近年来,加密货币市场迅猛发展,吸引了大量投资者和技术开发者的关注。然而,随着数字资产价值的提升,攻击者也日益精明和狡猾,尤其以复杂的社交工程骗局为工具,针对加密货币用户展开了频繁且多样化的攻击。根据网络安全公司Darktrace最新发布的报告,威胁行为者利用从“Traffer Groups”借鉴的先进手法,结合多平台的社交交互,设计出一套精妙的骗术,意图窃取加密钱包认证信息并直取用户资金。攻击者通过假冒初创企业的员工身份,借助人工智能、游戏、Web3及社交媒体等热门行业的幌子,成功植入恶意软件下载陷阱。他们往往会先利用被攻陷的X(前Twitter)账号发表类似Medium文章或发布GitHub项目,营造可信度与专业感,诱使目标用户上钩。诈骗流程通常始于受害者在X、Telegram或Discord等渠道接收消息。
冒充公司员工的诈骗者会邀请用户测试一款“软件”,并承诺以加密货币作为报酬诱惑对方下载。此时,软件启动后会弹出符合Cloudflare验证规范的窗口,隐蔽地开始搜集受害设备的信息,直至窃取钱包登录凭据。受害用户涵盖Windows与Mac系统使用者,攻击的覆盖面相当广泛。值得注意的是,这类攻击与去年12月被称为Meeten活动的网络钓鱼案极为相似,显示出此类脚本和组织的行为模式持续演化,愈加隐蔽精细。同样,国际间的犯罪组织特别是与朝鲜相关的黑客群体,也不断参与并升级对加密货币领域的社工诈骗,令监管和防范形势更为严峻。2025年爆发的各种加密诈骗案件层出不穷,从“猪肉分割”骗局到“四美元扳手”攻击,社会工程学手段被多重利用,以期规避安全防护措施及法律追责。
部分恶意分子还假借合法身份渗透行业内部,进行信息操控和欺诈提升成功率。值得关注的是,中国公安部门近期公开警示一批结合稳定币非法集资的网络传销和洗钱集团,借助普通民众对加密领域知识的不足,实施非法筹款与赌博运营,严重扰乱市场秩序。与此同时,硬件钱包被篡改、浏览器安全插件被植入恶意代码、虚假撤销和授权页面出现都屡见不鲜,成为用户数字资产安全的大敌。美国司法部今年7月公布的起诉案件中,两名嫌犯涉嫌运营涉及逾6.5亿美元诈骗金额的复杂骗局,手法涵盖心理操控及假冒官方客服的诈骗等。社交工程攻击的心理学基础在于取得受害者信任,从而促使对方放松警惕,主动配合安装恶意软件或泄露敏感信息。加密社区中的信任关系和信息交互特点被不法分子利用得淋漓尽致,使得跳过技术环节直接攻击终端用户成为主流趋势。
面对上述形势,加密货币用户必须提升自身的防骗和安全意识。首先,应当核实任何邀请测试或下载软件的请求是否合法,切勿轻易点击未经验证的链接或附件。利用官方网站和官方社交账号进行信息确认是可靠手段。此外,应启用多重身份验证,使用硬件钱包存储私钥,定期审查账户访问权限,避免浏览和安装不明插件。加密社区及相关企业也应积极开展安全教育,分享最新骗局案例和防御措施,加强技术防护策略更新。同时,监管机构和执法部门应加强跨国合作,推动针对加密诈骗的立法和取证体系建设,形成对犯罪链条的有效打击。
整体来看,加密货币行业的安全态势充满挑战,但通过全社会的共同努力,结合技术创新、法规完善以及用户教育,仍有望显著降低社交工程诈骗的危害。用户切记,安全始终是参与数字资产世界的第一保障,警惕骗术,用信息和防御武装自己,方能从容应对不断进化的威胁,守护好属于自己的数字财富。
