
کلاهبرداریهای نامهای کیف پول سختافزاری جعلی: چگونه “تله مهاجرت” عبارت کلیدی شما را میدزدد
کلاهبرداریهای نامهای کیف پول سختافزاری جعلی از طریق پست فیزیکی برای جعل هویت لجر، ترزور و سایر برندها استفاده میکنند و سپس گیرندگان را تحت فشار قرار میدهند تا یک "تعویض امنیتی" یا "بهروزرسانی نرمافزاری" انجام دهند که عبارت دانههای آنها را استخراج میکند. هنگامی که آن ۱۲، ۱۸ یا ۲۴ کلمه نشت کند، مهاجمان میتوانند کیف پول را در جای دیگری بازسازی کرده و وجوه را در معاملاتی که معمولاً غیرقابل برگشت هستند، منتقل کنند.
نکات کلیدی
- این کلاهبرداریها یک "تله مهاجرت" دو مرحلهای هستند: یک نامه یا بسته فیزیکی اقتدار را تولید میکند، سپس یک مرحله بازیابی یا وارد کردن اجباری عبارت دانه را به دام میاندازد.عبارت دانه..
- مهاجم نیازی به شکستن رمزنگاری یک "کیف پول سختافزاری" ندارد. آنها فقط به عبارت دانه نیاز دارند، که شرکتهای کیف پول معتبر به آن نیاز ندارند و از آن نخواهند پرسید.بستهبندی "مهر و موم شده" و نامههای شبیه برند سیگنالهای امنیتی نیستند. منشأ و تأیید مستقل مهم هستند.اگر وجوه پس از نشت کلید منتقل شوند، بازیابی معمولاً غیرمحتمل است حتی زمانی که محققان میتوانند ردپای آن را دنبال کنند، بنابراین پیشگیری بهتر از پاسخ است.
- چگونه کلاهبرداریهای نامهای کیف پول جعلی کار میکنند
- بازی با پست فیزیکی شروع میشود زیرا از فیلترهای اسپم ذهنی که مردم برای ایمیل و پیامهای مستقیم استفاده میکنند، عبور میکند. یک نامه بر روی کاغذی شبیه برند، گاهی اوقات همراه با یک دستگاه ناخواسته، احساس میکند که یک تولیدکننده شناختهشده در حال اجرای یک اصلاح رسمی است. به همین دلیل است که این الگو اغلب به عنوان فیشینگ فیزیکی توصیف میشود: روش تحویل آفلاین است، اما محموله هنوز یک روند فیشینگ است.
ساختار کلاهبرداری در نسخههای "نامه جعلی لجر" و "کلاهبرداری نامهای ترزور" یکسان است. نامه ادعا میکند که یک نقض، بهرهبرداری یا مشکل امنیتی فوری وجود دارد و گیرنده را به عنوان کسی که در حال حاضر در معرض خطر است، معرفی میکند. PCMag نسخهای را مستند کرده است که در آن کلاهبرداران سختافزار جعلی لجر را با نامهای ارسال کردند که ادعا میکرد دستگاه موجود قربانی امن نیست. بایننس بعداً یک تنظیم مشابه را توصیف کرد: یک بسته ناخواسته حاوی یک دستگاه لجر و نامهای که ادعا میکرد به دلیل نقض دادههای لجر ارسال شده است و به کاربر دستور میدهد که دستگاه خود را تعویض کند.
از آنجا، نامه قربانی را به یک مرحله مهاجرت هدایت میکند. دستورالعملها معمولاً به یک URL یا یک کلاهبرداری کیف پول QR کد اشاره میکنند که به یک سایت شبیهسازی شده میرسد یا دانلود یک برنامه را درخواست میکند. به قربانی گفته میشود که "تأیید کند"، "بازیابی کند" یا "وارد کند" تا وجوه را ایمن کند. آن مرحله هدف کلی است.
اگر قربانی عبارت دانه را در هر چیزی که به اینترنت متصل است، تایپ کند، خرید کیف پول سختافزاری به یک رویداد استخراج کلید تبدیل شده است.
به همین دلیل است که دسته وسیعتری از کلاهبرداریهای کیف پول کریپتو و نحوه جلوگیری از آنها به یک قانون برمیگردد. کلاهبرداری در صورتی که تأیید از طریق کانالهای رسمی مستقل انجام شود و عبارت دانه هرگز از فرآیند پشتیبانگیری آفلاین قربانی خارج نشود، فرو میریزد.
مکانیسم پشت سرقت
یک کیف پول سختافزاری یک دستگاه امضا است، نه یک خزانه جادویی. این دستگاه برای نگهداشتن "کلیدهای خصوصی" در خارج از یک کامپیوتر متصل به اینترنت ساخته شده است در حالی که هنوز اجازه میدهد معاملات امضا شوند. نقطه ضعف هدف قرار گرفته شده توسط ایمیل فیشینگ کیف پول سختافزاری، رمزنگاری دستگاه نیست. این مسیر بازیابی است.
مسیر بازیابی عبارت دانه است: معمولاً ۱۲، ۱۸ یا ۲۴ کلمه که کنترل وجوه را در دست دارند. راهنمای "بیتکوین" در دو نکته که در اینجا مهم است، صریح است. اول، آن کلمات به عنوان کلید کیف پول عمل میکنند. دوم، شرکتهای کیف پول معتبر به آنها نیاز ندارند و از آنها نخواهند پرسید. به همین دلیل است که روایت "دستگاه خود را تعویض کنید" اینقدر مؤثر است. این درخواست برای تنها رازی که مهم است را به یک روندی که به نظر میرسد پشتیبانی مشتری است، قاچاق میکند.
پس از اینکه یک مهاجم عبارت دانه را به دست آورد، بقیه ساده است. آنها میتوانند کیف پول را بر روی دستگاه یا کیف پول نرمافزاری خود بازیابی کرده و "داراییها" را خارج کنند.
کیف پول سختافزاری اصلی قربانی هنوز میتواند به صورت فیزیکی در دست باشد و هنوز هم در معنای محدود "ایمن" باشد، در حالی که وجوه قبلاً رفتهاند زیرا مهاجم از یک وضعیت کیف پول کپی شده عمل میکند."بستهبندی مهر و موم شده" این مشکل را حل نمیکند. کوینتلگراف موردی را توصیف کرد که در آن یک کاربر به یک کیف پول سختافزاری مهر و موم شده که از طریق تیکتاک به دست آمده بود، اعتماد کرد و ۶.۹ میلیون دلار از دست داد. این بخش به طور کامل جزئیات نمیدهد که آیا این نقض از یک دانه پیشتولید شده، یک جریان تنظیم شده دستکاری شده، یا یک بسته دوباره مهر و موم شده ناشی شده است، اما درس واضح است: بستهبندی یک تضمین رمزنگاری از منشأ نیست.زمانی که کلیدها نشت میکنند و وجوه منتقل میشوند، گزینههای مدافع به سرعت کاهش مییابد. کوینتلگراف اشاره میکند که SlowMist میتواند وجوه دزدیده شده را ردیابی کند، اما امید کمی برای بازیابی پس از نشت کلید "کیف پول سرد" توصیف کرد. این عدم تقارن است که این کلاهبرداریها از آن بهرهبرداری میکنند.
نمونههای واقعی و طعمههای رایجلایه قانعکننده در کانالها به طرز قابل توجهی تکراری است. راهنمای بیتکوین کمپینهای فیشینگ را توصیف میکند که به عبارات فوری مانند "بهروزرسانی امنیتی"، "داراییها در حال بهروزرسانی" و "فعالیت مشکوک" تکیه میکنند، که با جعل برند همراه است. نسخه نامه فیزیکی از همان متن استفاده میکند، فقط در یک پاکت تحویل داده میشود.سه مثال مستند الگو را ترسیم میکنند:
۱. ۲۰ ژوئن ۲۰۲۱: PCMag گزارش داد که کلاهبرداران دستگاههای جعلی لجر را با نامهای ارسال کردند که ادعا میکرد دستگاه موجود گیرنده ناامن است.
نامه به عنوان ابزار اقتدار عمل میکند و دستگاه به عنوان تقویتکننده اعتماد.۲. ۲۴ ژانویه ۲۰۲۴: راهنمای بیتکوین یک حادثه ایمیل جعل ترزور را توصیف میکند که به نقض یک ارائهدهنده شخص ثالث مرتبط است و به گزارش بلاکید اشاره میکند که خساراتی بیش از ۶۰۰،۰۰۰ دلار از قربانیانی که پاسخ دادهاند، ثبت شده است. این یک نامه نیست، اما نشان میدهد که چگونه ارتباطات "به نظر رسمی" میتواند حتی زمانی که از یک دامنه معتبر ناشی میشود، مؤثر باشد.۳.
۱۲ اوت ۲۰۲۵: کوینتلگراف خسارت ۶.۹ میلیون دلاری کیف پول "مهر و موم شده" تیکتاک را بازگو کرد و تیکتاک و پلتفرمهای اجتماعی مشابه را به عنوان مکانهای رایج برای فروش کیف پول سختافزاری و سایر کلاهبرداریها علامتگذاری کرد.
طعمهها بر یک عمل متمرکز میشوند: قربانی را وادار به انجام یک بازیابی یا وارد کردن میکنند که آنها آغاز نکردهاند. به همین دلیل است که کدهای QR اینقدر رایج هستند. یک کد QR اصطکاک تایپ یک URL را حذف میکند و انتقال از کاغذ به تلفن را به عنوان یک مرحله عادی در نظر میگیرد.
برخی از جریانها همچنین سعی میکنند از ضبط دانه به فیشینگ امضا افزایش یابند، جایی که قربانی به تأیید یک معامله یا پیامی که دسترسی یا مجوزها را اعطا میکند، تحت فشار قرار میگیرد. شرط پیروزی اصلی کلاهبرداری نامهای هنوز عبارت دانه است، اما همان ترفندهای فوری و اقتدار برای دریافت امضاها زمانی که مهاجم نمیتواند کلمات را به دست آورد، استفاده میشود.چگونه آنها را شناسایی و از آنها جلوگیری کنیمدفاع این نیست که "هوشمندتر باشید". بلکه باید دو مزیت کلاهبرداری را حذف کنید: زمان و کانال. فوریت مزیت است و کد QR یا "لینک" نامه در واقع درب تله است.
یک فرآیند تصمیمگیری ساده بیشتر کلاهبرداریهای نامهای کیف پول سختافزاری جعلی را شکست میدهد:
۱. بلافاصله روند را متوقف کنید. کد QR را اسکن نکنید، روی لینک کلیک نکنید و دستگاه ناخواسته را وصل نکنید.
۲. از طریق کانالهای مستقل تأیید کنید. از یک نشانهگذاری معتبر استفاده کنید یا به صورت دستی به سایت رسمی تولیدکننده بروید و سپس به دنبال یک اطلاعیه امنیتی در آنجا بگردید. از جزئیات تماس چاپ شده در نامه استفاده نکنید.
۳. هر درخواستی برای وارد کردن عبارت دانه به یک وبسایت یا برنامه را به عنوان خصمانه در نظر بگیرید. قانون راهنمای بیتکوین همان چیزی است که مهم است: شرکتهای کیف پول معتبر به آن نیاز ندارند و از آن نخواهند پرسید.
۴. "تعویض دستگاه" را از "افشای کلید" جدا کنید. یک دستگاه جدید میتواند بدون تایپ کردن عبارت دانه به یک صفحه وب تنظیم شود. تنها زمانی که عبارت دانه باید استفاده شود، یک بازیابی است که مالک آن را آغاز میکند، با استفاده از نرمافزار معتبر، نه یک "بهروزرسانی امنیتی" که شخص دیگری آغاز کرده است.
این جایی است که بهترین شیوههای کیف پول سختافزاری از یک چکلیست عمومی به یک موضع تبدیل میشود. فرض کنید دستگاههای ورودی غیرقابل اعتماد هستند تا زمانی که خلاف آن ثابت شود و فرض کنید دستورالعملهای ورودی خصمانه هستند تا زمانی که تأیید شوند.
مورد تیکتاک برچسب هشدار واضحی برای منشأ است. کوینتلگراف پلتفرمهای رسانههای اجتماعی، از جمله تیکتاک، را به عنوان مکانهای رایج برای کلاهبرداریها و فروشهای کیف پول سختافزاری آسیبدیده توصیف میکند. "مهر و موم شده" یک سیگنال بازاریابی است، نه یک اثبات امنیتی.
نزدیک به پایان هر گفتوگوی پیشگیری، چارچوب وسیعتر مهم است: عادات پیشگیری از کلاهبرداری کیف پول. همان انضباط تأیید که یک نامه جعلی لجر را مسدود میکند، همچنین دامنههای شبیهسازی شده، دانلودهای برنامه مخرب و رشتههای پشتیبانی جعل شده را مسدود میکند.اگر قبلاً با یکی از آنها تعامل داشتهایدخسارت بستگی به این دارد که کدام مرحله انجام شده است. باز کردن یک نامه نقطه شکست نیست. نقطه شکست افشای اسرار یا مهاجرت تحت دستورالعملهای مهاجم است.
وضعیت را به ترتیب اولویتبندی کنید:
۱. اگر عبارت دانه در هر سایت یا برنامهای تایپ شده است، آن را به عنوان آسیبدیده در نظر بگیرید. مدل راهنمای بیتکوین در اینجا بیرحم است: هر کسی که ۱۲، ۱۸ یا ۲۴ کلمه را داشته باشد، کنترل وجوه را در دست دارد.
۲. اگر یک معامله امضا شده یا یک پیام تحت فشار تأیید شده است، فرض کنید مهاجم در حال تلاش برای فیشینگ امضا بوده و بررسی کنید که چه چیزی مجاز شده است. هدف در این جریانها تبدیل یک لحظه وحشت به یک مجوز پایدار است.
۳. اگر وجوه قبلاً منتقل شدهاند، انتظار یک احتمال پایین برای بازیابی داشته باشید. مثال کوینتلگراف اشاره میکند که SlowMist میتواند وجوه دزدیده شده را ردیابی کند اما امید کمی برای بازیابی پس از نشت کلید توصیف کرده است.
هدف فوری پس از مشکوک شدن به افشا، متوقف کردن هرگونه خسارت بیشتر است، نه بحث با نامه. این به معنای متوقف کردن هرگونه مراحل "بهروزرسانی" بیشتر، تأیید از طریق کانالهای رسمی که به طور مستقل پیدا شدهاند و در نظر گرفتن هر پیام ورودی جدید به عنوان بخشی از همان کمپین است.
حقیقت ناخوشایند این است که پاسخ معمولاً بدتر از پیشگیری است زیرا انتقالهای کریپتو معمولاً پس از تأیید غیرقابل برگشت هستند. به همین دلیل است که این کلاهبرداریها حول یک لحظه غیرقابل برگشت ساخته شدهاند: خارج کردن عبارت دانه از دستگاه و خارج از کنترل مالک.
نگاه
من دیدهام که مردم یک پاکت برنددار را مانند یک بهروزرسانی امنیتی از اپل میبینند. این واکنش دقیقاً همان چیزی است که کلاهبرداریهای نامهای کیف پول سختافزاری تقلبی با هزینه پست خریداری میکنند. نامه هک نیست. هک، روند «مهاجرت» اجباری است که یک کیف پول سختافزاری را به یک رویداد استخراج عبارت seed تبدیل میکند.
گرانترین تصور نادرست این است که فکر کنیم بستهبندی مرز امنیتی است. ضرر ۶.۹ میلیون دلاری کیف پول «مهر و موم شده» در تیکتاک Cointelegraph یادآور این است که اصالت بر بستهبندی غلبه میکند. زمان را کند کنید، از نشانههای خود تأیید کنید و عبارت seed را در مسیر خود نگه دارید. اگر آن کلمات هرگز در یک سایت یا اپلیکیشن تایپ نشوند، کلاهبرداری چیزی برای دزدیدن ندارد.
منابع
PCMag
Binance Square
راهنمای بیتکوین
Cointelegraph
پرسشهای متداول
اگر نامهای دریافت کنم که بگوید Ledger یا Trezor من به خطر افتاده است، چه کار باید بکنم؟
به طور پیشفرض آن را به عنوان تهدید در نظر بگیرید و روند کار را متوقف کنید. هیچ کد QR یا لینکی را که در نامه چاپ شده است اسکن نکنید و از هیچ شماره تلفنی استفاده نکنید. با مراجعه به وبسایت رسمی تولیدکننده از طریق بوکمارک خود یا تایپ دستی و بررسی اطلاعیه امنیتی مطابقت، صحت آن را تأیید کنید.
آیا تیمهای پشتیبانی Ledger یا Trezor هرگز از شما میخواهند که عبارت بازیابی خود را ارائه دهید؟
خیر. عبارت بازیابی معمولاً شامل ۱۲، ۱۸ یا ۲۴ کلمه است و به عنوان کلید دسترسی به وجوه عمل میکند و شرکتهای کیف پول معتبر به آن نیازی ندارند و از شما نخواهند خواست. هرگونه درخواست برای وارد کردن آن به یک وبسایت یا اپلیکیشن، نشانهای از خطر است.
آیا یک کیف پول سختافزاری مهر و موم شده اگر به نظر باز نشده باشد، ایمن است؟
ضروری نیست. Cointelegraph موردی را توصیف کرد که اعتماد به یک کیف پول سختافزاری مهر و موم شده که از طریق TikTok به دست آمده، منجر به از دست دادن ۶.۹ میلیون دلار شد. بستهبندی به عنوان یک مدرک رمزنگاری شده از اصالت عمل نمیکند، به ویژه زمانی که دستگاه از رسانههای اجتماعی یا بازارها آمده باشد.
چگونه کلاهبرداریهای کیف پول QR به نامههای کیف پول سختافزاری متصل میشوند؟
کد QR اغلب پل ارتباطی از یک نامه فیزیکی به یک سایت فیشینگ یا دانلود مخرب است. این کار اصطکاک را کاهش میدهد و جریان «تعویض/بهروزرسانی» را رسمیتر جلوه میدهد. هدف نهایی معمولاً این است که شما را وادار به افشای عبارت بازیابی خود یا تأیید یک اقدام ناامن کند.
اگر عبارت بازیابی خود را در یک وبسایت وارد کردهام، آیا میتوانم ارزهای دیجیتال خود را برگردانم؟
بازیابی معمولاً پس از نشت کلیدها و جابجایی وجوه غیرمحتمل است. Cointelegraph اشاره میکند که SlowMist میتوانست در یک مورد وجوه دزدیده شده را ردیابی کند، اما امید کمی برای بازیابی پس از نشت کلید کیف پول سرد وجود داشت. اولویت جلوگیری از خسارت بیشتر و در نظر گرفتن عبارت بازیابی به عنوان به خطر افتاده است.