• تالاربورس
  • /
  • وبلاگ
  • /
  • حملات مهندسی اجتماعی ارز دیجیتال: فیشینگ، سیم‌سواپ و راه‌های جلوگیری
تاریخ انتشار: تیر 8, 1405

حملات مهندسی اجتماعی ارز دیجیتال: فیشینگ، سیم‌سواپ و راه‌های جلوگیری


تصور کنید نیمه‌شب پیامکی از طرف بانک یا صرافی ارز دیجیتال دریافت می‌کنید که حساب شما نیاز به تأیید فوری دارد. علی، یک سرمایه‌گذار کنجکاو، همین موقع چنین پیامی دریافت کرد. او روی لینک مشکوک کلیک کرد یا شاید کدی را که کلاهبردار با مهندسی اجتماعی از او خواسته بود، ارسال کرد. صبح روز بعد، علی با ناباوری دید که موجودی کیف پول ارز دیجیتال او خالی شده است! این سناریو ترسناک برای هر کسی ممکن است رخ بدهد. حملات مهندسی اجتماعی ارز دیجیتال دقیقاً به همین سادگی قربانی می‌گیرند: به جای حمله فنی به سیستم‌ها، هکرها از اعتماد و ناآگاهی افراد سوءاستفاده می‌کنند. 

در این مقاله آموزشی می‌خواهیم رایج‌ترین روش‌های این نوع حملات – مانند سیم‌سواپ و فیشینگ – را بررسی کنیم و به شما یاد بدهیم چطور در برابرشان از سرمایه دیجیتال خود محافظت کنید. اگر دغدغه امنیت دارایی‌های رمزنگاری‌شده‌ خود را دارید و می‌خواهید با خیال راحت‌تری در دنیای ارزهای دیجیتال فعالیت کنید، تا پایان این مطلب همراه ما باشید.

حملات مهندسی اجتماعی ارز دیجیتال چیست؟

مهندسی اجتماعی (Social Engineering) مجموعه‌ای از ترفندها و تکنیک‌هاست که کلاهبرداران برای فریب دادن مردم و دسترسی به اطلاعات یا دارایی‌هایشان به کار می‌برند. به زبان ساده، در یک حمله مهندسی اجتماعی به جای نفوذ فنی به سیستم‌ها، شخص مهاجم با حرف‌ها و رفتارهای حساب‌شده احساس اعتماد یا اضطرار در قربانی ایجاد می‌کند تا خود فرد اطلاعات حساسش را در اختیار او بگذارد. این حملات می‌توانند در هر حوزه‌ای رخ دهند، اما در حوزه ارزهای دیجیتال به دلیل ماهیت غیرقابل‌بازگشت تراکنش‌ها و دانش فنی کمتر کاربران تازه‌کار، به‌شدت خطرناک‌تر شده‌اند.

در دنیای ارز دیجیتال، حملات مهندسی اجتماعی اشکال مختلفی دارند. برای مثال ممکن است یک هکر خود را پشتیبان یک صرافی جا بزند و رمز عبور یا کد تأیید شما را بپرسد؛ یا لینک جعلی یک کیف پول ارز دیجیتال را برایتان ارسال کند تا کلیدهای خصوصی‌تان را سرقت کند. نتیجه همه این روش‌ها یکی است: فرد قربانی با دست خودش راه را برای سرقت ارز دیجیتال باز می‌کند. در ادامه، مهم‌ترین انواع این حملات را معرفی می‌کنیم و سپس سراغ روش‌های جلوگیری از آنها خواهیم رفت.

حمله سیم‌سواپ (تعویض سیم‌کارت) چیست و چگونه انجام می‌شود؟

یکی از خطرناک‌ترین حملات مهندسی اجتماعی در حوزه کریپتو، حمله سیم‌سواپ یا تعویض سیم‌کارت است. در این روش، مهاجم کنترل شماره تلفن همراه شما را به دست می‌گیرد تا به حساب‌های مهمی که با آن شماره ثبت شده‌اند دسترسی پیدا کند. اما سیم‌سواپ دقیقا چگونه اتفاق می‌افتد؟

مراحل اجرای حمله سیم‌سواپ

  1. جمع‌آوری اطلاعات اولیه: کلاهبردار ابتدا از منابع مختلف، اطلاعات شخصی شما را جمع می‌کند؛ از جمله نام کامل، شماره ملی، آدرس، تاریخ تولد و هر داده‌ای که برای جا زدن خود به جای شما به کار بیاید. این اطلاعات ممکن است از شبکه‌های اجتماعی شما یا حتی نفوذ به پایگاه‌ داده‌های لو رفته به‌دست بیاید.
  2. فریب اپراتور مخابرات: در گام بعدی، مهاجم با اطلاعاتی که از شما دارد به شرکت ارائه‌دهنده سیم‌کارت (اپراتور) تماس می‌گیرد یا به شکل حضوری مراجعه می‌کند. او وانمود می‌کند که شما است و مثلاً گوشی‌اش را گم کرده یا سیم‌کارتش خراب شده است. سپس درخواست یک سیم‌کارت جدید با همان شماره را می‌دهد. اگر اپراتور فریب بخورد یا روال احراز هویت‌شان ضعیف باشد، یک سیم‌کارت جدید حاوی شماره شما را به کلاهبردار تحویل می‌دهد.
  3. غیرفعال شدن سیم‌کارت اصلی: به محض فعال شدن سیم‌کارت جدید توسط اپراتور، سیم‌کارت قدیمی شما از کار می‌افتد. در این لحظه، عملاً شماره تلفن همراه شما دست کلاهبردار افتاده است. احتمالاً شما متوجه می‌شوید که گوشی‌تان ناگهان آنتن نمی‌دهد و هیچ تماسی یا پیامی دریافت نمی‌کنید. این یک علامت هشدار است!
  4. دسترسی به حساب‌های ارز دیجیتال: حال مهاجم می‌تواند با شماره شما وارد حساب‌های حساس شود. برای مثال، اگر برای ورود به صرافی یا کیف پول آنلاین خود از تأیید پیامکی (SMS) استفاده کرده باشید، کد ورود یا لینک بازیابی رمزعبور اکنون به گوشی مهاجم ارسال می‌شود نه شما. کلاهبردار به راحتی با reset کردن رمز عبور ایمیل یا حساب صرافی، کنترل کامل آن را به دست می‌گیرد و سپس دارایی‌های ارز دیجیتال شما را به کیف پول خود منتقل می‌کند.
  5. خالی کردن حساب‌ها: در عرض چند دقیقه ممکن است مهاجم همه موجودی رمزارز شما را به آدرسی خارج از کنترل‌تان بفرستد. از آنجا که تراکنش‌های ارز دیجیتال غیرقابل‌بازگشت هستند، عملاً کاری از دست شما برنخواهد آمد. اینجاست که یک سیم‌کارت کوچک تبدیل به شاه‌کلیدی برای سرقت دارایی دیجیتال می‌شود.

مهم است بدانید حملات سیم‌سواپ به هیچ وجه فرضی یا نادر نیستند؛ بلکه در سال‌های اخیر رو به افزایش بوده‌اند. حتی افراد سرشناسی مثل ویتالیک بوترین (خالق اتریوم) قربانی این حمله شده‌اند. در یک مورد، هکرها با ترکیب سیم‌سواپ و ترفندهای آنلاین توانستند حساب شبکه اجتماعی ویتالیک را هک کرده و با انتشار لینک مخرب، طی یک روز حدود ۶۹۱ هزار دلار ارز دیجیتال را از کاربران به سرقت ببرند. این مثال نشان می‌دهد هیچ‌کس در برابر این نوع کلاهبرداری مصون نیست، مگر اینکه اقدامات پیشگیرانه انجام دهد که در ادامه به آنها خواهیم پرداخت.

نکاتی برای تشخیص و جلوگیری از سیم‌سواپ

  • قطع شدن ناگهانی سرویس تلفن: اگر سیم‌کارت شما بدون دلیل موجه از کار افتاد (بدون آنتن ماند یا پیغام "شبکه در دسترس نیست" دیدید)، سریعاً به موضوع مشکوک شوید. این می‌تواند نشانه‌ای باشد که فردی سیم‌کارت شما را تعویض کرده است. در چنین حالتی بدون اتلاف وقت با پشتیبانی اپراتور تماس بگیرید و وضعیت را گزارش کنید.
  • پیامک‌های غیرعادی از سوی اپراتور: گاهی قبل از اجرای سیم‌سواپ، ممکن است پیامکی درباره فعال‌سازی سرویس یا انتقال شماره دریافت کنید. این هشدارها را جدی بگیرید و سریعا با اپراتور تماس بگیرید.
  • اطلاع‌رسانی ورود به حساب‌ها: بیشتر پلتفرم‌های معتبر (مثل صرافی‌ها یا شبکه‌های اجتماعی) امکان ارسال ایمیل یا اعلان ورود از دستگاه جدید را دارند. این اعلان‌ها را فعال کنید تا اگر کسی با شماره شما خواست وارد حساب شود، باخبر شوید. به محض دریافت چنین اعلانی، اقدامات امنیتی (تغییر رمز، اطلاع به پشتیبانی) را انجام دهید.

فیشینگ: دامی برای سرقت اطلاعات شما

یکی دیگر از شگردهای متداول مهندسی اجتماعی در حوزه رمز ارز، فیشینگ (Phishing) است. احتمالاً واژه فیشینگ را شنیده‌اید؛ حمله‌ای که در آن مهاجم سعی می‌کند با جعل یک هویت یا وب‌سایت معتبر، شما را فریب دهد تا اطلاعات حساس خود را در اختیارش بگذارید. در دنیای ارز دیجیتال، فیشینگ معمولاً به یکی از دو صورت زیر انجام می‌شود:

  1. ایمیل‌ها یا پیام‌های جعلی: ممکن است ایمیلی دریافت کنید که ظاهراً از سوی یک صرافی ارز دیجیتال یا کیف پول آنلاین معتبر ارسال شده است. در این ایمیل گفته می‌شود مشکلی در حساب شما پیش آمده یا لازم است برای افزایش امنیت روی یک لینک کلیک کنید. ظاهر ایمیل کاملاً حرفه‌ای و شبیه مکاتبات رسمی آن شرکت است، اما لینک داخل آن شما را به یک سایت تقلبی می‌برد. در صفحه جعلی، از شما خواسته می‌شود که اطلاعات ورود (نام کاربری و رمزعبور) یا حتی کلمات بازیابی کیف پول خود را وارد کنید. اگر فریب بخورید و اطلاعات را وارد کنید، عملاً آنها را مستقیماً در اختیار کلاهبردار قرار داده‌اید. مهاجم بلافاصله با این اطلاعات وارد حساب واقعی شما می‌شود و دارایی‌هایتان را منتقل می‌کند.
  2. وب‌سایت‌ها و اپلیکیشن‌های جعلی: روش دیگر، ساخت نسخه تقلبی وب‌سایت‌ها یا برنامه‌های محبوب است. مثلاً شما قصد دارید وارد سایت کیف پول یا صرافی شوید اما اشتباهاً آدرس را یک حرف غلط تایپ می‌کنید. سایت جعلی که طراحی آن تقریباً کپی سایت اصلی است برایتان باز می‌شود. حین وارد کردن اطلاعات ورود، هیچ خطایی نمی‌بینید و شاید حتی وارد حساب خود نشوید، اما در پشت صحنه همه چیز لو رفته است. نوع دیگری از این ترفند، ساخت اپلیکیشن‌های موبایل جعلی (مثلاً نسخه تقلبی اپ یک کیف پول) است که خارج از فروشگاه‌های رسمی منتشر می‌شوند. نصب چنین اپ‌هایی مساوی است با در اختیار قرار دادن کلید خصوصی و دارایی‌های خود به افراد ناشناس!

چگونه متوجه شویم؟ وب‌سایت‌های فیشینگ معمولاً آدرس دامنه‌ای بسیار شبیه به سایت اصلی دارند (مثلاً استفاده از 0 به جای o یا تغییرات جزئی دیگر). همچنین ایمیل‌های فیشینگ اگر با دقت بررسی شوند، اغلب از دامنه رسمی آن شرکت ارسال نشده‌اند. اگر نامه‌ای از سمت مثلاً support@exchanqe.com (به جای exchange.com) دیدید، نشانه خطر است. هیچ شرکت معتبری از شما کلمات عبور یا کلید خصوصی را در ایمیل نمی‌خواهد.

جعل هویت و کلاهبرداری در شبکه‌های اجتماعی

یکی دیگر از انواع حملات مهندسی اجتماعی، فریب از طریق تماس تلفنی یا شبکه‌های اجتماعی است. در این روش، شخص کلاهبردار مستقیماً با شما ارتباط برقرار می‌کند و خود را فرد قابل اعتمادی جا می‌زند تا اطلاعات شما را بگیرد یا شما را وادار به انجام کاری کند.

  • تماس تلفنی جعلی (Vishing): فرض کنید تماسی دریافت می‌کنید و فرد پشت خط خود را کارمند بخش امنیت یک صرافی معرفی می‌کند. او می‌گوید «مشکلی در حساب شما پیش آمده و برای رفع آن همین الان کد تأییدیه پیامکی را بگو». شاید لحنش آنقدر آمرانه و مضطرب‌کننده باشد که شما بدون فکر کد ۲FA پیامک‌شده را اعلام کنید. در واقع، پشت تلفن یک هکر است که با این جعل هویت، احراز هویت دومرحله‌ای حساب شما را دور می‌زند. یا ممکن است زنگ بزند و بگوید از بانک هستم و تراکنش مشکوکی در حساب بانکی متصل به صرافی شما رخ داده؛ برای لغو آن به اطلاعات ورود نیاز داریم. این تماس‌ها اغلب با ایجاد حس فوریت و ترس شما را وادار به واکنش سریع می‌کنند. به محض دریافت اطلاعات، تماس قطع می‌شود و سارق کار خودش را می‌کند.
  • پیام‌رسان‌ها و شبکه‌های اجتماعی: در دنیای مجازی، اعتمادسازی جعلی بسیار رایج است. برای مثال، در تلگرام یا اینستاگرام پیامی از فردی دریافت می‌کنید که ادعا می‌کند کارشناس پشتیبانی یک صرافی یا کیف پول است. پروفایل او ممکن است از لوگو و نام واقعی آن شرکت استفاده کرده باشد. او با بهانه‌هایی مثل «رفع محدودیت حساب» یا «برنده شدن در قرعه‌کشی»، از شما اطلاعات حساب یا رمزارز درخواست می‌کند. حتی گاهی افراد کلاهبردار خود را دوست یا آشنای شما جا می‌زنند (با اکانت جعلی) و درخواست پول فوری می‌کنند. نمونه دیگر، صفحات جعلی افراد معروف حوزه ارز دیجیتال است که پیشنهادهای وسوسه‌انگیز می‌دهند (مثل دوبرابر کردن مبلغ ارسالی). همه این موارد جعل هویت در شبکه‌های اجتماعی هستند که می‌توانند کاربران ناآگاه را به دام بیندازند.

آیا می‌خواهید همواره از ترفندهای کاربردی و آموزش‌های جذاب در زمینه‌های مختلف باخبر باشید؟


پس حتما صفحه اینستاگرام تالاربورس را دنبال کنید. در آنجا نکات کوتاه آموزشی، معرفی دوره‌ها و محتوای الهام‌بخش زیادی منتشر می‌کنیم که می‌تواند برای شما مفید باشد. با ما در اینستاگرام همراه باشید.

چگونه متوجه شویم؟ هرگز به صرف یک تماس یا پیام، اطلاعات محرمانه خود را فاش نکنید. شرکت‌های معتبر معمولاً بدون درخواست شما تماس نمی‌گیرند تا جزئیات امنیتی بخواهند. حساب‌های رسمی پشتیبانی در شبکه‌های اجتماعی تیک آبی دارند و هیچ‌گاه در پیام خصوصی از شما رمز عبور یا کد یک‌بارمصرف نمی‌خواهند. اگر کسی در چت ادعا کرد دوست شماست اما درخواست مالی غیرمعمول داشت، حتماً از راه دیگری هویت او را راستی‌آزمایی کنید (مثلاً تماس تصویری کوتاه یا سؤال شخصی که فقط خود واقعی‌اش می‌داند). رمز ارز را برای هیچ کس که از طریق پیام به شما نزدیک شده نفرستید، حتی اگر عکس رسید و قرارداد رسمی برایتان فرستاد؛ این‌ها همه قابل جعل هستند.

جدول مقایسه روش‌های کلاهبرداری مهندسی اجتماعی

برای جمع‌بندی بحث انواع حملات، در جدول زیر سه مورد از رایج‌ترین روش‌های مهندسی اجتماعی ارز دیجیتال را به همراه توضیح مختصر و راه‌های پیشگیری مشاهده می‌کنید:

روش کلاهبرداری

توضیح مختصر حمله

راه‌های پیشگیری

سیم‌سواپ (تعویض سیم‌کارت)

تصاحب شماره موبایل با فریب اپراتور، دریافت پیامک‌های تأیید و نفوذ به حساب‌های مالی

عدم اتکا به SMS برای ۲FA؛ فعال‌سازی رمز دوم برای سیم‌کارت؛ حذف شماره از حساب‌های مهم تا حد امکان

فیشینگ

ساخت ایمیل، سایت یا برنامه جعلی شبیه خدمات معتبر برای سرقت رمز عبور یا کلید خصوصی

دقت به آدرس سایت و فرستنده ایمیل؛ وارد نکردن اطلاعات حساس از طریق لینک‌های دریافتی؛ استفاده از بوکمارک برای سایت‌های مهم

جعل هویت و تماس جعلی

تظاهر به کارمند صرافی/بانک یا فرد مورد اعتماد و درخواست اطلاعات محرمانه یا انتقال وجه

راستی‌آزمایی هویت تماس‌گیرنده از طریق کانال رسمی؛ عدم ارائه رمز، کد یا اطلاعات حساس در تماس یا چت؛ آرامش و پرهیز از تصمیم عجولانه

همان‌طور که در جدول مشاهده می‌کنید، عامل انسانی و فریب خوردن کاربر، نقطه مشترک همه این حملات است. خبر خوب اینکه اگر شما آگاه باشید و چند اقدام امنیتی را رعایت کنید، می‌توانید جلوی اکثر این ترفندها را بگیرید. در بخش بعدی، به صورت گام‌به‌گام راه‌های حفاظت از خودتان در برابر این حملات را توضیح می‌دهیم.

چگونه از حملات مهندسی اجتماعی در ارز دیجیتال جلوگیری کنیم؟

تا اینجا با انواع شگردهای کلاهبرداران آشنا شدیم. اکنون مهم‌ترین بخش ماجراست: چگونه خود را در برابر این حملات ایمن کنیم؟ خوشبختانه با چند اقدام ساده ولی مؤثر می‌توانید احتمال گرفتار شدن در دام مهندسی اجتماعی را به حداقل برسانید:

  1. استفاده از تأیید هویت دوعاملی امن: به جای تکیه بر پیامک (SMS) برای دریافت کد ورود، حتماً از اپلیکیشن‌های Authenticator (مانند Google Authenticator یا Authy) استفاده کنید. این برنامه‌ها کد‌های یک‌بارمصرف را روی گوشی شما تولید می‌کنند و هکر حتی با سیم‌سوآپ هم به آنها دسترسی نخواهد داشت. فعال کردن احراز هویت دوعاملی در همه صرافی‌ها و کیف پول‌های آنلاین ضروری است. در صرافی‌های معتبر ایرانی مثل نوبیتکس هم امکان فعال‌سازی Google Authenticator وجود دارد؛ همین حالا شروع کنید و امنیت حساب خود را دوچندان کنید.
  2. مراقب افشای اطلاعات شخصی باشید: هرچه اطلاعات کمتری از خود در فضای آنلاین منتشر کنید، مهاجمان سخت‌تر می‌توانند شما را هدف قرار دهند. از به اشتراک گذاشتن شماره موبایل، ایمیل، تاریخ تولد و سایر جزئیات هویتی در شبکه‌های اجتماعی خودداری کنید یا حریم خصوصی حساب‌هایتان را روی حالت امن تنظیم کنید. همچنین شماره تلفن خود را تا حد امکان از حساب‌های مالی و شبکه‌های اجتماعی حذف کنید یا حداقل در معرض دید عموم قرار ندهید. کلاهبرداران از همین سرنخ‌ها برای جعل هویت شما نزد اپراتور یا سرویس‌های دیگر بهره می‌برند.
  3. هیچ‌وقت کدهای یک‌بارمصرف یا رمز عبور خود را فاش نکنید: چه در تماس تلفنی، چه در چت و پیام‌رسان و چه از طریق ایمیل، تحت هیچ شرایطی کد تأیید، رمز دوم، کلید خصوصی یا عبارت بازیابی کیف پول خود را در اختیار دیگران قرار ندهید. شرکت‌های معتبر هیچ‌گاه این اطلاعات را از شما درخواست نمی‌کنند. اگر کسی اصرار به گرفتن چنین اطلاعاتی داشت، به احتمال ۱۰۰٪ کلاهبردار است.
  4. از لینک‌های ارسالی مستقیم وارد نشوید: برای ورود به حساب‌های مهم (صرافی، بانک، کیف پول)، بهتر است آدرس سایت را دستی تایپ کنید یا قبلاً در مرورگر خود بوکمارک کرده باشید. روی لینک‌هایی که در ایمیل، پیامک یا شبکه‌های اجتماعی دریافت می‌کنید کلیک نکنید، به‌خصوص اگر مدعی یک موضوع اضطراری یا پیشنهاد وسوسه‌انگیز هستند. ابتدا از صحت فرستنده مطمئن شوید. مثلا اگر ایمیلی از صرافی بایننس داشتید، دامنه دقیق آن را چک کنید که مثلاً @binance.com باشد، نه یک چیز مشابه. در صورت شک، مستقیماً به وب‌سایت رسمی مراجعه کنید یا از پشتیبانی آن شرکت سؤال کنید.
  5. کلمه عبور قوی و منحصربه‌فرد انتخاب کنید: استفاده از رمزهای ساده یا تکراری در حساب‌های مختلف، شما را در برابر مهندسی اجتماعی آسیب‌پذیرتر می‌کند. چون اگر مهاجم یکی از رمزهای شما را به دست آورد (مثلاً از طریق فیشینگ یا لو رفتن اطلاعات یک سایت)، می‌تواند در جاهای دیگر هم امتحان کند. بنابراین برای هر حساب مهم یک گذرواژه پیچیده و متفاوت تنظیم کنید و در صورت امکان از مدیر رمزعبور (Password Manager) استفاده کنید تا نیازی به خاطر سپردن آنها نداشته باشید.
  6. سرمایه‌های اصلی را در کیف پول امن نگهداری کنید: پیشنهاد می‌شود مبالغ بالای ارز دیجیتال خود را در یک کیف پول سخت‌افزاری یا حداقل کیف پول‌های غیرامانی (که کلید خصوصی دست خودتان است) ذخیره کنید. کیف پول سخت‌افزاری مثل یک گاوصندوق دیجیتال است که حتی اگر کامپیوتر یا موبایل شما هک شود، دارایی را محفوظ نگه می‌دارد. مهاجم با مهندسی اجتماعی ممکن است به حساب صرافی یا کیف پول آنلاین شما نفوذ کند، اما دسترسی به کیف پول فیزیکی شما ندارد.
  7. در انتخاب صرافی و پلتفرم‌های معاملاتی دقت کنید: همیشه از صرافی‌های معتبر و دارای سابقه امنیتی خوب استفاده کنید. صرافی‌های مطرح معمولاً لایه‌های حفاظتی متعددی دارند و در برابر تلاش‌های مشکوک هشدار می‌دهند. علاوه بر این، پلتفرمی را انتخاب کنید که احراز هویت دوعاملی، ایمیل تأیید برداشت و سایر مکانیزم‌های امنیتی را ارائه دهد. برای مثال، صرافی ایرانی نوبیتکس علاوه بر امکانات امنیتی، تیم پشتیبانی فعالی دارد که در صورت بروز مشکل می‌تواند راهنمایی‌تان کند.
  8. هوشیار و به‌روز بمانید: کلاهبرداران مدام روش‌های جدید ابداع می‌کنند، پس شما هم اطلاعات امنیتی خود را به‌روز نگه دارید. اخبار حوزه ارز دیجیتال و هشدارهای امنیتی را دنبال کنید. وقتی در مورد ترفند جدیدی می‌شنوید، آن را با اطرافیان خود به اشتراک بگذارید تا جامعه کاربران آگاه‌تر شود. شک نکنید که آگاهی بهترین سپر دفاعی در برابر مهندسی اجتماعی است.

اگر دوست دارید درباره موضوعات کاربردی این‌چنینی بیشتر یاد بگیرید و مهارت‌های جدید کسب کنید، حتماً به صفحه دوره‌های آموزشی تالاربورس سر بزنید. در این صفحه مجموعه‌ای از دوره‌های متنوع آموزشی (از مالی و سرمایه‌گذاری تا مهارت‌های فردی) ارائه شده که می‌تواند به رشد دانش شما کمک کند.

با رعایت این نکات، شما تا حد زیادی در برابر شگردهای مهندسی اجتماعی ایمن خواهید بود. همیشه این جمله را به خاطر داشته باشید: «اگر چیزی بیش از حد خوب بود که حقیقت داشته باشد، احتمالاً کلاهبرداری است.» پس هر پیشنهاد عجیب یا درخواست اطلاعات حساسی را با دید شک نگاه کنید و قبل از هر اقدام، یک نفس عمیق بکشید و فکر کنید.

نتیجه‌گیری

امنیت در دنیای ارزهای دیجیتال چیزی نیست که بتوان آن را به شانس و اقبال واگذار کرد. همان‌طور که دیدیم، روش‌های حملات مهندسی اجتماعی بسیار زیرکانه و متنوع‌اند؛ از سیم‌سواپ گرفته تا فیشینگ و جعل هویت، همگی بر یک اصل استوارند: فریب کاربران. اما نقطه مقابل آن، دانش و احتیاط شماست. با یادگیری ترفندهای کلاهبرداران و به کار بستن توصیه‌های ایمنی، می‌توانید جلوی اکثر این حملات را بگیرید و دارایی دیجیتال خود را از گزند سارقان حفظ کنید.

در پایان، فراموش نکنید که دنیای سرمایه‌گذاری و فناوری، همواره در حال پیشرفت است. سواد مالی و دیجیتال خود را ارتقا دهید و هرگز از پرسیدن سؤالات بیشتر یا تحقیق درباره یک موضوع امنیتی خجالت نکشید. امیدواریم با مطالعه این مقاله، گام محکمی در جهت محافظت از سرمایه‌های ارز دیجیتال خود برداشته باشید. شما می‌توانید با خیال آسوده‌تری به کاوش در فرصت‌های جذاب بازار رمز ارز بپردازید؛ چرا که اکنون مسلح به دانشی هستید که هر نفوذگر و کلاهبرداری را ناکام می‌گذارد. به یاد داشته باشید: در نبرد بین مهاجم و مدافع، آگاهی برگ برنده شماست.

سوالات پرتکرار (FAQ)

حملات مهندسی اجتماعی چه تفاوتی با هک‌های فنی دارند؟

در هک‌های فنی، مهاجم با استفاده از ضعف‌های نرم‌افزاری یا روش‌های برنامه‌نویسی به سیستم‌ها نفوذ می‌کند. اما در مهندسی اجتماعی، هدف نفوذگر خود انسان است. یعنی کلاهبردار به جای شکستن قفل‌های دیجیتال، با فریب دادن و جلب اعتماد کاربر اطلاعات محرمانه یا دسترسی لازم را از خود او می‌گیرد. به عنوان مثال، به جای اینکه پسورد شما را کرک کند، آن‌قدر ماهرانه نقش پشتیبان را بازی می‌کند که شما پسوردتان را تقدیمش کنید. پس فرق اصلی در روش نفوذ است: یکی تکنیکی و سخت‌افزاری، دیگری روانشناختی و انسانی.

حمله سیم‌سوآپ چیست و چگونه متوجه شویم در دام آن افتاده‌ایم؟

حمله سیم‌سوآپ (Sim Swap) به زبان ساده یعنی دزدیدن شماره موبایل شما توسط کلاهبردار. مهاجم با فریب اپراتور، یک سیم‌کارت جدید با شماره شما می‌گیرد و بدین ترتیب پیامک‌های حاوی کد تأیید یا تماس‌های شما به گوشی او می‌رود. اگر دیدید سیم‌کارت‌تان ناگهانی از کار افتاد (آنتن ندارد و تماس و پیام دریافت نمی‌کند)، این می‌تواند علامت وقوع سیم‌سوآپ باشد. در چنین حالتی باید فوراً با شرکت اپراتور تماس بگیرید و وضعیت سیم‌کارت را پیگیری کنید. همچنین ورودهای مشکوک به حساب‌های آنلاین‌تان را بررسی کنید. حمله سیم‌سوآپ معمولاً با هدف دسترسی به حساب‌های مالی (بانک، صرافی ارز دیجیتال، ایمیل) انجام می‌شود.

چطور می‌توان جلوی حملات مهندسی اجتماعی مثل سیم‌سوآپ را گرفت؟

مهم‌ترین راه، افزایش هوشیاری و رعایت نکات امنیتی است. برای جلوگیری از سیم‌سوآپ، بهتر است تأیید هویت دوعاملی حساب‌های مهم خود را از پیامک به اپلیکیشن‌هایی مانند Google Authenticator تغییر دهید. روی سیم‌کارت‌تان می‌توانید رمز بگذارید یا از اپراتور بخواهید که تعویض سیم‌کارت فقط با حضور شناسنامه‌ای شما انجام شود (برخی اپراتورها این امکان را دارند). به طور کلی برای همه حملات مهندسی اجتماعی: هیچ وقت کدهای یک‌بارمصرف، رمز عبور یا کلید خصوصی خود را به کسی ندهید؛ از لینک‌های ناشناس وارد حساب‌ها نشوید؛ اطلاعات شخصی زیادی در اینترنت منتشر نکنید؛ و همیشه نسبت به تماس‌ها و پیام‌های غیرمنتظره بدبین باشید مگر خلافش ثابت شود. این اقدامات ساده، سد محکمی در برابر اغلب کلاهبرداری‌ها ایجاد می‌کند.

آیا احراز هویت دو عاملی (۲FA) پیامکی امن است یا باید از Google Authenticator استفاده کنم؟

در شرایط فعلی، احراز هویت دوعاملی پیامکی چندان امن محسوب نمی‌شود. علتش همین حملات سیم‌سوآپ و همچنین امکان شنود یا رهگیری پیامک است. مجرمان سایبری با در اختیار گرفتن شماره موبایل شما می‌توانند کدهای ۲FA پیامکی را دریافت کرده و وارد حساب‌هایتان شوند. اما اپلیکیشن‌های ۲FA مانند Google Authenticator یا Authy کدها را به صورت محلی روی گوشی تولید می‌کنند و وابسته به شماره شما نیستند. بنابراین حتی اگر کسی سیم‌کارت شما را بدزدد، به این کدها دسترسی ندارد. توصیه ما این است که هر جا امکانش هست از اپلیکیشن Authenticator به جای پیامک استفاده کنید. البته حتماً کدهای بازیابی این برنامه را در جای امن یادداشت کنید تا اگر گوشی‌تان گم شد بتوانید دسترسی را برگردانید.

اگر در دام یک کلاهبرداری ارز دیجیتال افتادیم، چه کار کنیم؟

اول از همه وحشت نکنید و سریع اقدام کنید. بسته به نوع کلاهبرداری، اقدامات متفاوت است: اگر حس می‌کنید کسی به حساب صرافی یا بانکی شما دسترسی یافته، فوراً از دستگاه دیگری وارد شده و رمز عبور را عوض کنید و احراز هویت دو مرحله‌ای را فعال یا اصلاح کنید. به پشتیبانی آن پلتفرم وضعیت را اطلاع دهید تا شاید موقتاً حساب را تعلیق کنند. اگر ارز دیجیتال از کیف پول شما سرقت شده، واقعیت این است که برگرداندن آن بسیار دشوار است؛ ولی می‌توانید با ارائه مستندات تراکنش به پلیس فتا گزارش دهید. همچنین هرگونه اطلاعاتی از کلاهبردار (آدرس کیف پول، ایمیل، آی‌دی شبکه اجتماعی) دارید جمع‌آوری کرده و در اختیار مراجع قرار دهید. در مورد سیم‌سوآپ، ضمن پس‌گرفتن سریع شماره از اپراتور، حتماً تمام رمزهای مهم (ایمیل، شبکه‌های اجتماعی، حساب‌های مالی) را تغییر دهید. تجربه رخداد را نیز با دوستان و کاربران دیگر به اشتراک بگذارید تا آنها گرفتار نشوند. پیشگیری همیشه بهتر از پیگیری است، اما اگر اتفاقی افتاد، سریع عمل کردن و گزارش دادن شانس جلوگیری از خسارت بیشتر را بالا می‌برد.

امتیاز این مقاله

درباره نویسنده

حامد ثقفی

برای زنده بودن باید تا آخرین روز زندگی یادگیری را دنبال کرد و از لحظات زندگی استفاده کرد.

اشتراک
اطلاع از
guest
0 دیدگاه
{"email":"آدرس ایمیل وارد شده نامعتبر است","url":"آدرس وب‌سایت وارد شده نامعتبر است","required":"لطفا فیلد‌های مشخص شده را تکمیل نمایید"}

مقالات پیشنهادی



Success message!
Warning message!
Error message!
0
شما هم نظر بدهیدx