می‌کنند. نامه هک نیست. هک، روند «مهاجرت» اجباری است که یک کیف پول سخت‌افزاری را به یک رویداد استخراج عبارت seed تبدیل می‌کند.

گران‌ترین تصور نادرست این است که فکر کنیم بسته‌بندی مرز امنیتی است. ضرر ۶.۹ میلیون دلاری کیف پول «مهر و موم شده» در تیک‌تاک Cointelegraph یادآور این است که اصالت بر بسته‌بندی غلبه می‌کند. زمان را کند کنید، از نشانه‌های خود تأیید کنید و عبارت seed را در مسیر خود نگه دارید. اگر آن کلمات هرگز در یک سایت یا اپلیکیشن تایپ نشوند، کلاهبرداری چیزی برای دزدیدن ندارد.

منابع

PCMag

Binance Square

راهنمای بیت‌کوین

Cointelegraph

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

پرسش‌های متداول

اگر نامه‌ای دریافت کنم که بگوید Ledger یا Trezor من به خطر افتاده است، چه کار باید بکنم؟

به طور پیش‌فرض آن را به عنوان تهدید در نظر بگیرید و روند کار را متوقف کنید. هیچ کد QR یا لینکی را که در نامه چاپ شده است اسکن نکنید و از هیچ شماره تلفنی استفاده نکنید. با مراجعه به وب‌سایت رسمی تولیدکننده از طریق بوکمارک خود یا تایپ دستی و بررسی اطلاعیه امنیتی مطابقت، صحت آن را تأیید کنید.

آیا تیم‌های پشتیبانی Ledger یا Trezor هرگز از شما می‌خواهند که عبارت بازیابی خود را ارائه دهید؟

خیر. عبارت بازیابی معمولاً شامل ۱۲، ۱۸ یا ۲۴ کلمه است و به عنوان کلید دسترسی به وجوه عمل می‌کند و شرکت‌های کیف پول معتبر به آن نیازی ندارند و از شما نخواهند خواست. هرگونه درخواست برای وارد کردن آن به یک وب‌سایت یا اپلیکیشن، نشانه‌ای از خطر است.

آیا یک کیف پول سخت‌افزاری مهر و موم شده اگر به نظر باز نشده باشد، ایمن است؟

ضروری نیست. Cointelegraph موردی را توصیف کرد که اعتماد به یک کیف پول سخت‌افزاری مهر و موم شده که از طریق TikTok به دست آمده، منجر به از دست دادن ۶.۹ میلیون دلار شد. بسته‌بندی به عنوان یک مدرک رمزنگاری شده از اصالت عمل نمی‌کند، به ویژه زمانی که دستگاه از رسانه‌های اجتماعی یا بازارها آمده باشد.

چگونه کلاهبرداری‌های کیف پول QR به نامه‌های کیف پول سخت‌افزاری متصل می‌شوند؟

کد QR اغلب پل ارتباطی از یک نامه فیزیکی به یک سایت فیشینگ یا دانلود مخرب است. این کار اصطکاک را کاهش می‌دهد و جریان «تعویض/به‌روزرسانی» را رسمی‌تر جلوه می‌دهد. هدف نهایی معمولاً این است که شما را وادار به افشای عبارت بازیابی خود یا تأیید یک اقدام ناامن کند.

اگر عبارت بازیابی خود را در یک وب‌سایت وارد کرده‌ام، آیا می‌توانم ارزهای دیجیتال خود را برگردانم؟

بازیابی معمولاً پس از نشت کلیدها و جابجایی وجوه غیرمحتمل است. Cointelegraph اشاره می‌کند که SlowMist می‌توانست در یک مورد وجوه دزدیده شده را ردیابی کند، اما امید کمی برای بازیابی پس از نشت کلید کیف پول سرد وجود داشت. اولویت جلوگیری از خسارت بیشتر و در نظر گرفتن عبارت بازیابی به عنوان به خطر افتاده است.