مهندسی اجتماعی در دنیای ارزهای دیجیتال چیست؟

در دنیای ارزهای دیجیتال، امنیت فراتر از محافظت از کیف پول شما با یک رمز عبور یا کلید خصوصی است. یکی از تهدیدات فریبنده و به طور فزاینده‌ای خطرناک برای کاربران رمزارز امروز، مهندسی اجتماعی است.

در دنیای سایبری، ممکن است فکر کنید که حملات به دلیل پیچیدگی‌های فنی آن‌ها خطرناک هستند. اما واقعیت این است که مهندسی اجتماعی به جای اینکه به فناوری حمله کند، به احساسات و رفتارهای انسانی حمله می‌کند. به عبارت دیگر، این نوع حملات روی نقاط ضعف انسانی تمرکز دارند.

حمله‌کنندگان با استفاده از فریب و ترفندهای روانی سعی می‌کنند مردم را به انجام کارهایی وادار کنند که به نفع خودشان نیست، مانند افشای اطلاعات شخصی یا انتقال پول. در واقع، آنها از اعتماد، ترس یا کنجکاوی افراد سوءاستفاده می‌کنند تا به اهداف خود برسند. بنابراین انسان‌ها در برابر این نوع حملات بسیار آسیب‌پذیرتر هستند.

در اصل، مهندسی اجتماعی به عمل فریب دادن افراد برای افشای اطلاعات محرمانه یا اعطای دسترسی غیرمجاز به سیستم‌ها اشاره دارد.

برخلاف هک‌های سنتی که معمولاً از آسیب‌پذیری‌های فناوری بهره‌برداری می‌کنند، مهندسی اجتماعی عنصر انسانی را هدف قرار می‌دهد. حمله‌کنندگان به فریب، دستکاری روانی و تاکتیک‌های ایجاد اعتماد متکی هستند تا قربانیان خود را فریب دهند. با بهره‌برداری از ضعف‌های روانی، حمله‌کنندگان می‌توانند افراد را به دادن اطلاعات خصوصی، اعتبارنامه‌ها یا وجوه خود وادار کنند.

در دنیای ارزهای دیجیتال، این نوع دستکاری به‌ویژه خطرناک است زیرا تراکنش‌ها غیرقابل برگشت هستند و ماهیت غیرمتمرکز ارزهای دیجیتال می‌تواند بازپس‌گیری وجوه گمشده را حتی سخت‌تر کند. به محض اینکه وجوه منتقل شوند یا دسترسی اعطا شود، تقریباً غیرممکن است که عمل انجام شده را معکوس کنید. این موضوع کاربران رمزارز را هدف مناسبی برای حملات مهندسی اجتماعی می‌سازد.

آیا می‌دانستید؟ طبق گزارش مرکز شکایات جرایم اینترنتی، در سال 2024، فیشینگ و جعل هویت در صدر فهرست جرایم سایبری گزارش‌شده توسط دفتر تحقیقات فدرال ایالات متحده قرار داشت، که در آن قربانیان همچنین بیش از 6.5 میلیارد دلار به کلاهبرداری‌های سرمایه‌گذاری مرتبط با ارزهای دیجیتال از دست دادند.

آناتومی یک حمله مهندسی اجتماعی: مرحله به مرحله

حملات مهندسی اجتماعی کاربران رمزارز را با به دست آوردن اعتماد، ایجاد اضطرار و سپس دزدیدن اطلاعات حساس فریب می‌دهند تا کیف پول‌هایشان را خالی کنند.

مرحله 1: آماده‌سازی — جستجو برای اهداف

کلاهبرداران ابتدا در پلتفرم‌های اجتماعی مانند ایکس، دیسکورد، تلگرام و ردیت در حال گشت و گذار هستند.

آنها به دنبال:

  • تازه‌واردانی که به دنبال کمک هستند
  • افرادی که از سودها یا NFT های خود صحبت می‌کنند
  • کاربرانی که به‌طور تصادفی آدرس‌های کیف پول یا ایمیل‌های خود را فاش می‌کنند.

هرچه اطلاعات بیشتری جمع‌آوری کنند، حمله شخصی‌سازی شده‌تری طراحی می‌کنند.

مرحله 2: نزدیک شدن — کسب اعتماد

سپس، آنها تماس می‌گیرند و خود را به عنوان:

  • یک نماینده پشتیبانی (مانند متامسک یا یک صرافی)
  • یک اینفلوئنسر معروف در دنیای ارزهای دیجیتال
  • یک دوست یا مدیر یک کامیونیتی معرفی می‌کنند.

آنها تصاویر پروفایل، نام‌های کاربری (گاهی با تغییرات جزئی) و حتی نشان‌های تأیید جعلی را کپی می‌کنند تا واقعی به نظر برسند. هدف این است که شما را به حالت دفاعی نرسانند.

مرحله 3: قلاب — ایجاد اضطرار یا ترس

اکنون آنها احساسات شما را با پیام‌های فوری، ترسناک یا وسوسه‌کننده تحریک می‌کنند:

  • “کیف پول شما در خطر است — اکنون اقدام کنید!”
  • “ایردراپ انحصاری در 5 دقیقه پایان می‌یابد!”
  • “ما فعالیت مشکوکی را شناسایی کردیم — لطفاً حساب خود را تأیید کنید!”

آنها از ترس، هیجان و فشار زمانی استفاده می‌کنند تا شما را وادار به عمل سریع بدون فکر کنند.

مرحله 4: درخواست — استخراج اطلاعات حساس

این مرحله جایی است که تله واقعی می‌اندازند. آنها از شما می‌خواهند:

  • کلید خصوصی یا عبارت بازیابی خود را به اشتراک بگذارید (یک علامت خطر بزرگ)
  • روی لینکی کلیک کنید که به یک وب‌سایت فیشینگ شبیه به MetaMask، Phantom یا OpenSea هدایت می‌شود
  • یک قرارداد هوشمند مشکوک را تأیید کنید که کیف پول شما را خالی می‌کند
  • مقدار کمی ارز دیجیتال ارسال کنید تا “حساب خود را تأیید کنید” یا “وجوه را باز کنید”.

اگر در این مرحله بیفتید — بازی تمام است.

مرحله 5: سرقت — خالی کردن ارزهای دیجیتال شما

به محض اینکه آنها اطلاعات حساس شما را دریافت کردند یا شما را وادار به امضای یک تراکنش مخرب کردند، آنها:

  • به‌طور فوری کیف پول شما را از رمزارزها و توکن‌ها خالی می‌کنند
  • دارایی‌های شما را به کوین‌های خصوصی (مانند مونرو) تبدیل می‌کنند تا ردپای خود را پنهان کنند
  • وجوه را از طریق میکسرها یا صرافی‌ها پول‌شویی می‌کنند.

قربانیان معمولاً خیلی دیر متوجه سرقت می‌شوند؛ متأسفانه، در بیشتر موارد، وجوه برای همیشه از دست رفته‌اند.

آیا می‌دانستید؟ تحلیل‌گر آن‌چین، زک‌زبت، در اوایل ماه مه 2025، 45 میلیون دلار اضافی که از کاربران Coinbase از طریق کلاهبرداری‌های مهندسی اجتماعی دزدیده شده بود را کشف کرد.

انواع رایج کلاهبرداری‌های مهندسی اجتماعی در دنیای ارزهای دیجیتال

کلاهبرداران کاربران ارزهای دیجیتال را از طریق فیشینگ، جعل هویت، کلاهبرداری‌های اعطای جایزه، کلاهبرداری‌های عاشقانه و دوستی و پلتفرم‌های سرمایه‌گذاری جعلی هدف قرار می‌دهند.

  1. فیشینگ

فیشینگ یکی از رایج‌ترین اشکال مهندسی اجتماعی در دنیای ارزهای دیجیتال باقی مانده است. این نوع کلاهبرداری می‌تواند به چندین شکل باشد، اما معمولاً شامل وب‌سایت‌ها، برنامه‌ها یا ایمیل‌های جعلی است که به نظر قانونی می‌رسند.

  • برنامه‌های کیف پول جعلی: کلاهبرداران نسخه‌های جعلی از برنامه‌های کیف پول محبوب مانند متامسک یا تراست ولت را ایجاد می‌کنند. آنها کاربران را فریب می‌دهند تا این برنامه‌ها را دانلود کنند که در نتیجه کلیدهای خصوصی و وجوه ذخیره شده در آنها را سرقت می‌کنند.
  • صرافی‌های جعلی: به طور مشابه، مهاجمان ممکن است خود را به عنوان صرافی‌های معروف ارزهای دیجیتال جا بزنند. قربانیان به لینکی هدایت می‌شوند که به یک وب‌سایت فیشینگ شبیه به یک پلتفرم قانونی می‌باشد. هنگامی که کاربران وارد حساب خود می‌شوند و اطلاعاتشان را وارد می‌کنند، مهاجم به وجوه آنها دسترسی پیدا می‌کند.
  • پاپ‌آپ‌های جعلی متامسک: یکی از ترفندهای رایج شامل پاپ‌آپ‌های جعلی است که از کاربران متامسک می‌خواهند عبارت بازیابی یا کلیدهای خصوصی خود را وارد کنند و بدین ترتیب کنترل کیف پول‌هایشان را به کلاهبرداران می‌دهند.

2. جعل هویت

کلاهبرداری‌های جعل هویت زمانی اتفاق می‌افتد که مهاجمان به عنوان افراد قانونی، چه کارکنان پشتیبانی، اینفلوئنسر ارزهای دیجیتال یا حتی دوستان خود را معرفی می‌کنند تا قربانیان را متقاعد کنند که اطلاعات یا وجوه خود را تحویل دهند.

  • کارکنان پشتیبانی جعلی: در بسیاری از موارد، کلاهبرداران به عنوان نمایندگان پشتیبانی مشتری برای کیف پول‌ها یا صرافی‌های معروف ارزهای دیجیتال جعل هویت می‌کنند. آنها ممکن است با کاربران تماس بگیرند و ادعا کنند که مشکلی در حساب آنها وجود دارد و از آنها اطلاعات حساس، مانند رمز عبور یا عبارت بازیابی، بخواهند.
  • اینفلوئنسرها و دوستان: مهاجمان ممکن است خود را به عنوان اینفلوئنسرهای معروف ارزهای دیجیتال یا دوستان معرفی کنند و از قربانیان بخواهند وجوهی ارسال کنند یا آنها را متقاعد کنند که در یک کلاهبرداری شرکت کنند. در برخی موارد، مهاجمان حتی تا حدی پیش می‌روند که یک حساب کاربری شبکه‌های اجتماعی یک شخصیت رمزنگاری را هک می‌کنند و جوایز جعلی یا فرصت‌های سرمایه‌گذاری ارائه می‌دهند.

3. کلاهبرداری‌های اعطای جایزه

“1 اتریوم ارسال کنید، 2 اتریوم پس بگیرید” این کلاهبرداری اعطای جایزه کلاسیک است که در جامعه ارزهای دیجیتال به‌طور گسترده‌ای رایج شده است. کلاهبرداران به عنوان نهادهای مورد اعتماد، اغلب شبیه به سلبریتی‌هایی مانند ایلان ماسک یا صرافی‌های رسمی ارزهای دیجیتال، ادعا می‌کنند که یک برنامه اعطای جایزه برگزار می‌کنند.

تله؟ کلاهبردار از شما می‌خواهد که ارز دیجیتال را به یک آدرس کیف پول مشخص ارسال کنید به ازای دریافت مقدار بیشتری ارز دیجیتال که “بعداً” دریافت خواهید کرد. پس از ارسال وجوه، آنها ناپدید می‌شوند.

4. کلاهبرداری‌های عاشقانه و دوستی

کلاهبرداری‌های عاشقانه و دوستی، که غالباً به عنوان “pig butchering” شناخته می‌شوند، زمانی اتفاق می‌افتد که یک مهاجم ارتباط عاطفی با قربانی از طریق پلتفرم‌های پیام‌رسانی مانند تلگرام یا حتی برنامه‌های دوستیابی برقرار می‌کند. با گذر زمان، کلاهبردار اعتماد قربانی را جلب کرده و سپس آنها را به یک فرصت سرمایه‌گذاری جعلی، که معمولاً شامل ارزهای دیجیتال است، می‌کشاند.

  • نحوه کار pig butchering: قربانیان به ارسال وجوه به آنچه که فکر می‌کنند یک سرمایه‌گذاری امن است، وادار می‌شوند، تنها برای اینکه تمام پول خود را از دست بدهند زمانی که کلاهبردار ناپدید می‌شود.

5. پلتفرم‌های سرمایه‌گذاری جعلی
پلتفرم‌های سرمایه‌گذاری جعلی وعده بازده‌های بسیار بالا با حداقل ریسک را می‌دهند چیزی که خیلی خوب به نظر می‌رسد. این کلاهبرداری‌ها ممکن است شبیه پلتفرم‌های سرمایه‌گذاری قانونی ارزهای دیجیتال باشند و وعده بازده‌های بالا از سرمایه‌گذاری‌های رمزنگاری یا جریان‌های درآمد غیرفعال را بدهند.

پس از اینکه کاربران وجوه خود را واریز کردند، یا پلتفرم ناپدید می‌شود یا کلاهبردار از پاسخ به ارتباطات خود امتناع می‌کند.

چرا مهندسی اجتماعی در دنیای ارزهای دیجیتال به خوبی کار می‌کند

حملات مهندسی اجتماعی در دنیای ارزهای دیجیتال به این دلیل موفق هستند که از برخی آسیب‌پذیری‌های خاص این فضا بهره‌برداری می‌کنند. ترکیب دستکاری روانی، پیچیدگی‌های فنی و غیرقابل برگشت بودن تراکنش‌های ارز دیجیتال باعث می‌شود که کاربران این حوزه به‌ویژه در برابر این نوع کلاهبرداری‌ها آسیب‌پذیر باشند.

در ادامه عوامل کلیدی که توضیح می‌دهند چرا مهندسی اجتماعی در محیط ارزهای دیجیتال بسیار مؤثر است، آورده شده است:

  • ترس و اضطرار:

کلاهبرداری‌های ارز دیجیتال اغلب حس اضطرار را ایجاد می‌کنند تا قربانیان را تحت فشار قرار دهند که سریع عمل کنند. مثال‌های رایج شامل ایمیل‌ها یا پیام‌هایی هستند که می‌گویند: “حساب شما قفل شده است!” یا “شما باید هویت خود را تأیید کنید تا از دسترسی به وجوه خود جلوگیری کنید!” این پیام‌ها کاربران را وادار به اتخاذ تصمیمات سریع می‌کنند که بعداً از آنها پشیمان می‌شوند.

  • طمع:

تاکتیک‌های مهندسی اجتماعی غالباً بر روی تمایل افراد به کسب پول سریع و آسان تمرکز دارند. کلاهبرداران ممکن است به کاربران وعده بازده‌های بزرگ سرمایه‌گذاری یا پیشنهاد “معاملات” انحصاری ارز دیجیتال دهند که به نظر می‌رسد بسیار خوب برای رد کردن باشد. این موضوع طمع سرمایه‌گذاران ارز دیجیتال را تحریک می‌کند و آنها را وادار به اقدام سریع می‌کند.

  • کمبود دانش امنیتی در ارزهای دیجیتال:

بسیاری از کاربران ارز دیجیتال، به ویژه مبتدیان، ممکن است به طور کامل درک نکنند که امنیت ارز دیجیتال چگونه کار می‌کند. این موضوع آنها را در برابر حملاتی مانند فیشینگ، که در آن ممکن است ناخواسته کلیدهای خصوصی یا رمزهای عبور خود را فاش کنند، آسیب‌پذیرتر می‌کند. کلاهبرداران از این کمبود دانش برای دستکاری و فریب استفاده می‌کنند.

چگونه از حملات مهندسی اجتماعی محافظت کنید؟

در حالی که جلوگیری از مهندسی اجتماعی به طور کامل دشوار است، اما با هوشیاری، استفاده از تأیید هویت دو مرحله‌ای (2FA)، بررسی لینک‌ها و تمرین عادات امنیتی، می‌توانید به طور قابل توجهی خطر خود را کاهش دهید.

چندین گام که می‌توانید برای کاهش خطر خود بردارید عبارتند از:

نسبت به پیام‌های ناخواسته شکاک باشید: همیشه هنگام دریافت پیام‌های ناخواسته، چه از طریق ایمیل، SMS یا شبکه‌های اجتماعی، احتیاط کنید. اگر کسی ناگهان با شما تماس گرفت و از شما اطلاعات حساس یا پول خواست، قبل از اقدام، صحت پیام را تأیید کنید.

احراز هویت دو مرحله‌ای (2FA) را فعال کنید: همیشه از 2FA هر جا که ممکن است استفاده کنید. این کار یک لایه امنیتی اضافی به حساب‌های شما اضافه می‌کند و دسترسی به آنها را برای مهاجمان سخت‌تر می‌کند حتی اگر آنها موفق به به‌دست آوردن رمز عبور شما شوند.

لینک‌ها و URLها را بررسی کنید: قبل از کلیک بر روی هر لینکی، نشانگر ماوس خود را بر روی آن نگه دارید تا ببینید به کجا می‌رود. اگر URL مشکوک به نظر می‌رسد یا با وب‌سایت رسمی مطابقت ندارد، روی آن کلیک نکنید. همیشه URLها را برای اعتبارسنجی دوباره به ویژه هنگام انجام تراکنش‌های ارز دیجیتال، بررسی کنید.

خود و دیگران را آموزش دهید: بهترین دفاع در برابر مهندسی اجتماعی، دانش است. از کلاهبرداری‌های رایج مطلع باشید و این دانش را با دیگران به اشتراک بگذارید. هرچه بیشتر بدانید، کمتر احتمال دارد که فریب یک کلاهبرداری را بخورید.

از شیوه‌های امنیتی قوی استفاده کنید: در نظر داشته باشید که برای ذخیره دارایی‌های رمزارز خود از کیف پول‌های سخت‌افزاری استفاده کنید، زیرا اینها به مراتب ایمن‌تر از نگهداری آنها در پلتفرم‌های صرافی یا کیف پول‌های نرم‌افزاری هستند. همیشه کلیدهای خصوصی و عبارات بازیابی خود را ایمن نگه‌دارید و هرگز آنها را با هیچ‌کس به اشتراک نگذارید.

در دنیای ارزهای دیجیتال پر از کلاهبرداران، بهترین دفاع شما هوشیاری، آموزش و شیوه‌های امنیتی قوی است زیرا حتی هوشمندترین فناوری‌ها نیز نمی‌توانند شما را از یک کلاهبرداری به خوبی طراحی شده محافظت کنند.

نتیجه‌گیری

مهندسی اجتماعی در دنیای ارزهای دیجیتال به استفاده از فریب و دستکاری روانی برای وادار کردن افراد به افشای اطلاعات حساس یا انتقال وجوه اشاره دارد. این نوع حملات به جای تمرکز بر روی آسیب‌پذیری‌های فنی، بر نقاط ضعف انسانی تأکید دارند و با استفاده از احساسات، اعتماد و ترس قربانیان را فریب می‌دهند. کلاهبرداران ابتدا در پلتفرم‌های اجتماعی به جستجوی اطلاعات کاربران می‌پردازند و به دنبال افرادی هستند که به تازگی وارد دنیای ارزهای دیجیتال شده‌اند یا درباره دارایی‌های خود صحبت می‌کنند. سپس خود را به عنوان نماینده پشتیبانی یا اینفلوئنسرهای معتبر معرفی کرده و اعتماد قربانی را جلب می‌کنند. در مرحله بعد، با ایجاد احساس اضطرار یا ترس، مانند اعلام اینکه حساب قربانی در خطر است، او را وادار به اقدام سریع می‌کنند. در این مرحله، کلاهبرداران از قربانی اطلاعات حساس یا دسترسی به کیف پول را درخواست می‌کنند، مانند کلید خصوصی یا عبارت بازیابی. به محض دریافت اطلاعات، وجوه قربانی را به سرقت می‌برند و کیف پول او را خالی می‌کنند.

کلاهبرداری‌های مهندسی اجتماعی در دنیای ارزهای دیجیتال شامل انواع مختلفی هستند، از جمله فیشینگ، که در آن کلاهبرداران از وب‌سایت‌ها یا ایمیل‌های جعلی برای سرقت اطلاعات استفاده می‌کنند، و جعل هویت، که در آن خود را به عنوان افراد معتبر معرفی می‌کنند.(اگر اطلاعات کمی در این باره دارید توصیه می کنم مقاله تدابیر امنیتی برای مدیران: چگونه از فیشینگ ارز دیجیتال جلوگیری کنیم را مطالعه کنید.) همچنین کلاهبرداری‌های اعطای جایزه، که وعده‌های غیرواقعی برای بازگشت سرمایه را می‌دهند، و کلاهبرداری‌های عاشقانه، که برقراری ارتباط عاطفی با قربانیان را شامل می‌شوند، نیز وجود دارند. پلتفرم‌های سرمایه‌گذاری جعلی نیز وعده‌های غیرواقعی بازده‌های بالا از سرمایه‌گذاری‌های رمزنگاری را ارائه می‌دهند.

موفقیت مهندسی اجتماعی در دنیای ارزهای دیجیتال ناشی از ترکیب دست manipulations روانی، پیچیدگی‌های فنی و غیرقابل برگشت بودن تراکنش‌های ارز دیجیتال است. کلاهبرداران از ترس و اضطرار برای وادار کردن قربانیان به عمل سریع استفاده می‌کنند و همچنین با تحریک طمع آنها به سرمایه‌گذاری در فرصت‌های غیرواقعی ترغیب می‌کنند. بسیاری از کاربران، به ویژه مبتدیان، از روش‌های امنیتی و تهدیدات موجود آگاهی ندارند که این موضوع آنها را در برابر حملات آسیب‌پذیرتر می‌کند.

برای کاهش خطر حملات مهندسی اجتماعی، می‌توانید اقداماتی انجام دهید. نسبت به پیام‌های ناخواسته شکاک باشید و همواره صحت آنها را تأیید کنید. احراز هویت دو مرحله‌ای (2FA) را فعال کنید تا لایه‌ای از امنیت به حساب‌های خود اضافه کنید. لینک‌ها و URLها را بررسی کنید و قبل از کلیک بر روی آنها از اعتبارشان اطمینان حاصل کنید. خود و دیگران را درباره کلاهبرداری‌های رایج آموزش دهید و از شیوه‌های امنیتی قوی استفاده کنید، مانند کیف پول‌های سخت‌افزاری برای ذخیره دارایی‌های رمزارز(همچنین بدانید: بهترین و امن ترین کیف پول های ارز دیجیتال (crypto wallet)). در نهایت، بهترین دفاع در برابر مهندسی اجتماعی، هوشیاری و آگاهی از شیوه‌های امنیتی است، زیرا حتی تکنولوژی‌های پیشرفته نیز نمی‌توانند از یک کلاهبرداری به خوبی طراحی شده جلوگیری کنند.