• ۰۲ خرداد ۱۴۰۵

در دنیای ارزدیجیتال، هک شدن همیشه با بدافزارهای پیچیده یا حملات فوق‌حرفه‌ای شروع نمی‌شود. گاهی فقط یک کلیک کافی است تا تمام سرمایه یک نفر در چند دقیقه ناپدید شود.

چند روز قبل، پست یک کاربر در ردیت به‌شدت وایرال شد؛ کاربری که می‌گفت همیشه تصور می‌کرد قربانی چنین حملاتی نخواهد شد. او خودش را فردی محتاط و آشنا با امنیت دیجیتال می‌دانست. اما یک ایمیل ظاهراً واقعی کافی بود تا همه‌چیز تغییر کند.

او در بخشی از نوشته‌اش گفته بود:

«همیشه فکر می‌کردم این اتفاق هرگز برای من نمی‌افتد. فکر می‌کردم آن‌قدر باهوشم که فریب نخورم. اما امروز صبح فیشینگ شدم و تمام پس‌انداز زندگی‌ام را از دست دادم.»

این فقط یک روایت ساده از هک شدن یک حساب نبود. بلکه نمونه‌ای واقعی از نسل جدید حملات فیشینگ بود؛ حملاتی که امروز حتی کاربران باتجربه و حرفه‌ای بازار ارزدیجیتال را هم هدف قرار می‌دهند.

ماجرا از یک ایمیل ظاهراً واقعی شروع شد

همه‌چیز از یک ایمیل شروع شد؛ ایمیلی که ظاهراً از طرف گوگل ارسال شده بود. در متن ایمیل نوشته شده بود که یک «ایمیل بازیابی جدید» به حساب گوگل او اضافه شده است. موضوعی که طبیعتاً هر کاربری را نگران می‌کند.

ظاهر ایمیل کاملاً واقعی بود:

• لوگوی رسمی گوگل
• طراحی حرفه‌ای
• متن رسمی
• لینک‌هایی شبیه آدرس‌های واقعی گوگل

کاربر برای بررسی وضعیت روی لینک کلیک کرد. اما دقیقاً همین لحظه آغاز فاجعه بود.

حمله‌ای که حتی کاربران حرفه‌ای را فریب می‌دهد

وقتی صفحه باز شد همه‌چیز طبیعی به‌نظر می‌رسید. صفحه ورود گوگل نمایش داده شد و کاربر هم نام کاربری، رمزعبور و کد تأیید دو مرحله‌ای خود را وارد کرد. اما آن صفحه واقعی نبود. هکرها از سرویس Google برای میزبانی صفحه فیشینگ استفاده کرده بودند. آن‌ها با استفاده از سرویس Google Sites یک نسخه جعلی اما کاملاً شبیه صفحه ورود گوگل ساخته بودند.

به همین دلیل قربانی تصور می‌کرد داخل یک صفحه امن قرار دارد. در واقع این یکی از خطرناک‌ترین روش‌های فیشینگ مدرن است؛ چون صفحه جعلی روی زیرساخت واقعی گوگل میزبانی می‌شود و بسیاری از کاربران به آن شک نمی‌کنند.

چگونه هکرها در چند دقیقه همه‌چیز را تخلیه کردند؟

مشکل فقط لو رفتن رمزعبور نبود. تمام اطلاعات امنیتی قربانی داخل حساب گوگل او ذخیره شده بود:

• رمزهای عبور داخل Google Password Manager
• کدهای Google Authenticator
• ایمیل‌های صرافی
• اطلاعات بازیابی حساب‌ها

هکرها بعد از ورود به حساب گوگل خیلی سریع متوجه شدند او در صرافی‌های Kraken و Coinbase حساب دارد.

سپس:

1. رمزهای ذخیره‌شده را برداشتند
2. وارد حساب صرافی شدند
3. آدرس برداشت جدید اضافه کردند
4. ایمیل تأیید برداشت را تأیید کردند
5. تمام دارایی را منتقل کردند

همه این اتفاقات فقط در چند دقیقه رخ داد.

قربانی بعداً نوشت:

«صرافی‌ها تقریباً هیچ مقاومتی نشان ندادند. ورود از IP جدید و انتقال کل موجودی هم باعث توقف برداشت‌ها نشد.»

چرا این حمله این‌قدر خطرناک بود؟

بسیاری از کاربران تصور می‌کنند فعال کردن 2FA یعنی امنیت کامل. اما این حمله نشان داد اگر هکر به حساب ایمیل اصلی دسترسی پیدا کند عملاً می‌تواند بیشتر لایه‌های امنیتی را دور بزند. در این ماجرا مشکل اصلی «تمرکز همه اطلاعات امنیتی در یک نقطه» بود.

یعنی:

• ایمیل
• رمزها
• کدهای تأیید
• حساب‌های مالی

همگی به یک حساب وابسته بودند. در دنیای امنیت سایبری این دقیقاً همان چیزی است که هکرها به‌دنبال آن هستند؛ یک نقطه برای سقوط کامل قربانی.

واکنش کاربران ردیت؛ «هیچ‌وقت روی لینک ایمیل کلیک نکنید»

بعد از انتشار این داستان هزاران کاربر درباره تجربه‌های مشابه و روش‌های امنیتی خود صحبت کردند.

یکی از کاربران نوشت:

«من یک قانون ساده دارم؛ هیچ‌وقت و تحت هیچ شرایطی روی لینک داخل ایمیل کلیک نمی‌کنم.»

کاربر دیگری گفته بود:

«اگر ایمیلی از گوگل یا هر سرویس دیگری دریافت کنم خودم آدرس سایت را دستی داخل مرورگر وارد می‌کنم.»

این توصیه شاید ساده به‌نظر برسد اما یکی از مهم‌ترین اصول امنیت دیجیتال است.

امروز هکرها می‌توانند ایمیل‌هایی بسازند که تقریباً هیچ تفاوتی با نسخه واقعی ندارند.

حتی برخی کاربران گفته بودند لینک لغو اشتراک (Unsubscribe) ایمیل‌ها را هم باز نمی‌کنند؛ چون بعضی حملات از همان بخش انجام می‌شود.

اشتباه بزرگ؛ ذخیره همه‌چیز داخل گوگل

یکی از مهم‌ترین نکاتی که کاربران حرفه‌ای به آن اشاره کردند موضوع «تمرکز اطلاعات امنیتی» بود. کاربری نوشته بود:

«هیچ‌وقت اطلاعات حساس را بدون رمزنگاری ذخیره نکنید. مخصوصاً وقتی رمزها و فایل‌های بازیابی کنار هم قرار دارند.»

این دقیقاً همان اشتباهی بود که قربانی انجام داد. هکر فقط وارد جیمیل نشد؛ بلکه به مرکز کنترل کل زندگی دیجیتال او دسترسی پیدا کرد.

چرا پیامک برای تأیید دو مرحله‌ای خطرناک است؟

در بخش نظرات بسیاری از کاربران درباره خطرات SMS 2FA هشدار دادند. یکی از کاربران به حمله معروف SIM Swap اشاره کرد؛ روشی که مهاجم با فریب اپراتور تلفن، شماره قربانی را روی سیم‌کارت خودش منتقل می‌کند.

در این حالت تمام پیامک‌های امنیتی به دست هکر می‌رسد. به همین دلیل بسیاری از متخصصان امنیت پیشنهاد می‌کنند به‌جای پیامک از:

• اپلیکیشن‌های Authenticator
• کلیدهای امنیتی فیزیکی
• استاندارد FIDO2
  استفاده شود.

یکی از کاربران حرفه‌ای ردیت نوشته بود:

«اگر امکانش را دارید از YubiKey یا FIDO2 استفاده کنید و هرگز برای حساب‌های مالی به SMS اعتماد نکنید.»

چرا نگهداری دارایی داخل صرافی خطرناک است؟

بخش مهم دیگری از بحث کاربران درباره نگهداری دارایی داخل صرافی بود. بسیاری از کاربران تأکید کردند که صرافی فقط برای معامله مناسب است نه نگهداری بلندمدت سرمایه.

یکی از کاربران نوشت:

«دارایی داخل کیف پول ذخیره نمی‌شود؛ کلید دسترسی به دارایی داخل کیف پول ذخیره می‌شود.»

این جمله یکی از مهم‌ترین مفاهیم امنیت در بازار ارزدیجیتال را توضیح می‌دهد.

به همین دلیل کاربران حرفه‌ای معمولاً از کیف پول سرد استفاده می‌کنند. کیف پول سرد یعنی کلید خصوصی هیچ‌وقت به اینترنت متصل نمی‌شود.

کاربری در ردیت خیلی ساده این مفهوم را توضیح داده بود:

«Cold یعنی آفلاین. قربانی همه‌چیز را داخل یک کیف پول داغ نگه داشته بود و همه دارایی‌اش را از دست داد.»

آیا امکان بازگرداندن دارایی وجود دارد؟

تلخ‌ترین بخش ماجرا همین است. برخلاف سیستم بانکی سنتی، تراکنش‌های بلاک چین معمولاً برگشت‌ناپذیر هستند. اگر دارایی به کیف پول هکر منتقل شود معمولاً شانس بازگشت آن بسیار کم است؛ مگر اینکه:

• صرافی مقصد دارایی را فریز کند
• هویت مهاجم شناسایی شود
• انتقال هنوز کامل نشده باشد

اما در بیشتر موارد کاربران فقط می‌توانند:

• حساب‌ها را سریع قفل کنند
• گزارش پلیس ثبت کنند
• با صرافی‌ها تماس بگیرند
• مسیر تراکنش را بررسی کنند

بسیاری از کاربران ردیت هم نوشته بودند:

«در دنیای ارزدیجیتال اگر دارایی سرقت شود معمولاً دیگر بازنمی‌گردد.»

چگونه از چنین حملاتی جلوگیری کنیم؟

اگر در بازار ارزدیجیتال فعالیت می‌کنید رعایت این نکات ضروری است:

هیچ‌وقت روی لینک ایمیل کلیک نکنید

حتی اگر ایمیل کاملاً واقعی به‌نظر برسد.

آدرس سایت را دستی وارد کنید

مثلاً به‌جای کلیک روی لینک ایمیل، خودتان google.com یا سایت صرافی را تایپ کنید.

برای حساب‌های مهم ایمیل جداگانه بسازید

بسیاری از کاربران حرفه‌ای برای هر صرافی یک ایمیل جدا دارند.

سرمایه اصلی را داخل صرافی نگه ندارید

برای نگهداری بلندمدت از کیف پول‌هایی مثل Trust Wallet یا MetaMask استفاده کنید.

عبارت بازیابی را آنلاین ذخیره نکنید

نه داخل فضای ابری
نه داخل عکس موبایل
نه داخل Password Manager

از کلید امنیتی فیزیکی استفاده کنید

ابزارهایی مثل YubiKey امنیت بسیار بالاتری نسبت به SMS 2FA دارند.

هنگام خستگی یا عجله تراکنش انجام ندهید

یکی از کاربران حرفه‌ای نوشته بود:

«هیچ‌وقت وقتی خسته یا تحت فشار هستید دارایی ارزدیجیتال جابه‌جا نکنید.»

مهم‌ترین درس این داستان چیست؟

مهم‌ترین چیزی که این داستان نشان می‌دهد این است که دیگر نمی‌شود به سادگی به ظاهر سایت‌ها یا پیام‌ها اعتماد کرد. هکرها روش‌های خود را خیلی پیشرفته کرده‌اند و فقط سراغ افراد تازه‌کار نمی‌روند. حتی کسانی که تجربه زیادی دارند هم ممکن است در یک لحظه دچار اشتباه شوند.

در بازار ارزدیجیتال امنیت یک گزینه اضافی نیست که بتوان آن را نادیده گرفت. امنیت در واقع اصلی‌ترین مهارتی است که هر کاربر باید آن را جدی بگیرد و به صورت مداوم آن را یاد بگیرد و تقویت کند.

نظرتان را درباره‌ی مقاله «چگونه یک ایمیل جعلی تمام سرمایه یک کاربر ارزدیجیتال را نابود کرد؟» با ما درمیان بگذارید.