تصور کنید نیمهشب پیامکی از طرف بانک یا صرافی ارز دیجیتال دریافت میکنید که حساب شما نیاز به تأیید فوری دارد. علی، یک سرمایهگذار کنجکاو، همین موقع چنین پیامی دریافت کرد. او روی لینک مشکوک کلیک کرد یا شاید کدی را که کلاهبردار با مهندسی اجتماعی از او خواسته بود، ارسال کرد. صبح روز بعد، علی با ناباوری دید که موجودی کیف پول ارز دیجیتال او خالی شده است! این سناریو ترسناک برای هر کسی ممکن است رخ بدهد. حملات مهندسی اجتماعی ارز دیجیتال دقیقاً به همین سادگی قربانی میگیرند: به جای حمله فنی به سیستمها، هکرها از اعتماد و ناآگاهی افراد سوءاستفاده میکنند.
در این مقاله آموزشی میخواهیم رایجترین روشهای این نوع حملات – مانند سیمسواپ و فیشینگ – را بررسی کنیم و به شما یاد بدهیم چطور در برابرشان از سرمایه دیجیتال خود محافظت کنید. اگر دغدغه امنیت داراییهای رمزنگاریشده خود را دارید و میخواهید با خیال راحتتری در دنیای ارزهای دیجیتال فعالیت کنید، تا پایان این مطلب همراه ما باشید.
حملات مهندسی اجتماعی ارز دیجیتال چیست؟
مهندسی اجتماعی (Social Engineering) مجموعهای از ترفندها و تکنیکهاست که کلاهبرداران برای فریب دادن مردم و دسترسی به اطلاعات یا داراییهایشان به کار میبرند. به زبان ساده، در یک حمله مهندسی اجتماعی به جای نفوذ فنی به سیستمها، شخص مهاجم با حرفها و رفتارهای حسابشده احساس اعتماد یا اضطرار در قربانی ایجاد میکند تا خود فرد اطلاعات حساسش را در اختیار او بگذارد. این حملات میتوانند در هر حوزهای رخ دهند، اما در حوزه ارزهای دیجیتال به دلیل ماهیت غیرقابلبازگشت تراکنشها و دانش فنی کمتر کاربران تازهکار، بهشدت خطرناکتر شدهاند.
در دنیای ارز دیجیتال، حملات مهندسی اجتماعی اشکال مختلفی دارند. برای مثال ممکن است یک هکر خود را پشتیبان یک صرافی جا بزند و رمز عبور یا کد تأیید شما را بپرسد؛ یا لینک جعلی یک کیف پول ارز دیجیتال را برایتان ارسال کند تا کلیدهای خصوصیتان را سرقت کند. نتیجه همه این روشها یکی است: فرد قربانی با دست خودش راه را برای سرقت ارز دیجیتال باز میکند. در ادامه، مهمترین انواع این حملات را معرفی میکنیم و سپس سراغ روشهای جلوگیری از آنها خواهیم رفت.

حمله سیمسواپ (تعویض سیمکارت) چیست و چگونه انجام میشود؟
یکی از خطرناکترین حملات مهندسی اجتماعی در حوزه کریپتو، حمله سیمسواپ یا تعویض سیمکارت است. در این روش، مهاجم کنترل شماره تلفن همراه شما را به دست میگیرد تا به حسابهای مهمی که با آن شماره ثبت شدهاند دسترسی پیدا کند. اما سیمسواپ دقیقا چگونه اتفاق میافتد؟
مراحل اجرای حمله سیمسواپ
- جمعآوری اطلاعات اولیه: کلاهبردار ابتدا از منابع مختلف، اطلاعات شخصی شما را جمع میکند؛ از جمله نام کامل، شماره ملی، آدرس، تاریخ تولد و هر دادهای که برای جا زدن خود به جای شما به کار بیاید. این اطلاعات ممکن است از شبکههای اجتماعی شما یا حتی نفوذ به پایگاه دادههای لو رفته بهدست بیاید.
- فریب اپراتور مخابرات: در گام بعدی، مهاجم با اطلاعاتی که از شما دارد به شرکت ارائهدهنده سیمکارت (اپراتور) تماس میگیرد یا به شکل حضوری مراجعه میکند. او وانمود میکند که شما است و مثلاً گوشیاش را گم کرده یا سیمکارتش خراب شده است. سپس درخواست یک سیمکارت جدید با همان شماره را میدهد. اگر اپراتور فریب بخورد یا روال احراز هویتشان ضعیف باشد، یک سیمکارت جدید حاوی شماره شما را به کلاهبردار تحویل میدهد.
- غیرفعال شدن سیمکارت اصلی: به محض فعال شدن سیمکارت جدید توسط اپراتور، سیمکارت قدیمی شما از کار میافتد. در این لحظه، عملاً شماره تلفن همراه شما دست کلاهبردار افتاده است. احتمالاً شما متوجه میشوید که گوشیتان ناگهان آنتن نمیدهد و هیچ تماسی یا پیامی دریافت نمیکنید. این یک علامت هشدار است!
- دسترسی به حسابهای ارز دیجیتال: حال مهاجم میتواند با شماره شما وارد حسابهای حساس شود. برای مثال، اگر برای ورود به صرافی یا کیف پول آنلاین خود از تأیید پیامکی (SMS) استفاده کرده باشید، کد ورود یا لینک بازیابی رمزعبور اکنون به گوشی مهاجم ارسال میشود نه شما. کلاهبردار به راحتی با reset کردن رمز عبور ایمیل یا حساب صرافی، کنترل کامل آن را به دست میگیرد و سپس داراییهای ارز دیجیتال شما را به کیف پول خود منتقل میکند.
- خالی کردن حسابها: در عرض چند دقیقه ممکن است مهاجم همه موجودی رمزارز شما را به آدرسی خارج از کنترلتان بفرستد. از آنجا که تراکنشهای ارز دیجیتال غیرقابلبازگشت هستند، عملاً کاری از دست شما برنخواهد آمد. اینجاست که یک سیمکارت کوچک تبدیل به شاهکلیدی برای سرقت دارایی دیجیتال میشود.
مهم است بدانید حملات سیمسواپ به هیچ وجه فرضی یا نادر نیستند؛ بلکه در سالهای اخیر رو به افزایش بودهاند. حتی افراد سرشناسی مثل ویتالیک بوترین (خالق اتریوم) قربانی این حمله شدهاند. در یک مورد، هکرها با ترکیب سیمسواپ و ترفندهای آنلاین توانستند حساب شبکه اجتماعی ویتالیک را هک کرده و با انتشار لینک مخرب، طی یک روز حدود ۶۹۱ هزار دلار ارز دیجیتال را از کاربران به سرقت ببرند. این مثال نشان میدهد هیچکس در برابر این نوع کلاهبرداری مصون نیست، مگر اینکه اقدامات پیشگیرانه انجام دهد که در ادامه به آنها خواهیم پرداخت.
نکاتی برای تشخیص و جلوگیری از سیمسواپ
- قطع شدن ناگهانی سرویس تلفن: اگر سیمکارت شما بدون دلیل موجه از کار افتاد (بدون آنتن ماند یا پیغام "شبکه در دسترس نیست" دیدید)، سریعاً به موضوع مشکوک شوید. این میتواند نشانهای باشد که فردی سیمکارت شما را تعویض کرده است. در چنین حالتی بدون اتلاف وقت با پشتیبانی اپراتور تماس بگیرید و وضعیت را گزارش کنید.
- پیامکهای غیرعادی از سوی اپراتور: گاهی قبل از اجرای سیمسواپ، ممکن است پیامکی درباره فعالسازی سرویس یا انتقال شماره دریافت کنید. این هشدارها را جدی بگیرید و سریعا با اپراتور تماس بگیرید.
- اطلاعرسانی ورود به حسابها: بیشتر پلتفرمهای معتبر (مثل صرافیها یا شبکههای اجتماعی) امکان ارسال ایمیل یا اعلان ورود از دستگاه جدید را دارند. این اعلانها را فعال کنید تا اگر کسی با شماره شما خواست وارد حساب شود، باخبر شوید. به محض دریافت چنین اعلانی، اقدامات امنیتی (تغییر رمز، اطلاع به پشتیبانی) را انجام دهید.
فیشینگ: دامی برای سرقت اطلاعات شما
یکی دیگر از شگردهای متداول مهندسی اجتماعی در حوزه رمز ارز، فیشینگ (Phishing) است. احتمالاً واژه فیشینگ را شنیدهاید؛ حملهای که در آن مهاجم سعی میکند با جعل یک هویت یا وبسایت معتبر، شما را فریب دهد تا اطلاعات حساس خود را در اختیارش بگذارید. در دنیای ارز دیجیتال، فیشینگ معمولاً به یکی از دو صورت زیر انجام میشود:
- ایمیلها یا پیامهای جعلی: ممکن است ایمیلی دریافت کنید که ظاهراً از سوی یک صرافی ارز دیجیتال یا کیف پول آنلاین معتبر ارسال شده است. در این ایمیل گفته میشود مشکلی در حساب شما پیش آمده یا لازم است برای افزایش امنیت روی یک لینک کلیک کنید. ظاهر ایمیل کاملاً حرفهای و شبیه مکاتبات رسمی آن شرکت است، اما لینک داخل آن شما را به یک سایت تقلبی میبرد. در صفحه جعلی، از شما خواسته میشود که اطلاعات ورود (نام کاربری و رمزعبور) یا حتی کلمات بازیابی کیف پول خود را وارد کنید. اگر فریب بخورید و اطلاعات را وارد کنید، عملاً آنها را مستقیماً در اختیار کلاهبردار قرار دادهاید. مهاجم بلافاصله با این اطلاعات وارد حساب واقعی شما میشود و داراییهایتان را منتقل میکند.
- وبسایتها و اپلیکیشنهای جعلی: روش دیگر، ساخت نسخه تقلبی وبسایتها یا برنامههای محبوب است. مثلاً شما قصد دارید وارد سایت کیف پول یا صرافی شوید اما اشتباهاً آدرس را یک حرف غلط تایپ میکنید. سایت جعلی که طراحی آن تقریباً کپی سایت اصلی است برایتان باز میشود. حین وارد کردن اطلاعات ورود، هیچ خطایی نمیبینید و شاید حتی وارد حساب خود نشوید، اما در پشت صحنه همه چیز لو رفته است. نوع دیگری از این ترفند، ساخت اپلیکیشنهای موبایل جعلی (مثلاً نسخه تقلبی اپ یک کیف پول) است که خارج از فروشگاههای رسمی منتشر میشوند. نصب چنین اپهایی مساوی است با در اختیار قرار دادن کلید خصوصی و داراییهای خود به افراد ناشناس!
چگونه متوجه شویم؟ وبسایتهای فیشینگ معمولاً آدرس دامنهای بسیار شبیه به سایت اصلی دارند (مثلاً استفاده از 0 به جای o یا تغییرات جزئی دیگر). همچنین ایمیلهای فیشینگ اگر با دقت بررسی شوند، اغلب از دامنه رسمی آن شرکت ارسال نشدهاند. اگر نامهای از سمت مثلاً support@exchanqe.com (به جای exchange.com) دیدید، نشانه خطر است. هیچ شرکت معتبری از شما کلمات عبور یا کلید خصوصی را در ایمیل نمیخواهد.
جعل هویت و کلاهبرداری در شبکههای اجتماعی
یکی دیگر از انواع حملات مهندسی اجتماعی، فریب از طریق تماس تلفنی یا شبکههای اجتماعی است. در این روش، شخص کلاهبردار مستقیماً با شما ارتباط برقرار میکند و خود را فرد قابل اعتمادی جا میزند تا اطلاعات شما را بگیرد یا شما را وادار به انجام کاری کند.

- تماس تلفنی جعلی (Vishing): فرض کنید تماسی دریافت میکنید و فرد پشت خط خود را کارمند بخش امنیت یک صرافی معرفی میکند. او میگوید «مشکلی در حساب شما پیش آمده و برای رفع آن همین الان کد تأییدیه پیامکی را بگو». شاید لحنش آنقدر آمرانه و مضطربکننده باشد که شما بدون فکر کد ۲FA پیامکشده را اعلام کنید. در واقع، پشت تلفن یک هکر است که با این جعل هویت، احراز هویت دومرحلهای حساب شما را دور میزند. یا ممکن است زنگ بزند و بگوید از بانک هستم و تراکنش مشکوکی در حساب بانکی متصل به صرافی شما رخ داده؛ برای لغو آن به اطلاعات ورود نیاز داریم. این تماسها اغلب با ایجاد حس فوریت و ترس شما را وادار به واکنش سریع میکنند. به محض دریافت اطلاعات، تماس قطع میشود و سارق کار خودش را میکند.
- پیامرسانها و شبکههای اجتماعی: در دنیای مجازی، اعتمادسازی جعلی بسیار رایج است. برای مثال، در تلگرام یا اینستاگرام پیامی از فردی دریافت میکنید که ادعا میکند کارشناس پشتیبانی یک صرافی یا کیف پول است. پروفایل او ممکن است از لوگو و نام واقعی آن شرکت استفاده کرده باشد. او با بهانههایی مثل «رفع محدودیت حساب» یا «برنده شدن در قرعهکشی»، از شما اطلاعات حساب یا رمزارز درخواست میکند. حتی گاهی افراد کلاهبردار خود را دوست یا آشنای شما جا میزنند (با اکانت جعلی) و درخواست پول فوری میکنند. نمونه دیگر، صفحات جعلی افراد معروف حوزه ارز دیجیتال است که پیشنهادهای وسوسهانگیز میدهند (مثل دوبرابر کردن مبلغ ارسالی). همه این موارد جعل هویت در شبکههای اجتماعی هستند که میتوانند کاربران ناآگاه را به دام بیندازند.
آیا میخواهید همواره از ترفندهای کاربردی و آموزشهای جذاب در زمینههای مختلف باخبر باشید؟
پس حتما صفحه اینستاگرام تالاربورس را دنبال کنید. در آنجا نکات کوتاه آموزشی، معرفی دورهها و محتوای الهامبخش زیادی منتشر میکنیم که میتواند برای شما مفید باشد. با ما در اینستاگرام همراه باشید.
چگونه متوجه شویم؟ هرگز به صرف یک تماس یا پیام، اطلاعات محرمانه خود را فاش نکنید. شرکتهای معتبر معمولاً بدون درخواست شما تماس نمیگیرند تا جزئیات امنیتی بخواهند. حسابهای رسمی پشتیبانی در شبکههای اجتماعی تیک آبی دارند و هیچگاه در پیام خصوصی از شما رمز عبور یا کد یکبارمصرف نمیخواهند. اگر کسی در چت ادعا کرد دوست شماست اما درخواست مالی غیرمعمول داشت، حتماً از راه دیگری هویت او را راستیآزمایی کنید (مثلاً تماس تصویری کوتاه یا سؤال شخصی که فقط خود واقعیاش میداند). رمز ارز را برای هیچ کس که از طریق پیام به شما نزدیک شده نفرستید، حتی اگر عکس رسید و قرارداد رسمی برایتان فرستاد؛ اینها همه قابل جعل هستند.
جدول مقایسه روشهای کلاهبرداری مهندسی اجتماعی
برای جمعبندی بحث انواع حملات، در جدول زیر سه مورد از رایجترین روشهای مهندسی اجتماعی ارز دیجیتال را به همراه توضیح مختصر و راههای پیشگیری مشاهده میکنید:
روش کلاهبرداری | توضیح مختصر حمله | راههای پیشگیری |
سیمسواپ (تعویض سیمکارت) | تصاحب شماره موبایل با فریب اپراتور، دریافت پیامکهای تأیید و نفوذ به حسابهای مالی | عدم اتکا به SMS برای ۲FA؛ فعالسازی رمز دوم برای سیمکارت؛ حذف شماره از حسابهای مهم تا حد امکان |
فیشینگ | ساخت ایمیل، سایت یا برنامه جعلی شبیه خدمات معتبر برای سرقت رمز عبور یا کلید خصوصی | دقت به آدرس سایت و فرستنده ایمیل؛ وارد نکردن اطلاعات حساس از طریق لینکهای دریافتی؛ استفاده از بوکمارک برای سایتهای مهم |
جعل هویت و تماس جعلی | تظاهر به کارمند صرافی/بانک یا فرد مورد اعتماد و درخواست اطلاعات محرمانه یا انتقال وجه | راستیآزمایی هویت تماسگیرنده از طریق کانال رسمی؛ عدم ارائه رمز، کد یا اطلاعات حساس در تماس یا چت؛ آرامش و پرهیز از تصمیم عجولانه |
همانطور که در جدول مشاهده میکنید، عامل انسانی و فریب خوردن کاربر، نقطه مشترک همه این حملات است. خبر خوب اینکه اگر شما آگاه باشید و چند اقدام امنیتی را رعایت کنید، میتوانید جلوی اکثر این ترفندها را بگیرید. در بخش بعدی، به صورت گامبهگام راههای حفاظت از خودتان در برابر این حملات را توضیح میدهیم.
چگونه از حملات مهندسی اجتماعی در ارز دیجیتال جلوگیری کنیم؟
تا اینجا با انواع شگردهای کلاهبرداران آشنا شدیم. اکنون مهمترین بخش ماجراست: چگونه خود را در برابر این حملات ایمن کنیم؟ خوشبختانه با چند اقدام ساده ولی مؤثر میتوانید احتمال گرفتار شدن در دام مهندسی اجتماعی را به حداقل برسانید:

- استفاده از تأیید هویت دوعاملی امن: به جای تکیه بر پیامک (SMS) برای دریافت کد ورود، حتماً از اپلیکیشنهای Authenticator (مانند Google Authenticator یا Authy) استفاده کنید. این برنامهها کدهای یکبارمصرف را روی گوشی شما تولید میکنند و هکر حتی با سیمسوآپ هم به آنها دسترسی نخواهد داشت. فعال کردن احراز هویت دوعاملی در همه صرافیها و کیف پولهای آنلاین ضروری است. در صرافیهای معتبر ایرانی مثل نوبیتکس هم امکان فعالسازی Google Authenticator وجود دارد؛ همین حالا شروع کنید و امنیت حساب خود را دوچندان کنید.
- مراقب افشای اطلاعات شخصی باشید: هرچه اطلاعات کمتری از خود در فضای آنلاین منتشر کنید، مهاجمان سختتر میتوانند شما را هدف قرار دهند. از به اشتراک گذاشتن شماره موبایل، ایمیل، تاریخ تولد و سایر جزئیات هویتی در شبکههای اجتماعی خودداری کنید یا حریم خصوصی حسابهایتان را روی حالت امن تنظیم کنید. همچنین شماره تلفن خود را تا حد امکان از حسابهای مالی و شبکههای اجتماعی حذف کنید یا حداقل در معرض دید عموم قرار ندهید. کلاهبرداران از همین سرنخها برای جعل هویت شما نزد اپراتور یا سرویسهای دیگر بهره میبرند.
- هیچوقت کدهای یکبارمصرف یا رمز عبور خود را فاش نکنید: چه در تماس تلفنی، چه در چت و پیامرسان و چه از طریق ایمیل، تحت هیچ شرایطی کد تأیید، رمز دوم، کلید خصوصی یا عبارت بازیابی کیف پول خود را در اختیار دیگران قرار ندهید. شرکتهای معتبر هیچگاه این اطلاعات را از شما درخواست نمیکنند. اگر کسی اصرار به گرفتن چنین اطلاعاتی داشت، به احتمال ۱۰۰٪ کلاهبردار است.
- از لینکهای ارسالی مستقیم وارد نشوید: برای ورود به حسابهای مهم (صرافی، بانک، کیف پول)، بهتر است آدرس سایت را دستی تایپ کنید یا قبلاً در مرورگر خود بوکمارک کرده باشید. روی لینکهایی که در ایمیل، پیامک یا شبکههای اجتماعی دریافت میکنید کلیک نکنید، بهخصوص اگر مدعی یک موضوع اضطراری یا پیشنهاد وسوسهانگیز هستند. ابتدا از صحت فرستنده مطمئن شوید. مثلا اگر ایمیلی از صرافی بایننس داشتید، دامنه دقیق آن را چک کنید که مثلاً @binance.com باشد، نه یک چیز مشابه. در صورت شک، مستقیماً به وبسایت رسمی مراجعه کنید یا از پشتیبانی آن شرکت سؤال کنید.
- کلمه عبور قوی و منحصربهفرد انتخاب کنید: استفاده از رمزهای ساده یا تکراری در حسابهای مختلف، شما را در برابر مهندسی اجتماعی آسیبپذیرتر میکند. چون اگر مهاجم یکی از رمزهای شما را به دست آورد (مثلاً از طریق فیشینگ یا لو رفتن اطلاعات یک سایت)، میتواند در جاهای دیگر هم امتحان کند. بنابراین برای هر حساب مهم یک گذرواژه پیچیده و متفاوت تنظیم کنید و در صورت امکان از مدیر رمزعبور (Password Manager) استفاده کنید تا نیازی به خاطر سپردن آنها نداشته باشید.
- سرمایههای اصلی را در کیف پول امن نگهداری کنید: پیشنهاد میشود مبالغ بالای ارز دیجیتال خود را در یک کیف پول سختافزاری یا حداقل کیف پولهای غیرامانی (که کلید خصوصی دست خودتان است) ذخیره کنید. کیف پول سختافزاری مثل یک گاوصندوق دیجیتال است که حتی اگر کامپیوتر یا موبایل شما هک شود، دارایی را محفوظ نگه میدارد. مهاجم با مهندسی اجتماعی ممکن است به حساب صرافی یا کیف پول آنلاین شما نفوذ کند، اما دسترسی به کیف پول فیزیکی شما ندارد.
- در انتخاب صرافی و پلتفرمهای معاملاتی دقت کنید: همیشه از صرافیهای معتبر و دارای سابقه امنیتی خوب استفاده کنید. صرافیهای مطرح معمولاً لایههای حفاظتی متعددی دارند و در برابر تلاشهای مشکوک هشدار میدهند. علاوه بر این، پلتفرمی را انتخاب کنید که احراز هویت دوعاملی، ایمیل تأیید برداشت و سایر مکانیزمهای امنیتی را ارائه دهد. برای مثال، صرافی ایرانی نوبیتکس علاوه بر امکانات امنیتی، تیم پشتیبانی فعالی دارد که در صورت بروز مشکل میتواند راهنماییتان کند.
- هوشیار و بهروز بمانید: کلاهبرداران مدام روشهای جدید ابداع میکنند، پس شما هم اطلاعات امنیتی خود را بهروز نگه دارید. اخبار حوزه ارز دیجیتال و هشدارهای امنیتی را دنبال کنید. وقتی در مورد ترفند جدیدی میشنوید، آن را با اطرافیان خود به اشتراک بگذارید تا جامعه کاربران آگاهتر شود. شک نکنید که آگاهی بهترین سپر دفاعی در برابر مهندسی اجتماعی است.
اگر دوست دارید درباره موضوعات کاربردی اینچنینی بیشتر یاد بگیرید و مهارتهای جدید کسب کنید، حتماً به صفحه دورههای آموزشی تالاربورس سر بزنید. در این صفحه مجموعهای از دورههای متنوع آموزشی (از مالی و سرمایهگذاری تا مهارتهای فردی) ارائه شده که میتواند به رشد دانش شما کمک کند.
با رعایت این نکات، شما تا حد زیادی در برابر شگردهای مهندسی اجتماعی ایمن خواهید بود. همیشه این جمله را به خاطر داشته باشید: «اگر چیزی بیش از حد خوب بود که حقیقت داشته باشد، احتمالاً کلاهبرداری است.» پس هر پیشنهاد عجیب یا درخواست اطلاعات حساسی را با دید شک نگاه کنید و قبل از هر اقدام، یک نفس عمیق بکشید و فکر کنید.
نتیجهگیری
امنیت در دنیای ارزهای دیجیتال چیزی نیست که بتوان آن را به شانس و اقبال واگذار کرد. همانطور که دیدیم، روشهای حملات مهندسی اجتماعی بسیار زیرکانه و متنوعاند؛ از سیمسواپ گرفته تا فیشینگ و جعل هویت، همگی بر یک اصل استوارند: فریب کاربران. اما نقطه مقابل آن، دانش و احتیاط شماست. با یادگیری ترفندهای کلاهبرداران و به کار بستن توصیههای ایمنی، میتوانید جلوی اکثر این حملات را بگیرید و دارایی دیجیتال خود را از گزند سارقان حفظ کنید.
در پایان، فراموش نکنید که دنیای سرمایهگذاری و فناوری، همواره در حال پیشرفت است. سواد مالی و دیجیتال خود را ارتقا دهید و هرگز از پرسیدن سؤالات بیشتر یا تحقیق درباره یک موضوع امنیتی خجالت نکشید. امیدواریم با مطالعه این مقاله، گام محکمی در جهت محافظت از سرمایههای ارز دیجیتال خود برداشته باشید. شما میتوانید با خیال آسودهتری به کاوش در فرصتهای جذاب بازار رمز ارز بپردازید؛ چرا که اکنون مسلح به دانشی هستید که هر نفوذگر و کلاهبرداری را ناکام میگذارد. به یاد داشته باشید: در نبرد بین مهاجم و مدافع، آگاهی برگ برنده شماست.
سوالات پرتکرار (FAQ)
در هکهای فنی، مهاجم با استفاده از ضعفهای نرمافزاری یا روشهای برنامهنویسی به سیستمها نفوذ میکند. اما در مهندسی اجتماعی، هدف نفوذگر خود انسان است. یعنی کلاهبردار به جای شکستن قفلهای دیجیتال، با فریب دادن و جلب اعتماد کاربر اطلاعات محرمانه یا دسترسی لازم را از خود او میگیرد. به عنوان مثال، به جای اینکه پسورد شما را کرک کند، آنقدر ماهرانه نقش پشتیبان را بازی میکند که شما پسوردتان را تقدیمش کنید. پس فرق اصلی در روش نفوذ است: یکی تکنیکی و سختافزاری، دیگری روانشناختی و انسانی.
حمله سیمسوآپ (Sim Swap) به زبان ساده یعنی دزدیدن شماره موبایل شما توسط کلاهبردار. مهاجم با فریب اپراتور، یک سیمکارت جدید با شماره شما میگیرد و بدین ترتیب پیامکهای حاوی کد تأیید یا تماسهای شما به گوشی او میرود. اگر دیدید سیمکارتتان ناگهانی از کار افتاد (آنتن ندارد و تماس و پیام دریافت نمیکند)، این میتواند علامت وقوع سیمسوآپ باشد. در چنین حالتی باید فوراً با شرکت اپراتور تماس بگیرید و وضعیت سیمکارت را پیگیری کنید. همچنین ورودهای مشکوک به حسابهای آنلاینتان را بررسی کنید. حمله سیمسوآپ معمولاً با هدف دسترسی به حسابهای مالی (بانک، صرافی ارز دیجیتال، ایمیل) انجام میشود.
مهمترین راه، افزایش هوشیاری و رعایت نکات امنیتی است. برای جلوگیری از سیمسوآپ، بهتر است تأیید هویت دوعاملی حسابهای مهم خود را از پیامک به اپلیکیشنهایی مانند Google Authenticator تغییر دهید. روی سیمکارتتان میتوانید رمز بگذارید یا از اپراتور بخواهید که تعویض سیمکارت فقط با حضور شناسنامهای شما انجام شود (برخی اپراتورها این امکان را دارند). به طور کلی برای همه حملات مهندسی اجتماعی: هیچ وقت کدهای یکبارمصرف، رمز عبور یا کلید خصوصی خود را به کسی ندهید؛ از لینکهای ناشناس وارد حسابها نشوید؛ اطلاعات شخصی زیادی در اینترنت منتشر نکنید؛ و همیشه نسبت به تماسها و پیامهای غیرمنتظره بدبین باشید مگر خلافش ثابت شود. این اقدامات ساده، سد محکمی در برابر اغلب کلاهبرداریها ایجاد میکند.
در شرایط فعلی، احراز هویت دوعاملی پیامکی چندان امن محسوب نمیشود. علتش همین حملات سیمسوآپ و همچنین امکان شنود یا رهگیری پیامک است. مجرمان سایبری با در اختیار گرفتن شماره موبایل شما میتوانند کدهای ۲FA پیامکی را دریافت کرده و وارد حسابهایتان شوند. اما اپلیکیشنهای ۲FA مانند Google Authenticator یا Authy کدها را به صورت محلی روی گوشی تولید میکنند و وابسته به شماره شما نیستند. بنابراین حتی اگر کسی سیمکارت شما را بدزدد، به این کدها دسترسی ندارد. توصیه ما این است که هر جا امکانش هست از اپلیکیشن Authenticator به جای پیامک استفاده کنید. البته حتماً کدهای بازیابی این برنامه را در جای امن یادداشت کنید تا اگر گوشیتان گم شد بتوانید دسترسی را برگردانید.
اول از همه وحشت نکنید و سریع اقدام کنید. بسته به نوع کلاهبرداری، اقدامات متفاوت است: اگر حس میکنید کسی به حساب صرافی یا بانکی شما دسترسی یافته، فوراً از دستگاه دیگری وارد شده و رمز عبور را عوض کنید و احراز هویت دو مرحلهای را فعال یا اصلاح کنید. به پشتیبانی آن پلتفرم وضعیت را اطلاع دهید تا شاید موقتاً حساب را تعلیق کنند. اگر ارز دیجیتال از کیف پول شما سرقت شده، واقعیت این است که برگرداندن آن بسیار دشوار است؛ ولی میتوانید با ارائه مستندات تراکنش به پلیس فتا گزارش دهید. همچنین هرگونه اطلاعاتی از کلاهبردار (آدرس کیف پول، ایمیل، آیدی شبکه اجتماعی) دارید جمعآوری کرده و در اختیار مراجع قرار دهید. در مورد سیمسوآپ، ضمن پسگرفتن سریع شماره از اپراتور، حتماً تمام رمزهای مهم (ایمیل، شبکههای اجتماعی، حسابهای مالی) را تغییر دهید. تجربه رخداد را نیز با دوستان و کاربران دیگر به اشتراک بگذارید تا آنها گرفتار نشوند. پیشگیری همیشه بهتر از پیگیری است، اما اگر اتفاقی افتاد، سریع عمل کردن و گزارش دادن شانس جلوگیری از خسارت بیشتر را بالا میبرد.
