在信息安全的世界裡,人們常常將安全比作一條鏈條,而這條鏈條的強度,往往取決於它最薄弱的那一環。當我們把視線聚焦於密碼系統,會發現其真正的“阿喀琉斯之踵”並非那些複雜精妙的算法,而是使用這些系統的人。
當整個市場還在熱衷於構建更為複雜的密碼學保護機制時,攻擊者們早已另闢蹊徑,找到了一條更為便捷的道路:他們不再執著於破解密碼本身,而是將目標轉向操縱那些使用密碼的人。因為與攻克堅不可摧的技術壁壘相比,利用人性的弱點往往更加容易得手。
人員既是安全防線中最容易被突破的環節,又是最容易被忽視的一環。換句話說,相較於投入大量資源不斷升級的技術防禦體系,黑客們更容易從人員身上找到漏洞並加以利用。與此同時,企業在人員安全意識培訓方面的投入往往不足,導致這一短板的提升速度遠遠落後於其他安全領域。
根據區塊鏈分析公司 Chainalysis 的最新報告顯示,2024 年,僅朝鮮黑客就發動了 47 次複雜的攻擊活動,從全球加密資產平臺盜走了價值高達 13 億美元的資產,同比增長 21%。更令人震驚的是,2025 年 2 月 21 日,Bybit 交易所遭遇了一場駭客攻擊,導致價值約 15 億美元的加密資產被盜,這也創下了加密貨幣歷史上單次盜竊案的新紀錄。
在過往發生的諸多重大攻擊事件中,許多並非通過傳統的技術漏洞實現。儘管交易所和項目方每年投入數十億美元用於技術防護,但在這個看似由數學和代碼構建的世界裡,許多參與者往往低估了社會工程學所帶來的潛在威脅。
在信息安全領域,社會工程學一直是一種獨特且極具危險性的攻擊手段。它與通過技術漏洞或加密算法缺陷來入侵系統的方式截然不同,而是主要利用人類心理上的弱點和行為習慣,對受害者實施欺騙和操控。它往往不需要太過高深的技术门槛,却往往能造成极其严重的损失。
數字時代的到來為社會工程學提供了新的工具和舞臺。在加密領域,這種演變尤為明顯。早期的加密資產社區主要由技術愛好者和密碼朋克組成,他們普遍具備較高的警惕性和一定的技術素養。但隨著加密資產逐漸普及,越來越多並不精通相關技術的新用戶湧入市場,這也為社會工程學攻擊創造了肥沃的土壤。
另一方面,高度匿名和不可逆轉的交易特性,使得加密資產成為攻擊者收割利潤的理想目標。一旦資金被轉移至他們所控制的錢包,幾乎無法追回。
社會工程學之所以在加密領域能夠輕易得手,很大程度上源於人類決策過程中的各種認知偏差。確認偏誤會讓投資者只關注符合其預期的信息,從眾心理則容易引發市場泡沫,FOMO(害怕錯過)情緒常常導致人們在面臨虧損時做出非理性的選擇。攻擊者正是通過熟練運用這些心理弱點,巧妙地將其“武器化”。
相比於嘗試破解複雜的加密算法,發動社會工程學攻擊的成本更低,成功率也更高。一封精心僞造的釣魚郵件、一份看似正規卻暗藏陷阱的求職邀請,往往比直面技術難題更為有效。
社會工程學攻擊手法雖然種類繁多,但其核心邏輯始終圍繞著“騙取目標的信任和信息”這一點展開。以下是對幾種常見手段的簡要說明:
電子郵件/短信釣魚: 攻擊者會利用偽裝成交易所、錢包服務商或其他可信機構的鏈接,誘騙用戶輸入種子短語、私鑰、賬號密碼等敏感信息。
仿冒社交平臺賬號: 在 Twitter、Telegram、Discord 等平臺上,攻擊者會假冒“官方客服”、“知名 KOL”或“項目方”,發佈帶有虛假鏈接或虛假活動信息的帖子,誘騙用戶點擊並輸入密鑰或發送加密貨幣。
瀏覽器擴展或假網站: 攻擊者會構建與真實交易所或錢包網站極其相似的山寨網站,或誘導用戶安裝惡意瀏覽器擴展。一旦用戶在這些頁面上輸入或授權,就會洩露密鑰。
這種情況常見於 Telegram 或 Discord 群組中,攻擊者會冒充“管理員”或“技術客服”,以幫助解決充值不到賬、提幣失敗、錢包同步出錯等問題為由,引導用戶交出私鑰或將幣轉入指定地址。
他們也可能通過私信或小群組拉攏受害者,謊稱能夠“幫忙找回丟失的幣”,實際上是誘騙更多的資金或獲取密鑰。
攻擊者通過收買或欺騙電信運營商客服,使得受害者手機號在後臺被轉移到攻擊者手上。一旦手機號被盜用,攻擊者便可通過短信驗證、雙重驗證(2FA)等方式重置交易所、錢包或社交賬戶密碼,從而盜取加密資產。
SIM Swap 在美國等地發生的案例較多,但也有此類案件在其他國家出現。
攻擊者會假借招聘的名義,向目標的郵箱或社交媒體賬戶發送帶有惡意文件或鏈接的“工作邀請”,誘騙目標下載並執行木馬程序。
如果攻擊對象是加密公司內部員工或核心開發者,又或是個人持有大量加密貨幣的“重度用戶”,則可能導致公司基礎設施被入侵、密鑰被竊取等嚴重後果。
2022 年 Axie Infinity 的 Ronin 橋安全事故,據 The Block 報導該攻擊事件與一個虛假的招聘廣告相關。知情人士透露,黑客通過領英聯系了 Axie Infinity 開發商 Sky Mavis 的一名員工,經過幾輪面試告知其以高薪被錄用。隨後該員工下載了以 PDF 文檔呈現的僞造的錄取信,導致黑客軟件滲透到 Ronin 的系統,從而黑客攻擊並接管 Ronin 網絡上九個驗證器中的四個,只差一個驗證器無法完全控制,隨後又控制了未撤銷權限的 Axie DAO 來實現最終的入侵。
在 Twitter、Telegram 等平臺上,經常會出現一些假冒“官方”的活動,例如“只要轉 x 個幣到某地址,即可翻倍返還”等等,但這些實際上都是詐騙。
攻擊者也常常以“白名單空投”、“測試網空投”為名,通過讓用戶點擊未知鏈接或連接釣魚網站錢包的形式,誘騙密鑰或授權,從而盜取加密貨幣。
2020 年,奧巴馬、拜登、巴菲特、比爾·蓋茨在內的多位美國政商名流以及多家知名企業的社交媒體推特賬號失竊。黑客盜取密碼、接管賬戶後發佈消息,以雙倍返還為誘餌,讓用戶將加密貨幣資金發送到指定的賬戶地址鏈接。近幾年 YouTube 上仍然存在大量冒充馬斯克的“雙倍返還”騙局。
一些加密貨幣公司或項目團隊的離職員工,或是被攻擊者收買的在職員工,會利用其對內部系統與操作流程的熟悉,竊取用戶數據庫、私鑰或執行未授權的交易。
在這類場景中,技術漏洞與社會工程的結合往往更為緊密,也更容易造成較大規模的損失。
攻擊者會在 eBay、閒魚、Telegram 群組或其他電商/二手交易平臺上,以低於市場價或保真保證等噱頭出售硬件錢包,但實際上設備內部的芯片或固件已被替換。也有用戶可能在無意中購買翻新機或二手硬件錢包時,被賣家預先導入了私鑰。一旦買家存入資金,攻擊者就可以隨時用相同的私鑰取走。
此外,有些用戶在數據洩露事件後,可能會收到偽裝成廠商(例如 Ledger)寄來的免費更換設備或安全升級版設備,包裝內還附帶了新的助記詞卡片和操作說明。一旦用戶使用這些預置的助記詞,或將原助記詞遷移到假設備,攻擊者就能掌握該錢包的全部資產訪問權限。
上述例子只是冰山一角,社會工程學的多樣性和靈活性使得它在加密貨幣領域的破壞力尤為顯著。對於絕大多數普通用戶來說,這些攻擊往往防不勝防。
貪婪心理始終是最容易被操縱的弱點。在市場極度活躍時,一些人會因為從眾效應,對忽然爆紅的項目一哄而上。他們渴望快速致富,卻往往忽略了背後潛藏的巨大風險。攻擊者正是利用這種心理,編織出一個個看似誘人的“一夜暴富”神話,引誘投資者上鉤。
恐懼和不確定感也是社會工程學常用的突破口。在加密貨幣市場劇烈震盪或項目出現問題時,詐騙者會發布“緊急通知”,聲稱項目處於極端危險狀況,誘導用戶趕緊將資金轉移到所謂的“安全地址”。許多新手由於懼怕損失,難以保持清醒思考,往往容易被裹挾進這種恐慌情緒中,最終落入陷阱。
FOMO(害怕錯過)心態在加密生態裡更是隨處可見。害怕錯過下一輪牛市或下一個比特幣,導致人們急於投入資金和參與項目,卻缺乏對風險與真偽的基本鑑別能力。社會工程學攻擊者只需營造一種機會稍縱即逝、一旦錯過再無翻倍可能的氛圍,就足以讓一部分投資者自投羅網。他們會利用“內部消息”、“限時優惠”等說辭,刺激投資者的 FOMO 情緒,使其做出倉促的決定。
社會工程學之所以難防,正是因為它面向的是人的認知盲區和心理弱點。作為投資者,應該注意以下關鍵要點:
人性是社會工程學能夠反覆得手的根基。攻擊者會針對從眾心理、貪婪、恐懼、不安全感以及 FOMO(害怕錯過)等特質,設計出形形色色的騙局。
區塊鏈與加密領域的技術迭代與業務模式不斷拓展,社會工程學手段也會隨之進化。深度偽造技術(Deepfake)的成熟,可能在不遠的將來呈現出更大的威脅。攻擊者或許會通過合成視頻及音頻的方式,逼真地冒充項目負責人,與受害者實時連線,騙取信任。
多維度社交工程亦將升級。攻擊者可能跨多個社交平臺、長時間潛伏並收集信息,再通過精心設計的情感操控對目標下手。他們會利用受害者的個人信息、興趣愛好等,建立虛假的親密關係,最終達到詐騙的目的。
社會工程學的持續存在提醒我們,無論技術如何先進,人類因素仍然是系統的核心組成部分。完全消除社會工程學的影響可能是不現實的,只有同時關注代碼和人,才可以幫助我們構建更具韌性的系統。
這意味著,我們需要不斷提升安全意識,培養批判性思維,同時也要加強技術防護,例如使用多重身份驗證、定期更新軟件等。只有將人和技術的力量結合起來,才能更好地應對日益複雜的社會工程學威脅,守護我們的數字資產。
Coinbase交易所2024年第四季財報深度解析:牛市行情下的豐收與挑戰|Web3+
2025-03-15
