ClickFix Crypto Scam: How Fake VC Meetings Steal Crypto Wallets

Linda TitianitusLinda Titianitus2026-03-13Bearish (Short)
ClickFix Crypto Scam: How Fake VC Meetings Steal Crypto Wallets

Learn how ClickFix crypto scams impersonate venture capitalists to trick founders into installing malware that steals browser wallet funds.

مجرمان سایبری اکنون استراتژی‌های خود را برای سوءاستفاده از دارندگان دارایی‌های دیجیتال با راه‌اندازی حملات ClickFix تغییر داده‌اند که در آن هویت سرمایه‌گذاران خطرپذیر را جعل می‌کنند یا افزونه‌های مرورگر را ربوده‌اند. این نشان می‌دهد که مهندسی اجتماعی همچنان یک بردار حمله اصلی در اکوسیستم کریپتو است.


در سال ۲۰۲۲، آزمایشگاه مون‌لاک (Moonlock Lab)، یک ارائه‌دهنده امنیت سایبری، گزارش داد که مهاجمان با جعل هویت سرمایه‌گذاران قانونی و کلاهبرداری از کاربران اینترنت از طریق ارتباطات جعلی لینکدین، لینک‌های کنفرانس ویدیویی و دستورات مخرب خط فرمان که به عنوان فرآیندهای تأیید هویت قانونی پنهان شده‌اند، عمل کرده‌اند. نتیجه نهایی یک مسیر حمله بسیار پیچیده ایجاد می‌کند که برندسازی شرکتی، گردش کار توسعه‌دهنده و بهره‌برداری‌های مبتنی بر مرورگر را در یک طرح منسجم ترکیب می‌کند.

چگونه کلاهبرداری سرمایه‌گذاری خطرپذیر جعلی آغاز می‌شود

مهاجمان با استفاده از نام‌های معتبر مانند "SolidBit"، "MegaBit" و "Lumax Capital" در حمله‌ای به شرکت‌های ارز دیجیتال، از طریق وب‌سایت‌های سرمایه‌گذاری خطرپذیر جعلی که از آن‌ها برای ارسال پیام‌های ایمیلی جهت درخواست همکاری از بنیانگذاران و توسعه‌دهندگان شرکت‌های ارز دیجیتال استفاده می‌کنند، جعل هویت می‌کنند.


مهاجمان وب‌سایت‌ها و حساب‌های لینکدین بسیار معتبری ایجاد کرده‌اند تا کلاهبرداری خود را انجام دهند.


رایج‌ترین راه‌ها برای مهاجمان برای برقراری ارتباط با قربانیان عبارتند از:

- ابراز علاقه به تامین مالی اولیه در یک پروژه وب۳ در مراحل اولیه.


- دعوت به بحث در مورد فرصت تامین مالی شرکت.


- درخواست برای نمایش محصول شرکت.


- معرفی شرکت‌ها در چارچوب توسعه یک همکاری استراتژیک.


تماس اولیه معمولاً در لینکدین انجام می‌شود، جایی که اکثر اهداف انتظار دریافت درخواست‌های تجاری را دارند. مهاجمان از برندسازی با کیفیت بالا و سطح مناسبی از رسمیت در ارتباطات خود استفاده می‌کنند که سوءظن هدف را در مورد دریافت این پیام کاهش می‌دهد.


پس از تماس با قربانی، از آن‌ها برای یک تماس زوم یا گوگل میت دعوت می‌شود تا جزئیات فرصت‌های اضافی را مورد بحث قرار دهند.

تله‌های جعلی زوم و گوگل میت

هنگامی که یک هدف با جلسه موافقت کرد، یک لینک کنفرانس ویدیویی جعلی دریافت می‌کند. اگرچه شبیه یک لینک واقعی به نظر می‌رسد، اما طراحی آن نیز مشابه لینک‌های واقعی زوم و گوگل میت است. هنگامی که کاربر سعی می‌کند به جلسه بپیوندد، به جای اتصال به یک کنفرانس ویدیویی، لینک کاربر را به آنچه یک صفحه رویداد با طراحی حرفه‌ای به نظر می‌رسد، هدایت می‌کند.


صفحه رویداد معمولاً دارای یک اعلان امنیتی به سبک Cloudflare با کادر انتخاب "من ربات نیستم" (I’m not a robot) است. کادر انتخاب "من ربات نیستم" عمداً انتخاب می‌شود، زیرا کاربران این تصویر را بخشی از یک بررسی امنیتی عادی می‌دانند.


روش ClickFix در این مرحله آغاز می‌شود. هنگامی که قربانی روی کادر انتخاب کلیک می‌کند، یک دستور مخرب مخفیانه در کلیپ‌بورد کپی می‌شود. کاربر آلوده اکنون کدی برای تأیید هویت خود از طریق سرور پلتفرم جلسه خواهد داشت. در واقع، هیچ فرآیند تأییدی وجود ندارد؛ بلکه، عوامل مخرب از شما می‌خواهند که یک بررسی امنیتی (که آن را یک گام فنی می‌نامند) را حذف کنید.


اگر کسی با نحوه استفاده از ترمینال یا دستورات ناآشنا باشد، ممکن است گیج شود یا در درک آنچه باید انجام دهد، مشکل داشته باشد. برای توسعه‌دهندگان حرفه‌ای و متخصصان متمرکز بر ارز دیجیتال که تقریباً روزانه از خط فرمان استفاده می‌کنند، این موضوع سوءظن آن‌ها را برانگیخته نخواهد کرد.

پس از تایپ دستور ترمینال چه اتفاقی خواهد افتاد؟

پس از وارد کردن این دستور در ترمینال، دستور بلافاصله شروع به اجرا می‌کند.


بسته به نحوه پیکربندی حمله، دستور می‌تواند یک یا چند مورد از کارهای زیر را انجام دهد:


• نصب برنامه‌های دسترسی از راه دور

• استقرار ربودنده کلیپ‌بورد

• تزریق یک اسکریپت مخرب به مرورگر کاربر

• استخراج کلیدهای خصوصی کاربر از کیف پول مرورگر آن‌ها.

• نصب بدافزاری که افزونه‌های مرورگر مبتنی بر ارز دیجیتال را هدف قرار می‌دهد


چندین نوع اخیر این حملات به طور خاص افزونه‌های مرورگر را هدف قرار داده‌اند که معمولاً برای مدیریت کیف پول‌های کریپتو استفاده می‌شوند. کیف پول‌های مبتنی بر مرورگر یکی از بزرگترین آسیب‌پذیری‌ها برای حمله را ارائه می‌دهند زیرا معمولاً دسترسی مستقیم به دارایی‌های دیجیتال را فراهم می‌کنند؛ مهاجمی که بتواند یک کیف پول مبتنی بر مرورگر را به خطر اندازد، می‌تواند به راحتی و به طور غیرقابل برگشت آن را خالی کند.


پیچیدگی در اینجا از لایه‌های مختلف فریب در این حمله ناشی می‌شود:


  1. جعل هویت یک سرمایه‌گذار حرفه‌ای
  2. ایجاد یک لینک جلسه جعلی
  3. استفاده از اعلان‌های امنیتی شبیه کلودفلر
  4. تزریق یک دستور از طریق کلیپ‌بورد
  5. اجرا در ترمینال


هر مرحله به تنهایی قابل باور است و بنابراین آن‌ها به طور همزمان یک تله واحد ایجاد می‌کنند.

چرا افزونه‌های مرورگر یک هدف اصلی هستند

افزونه‌های کیف پول مرورگر برای ارز دیجیتال به درستی از زیرساخت‌های اساسی که به کاربران امکان دسترسی به وب۳ را می‌دهد، پشتیبانی می‌کنند. آن‌ها کلید خصوصی شما را نگه می‌دارند، به شما امکان امضای تراکنش‌ها را می‌دهند و به توسعه‌دهندگان دسترسی به اطلاعات تراکنش شما را می‌دهند. افزونه‌های مرورگر راحت هستند، اما همچنین یک منطقه آسیب‌پذیری بسیار متمرکز را نشان می‌دهند.


اگر یک مهاجم موارد زیر را به خطر اندازد:

• جلسه مرورگر کاربر

• مجوزهای یک افزونه

• محتویات کلیپ‌بورد

• ذخیره‌سازی عبارات بازیابی (seed phrases)


آن‌گاه نتایج می‌تواند فوری باشد.


برخلاف کلاهبرداری بانکی سنتی، وقتی سرقت کریپتو اتفاق می‌افتد معمولاً غیرقابل برگشت است و پس از انتقال وجوه به کیف پول مهاجم، بازگرداندن آن‌ها غیرمعمول است.


فعالیت‌های اخیر در کمپین‌های ClickFix نشان داده است که مهاجمان از مناطق با ارزش آگاه هستند و تلاش‌های خود را بر لایه انسانی متمرکز کرده‌اند، به جای تلاش برای انجام حملات جستجوی فراگیر (بروت فورس) بر شبکه‌های بلاکچین.


حمله از طریق مهندسی اجتماعی همچنان روشی ارزان‌تر و آسان‌تر برای آن‌ها است تا تلاش برای بهره‌برداری از نقاط ضعف در سطح پروتکل.

روانشناسی پشت ClickFix

ClickFix یک تکنیک مخرب است که از اعتماد ذاتی ما به اعلان‌های امنیتی سوءاستفاده می‌کند؛ کاربران با تجربه آموزش دیده‌اند تا در تعاملات روزمره با مواردی مانند کادرهای کپچا، پنجره‌های بازشو تأیید و تمرین بررسی امنیتی شرکت کنند. این به مهاجمان کمک می‌کند تا از مواجهه و آشنایی قبلی کاربران با این پیام‌ها به عنوان بخشی از استراتژی حمله خود سوءاستفاده کنند.


این روش سطح بالایی از فوریت را ایجاد می‌کند:


-- شروع قریب‌الوقوع یک جلسه

-- تکمیل تأیید امنیتی

-- سریع عمل کردن


در نتیجه، اهداف ممکن است در مواجهه با پتانسیل دریافت تامین مالی از سرمایه‌گذاران خطرپذیر، احتیاط خود را نادیده بگیرند.

بنیانگذاران و توسعه‌دهندگانی که در حال حاضر به دنبال سرمایه‌گذاری هستند، با فشار روانی قابل توجهی در مورد میزان محافظت آن‌ها در صورت از دست دادن فرصت سرمایه‌گذاری در مقایسه با میزان ریسکی که با انجام یک کار واحد متحمل می‌شوند، روبرو هستند. این سوگیری فوریت نیز نقش مهمی در موفقیت این کلاهبرداری ایفا می‌کند.

چرا متخصصان کریپتو هدف قرار می‌گیرند

هدف قرار دادن تلاش‌های جعل هویت خود به سمت شرکت‌هایی که به طور سنتی در سرمایه‌گذاری سرمایه دخیل بوده‌اند، می‌تواند یک استراتژی خوب باشد.


اغلب اوقات، استارت‌آپ‌های کریپتو با جامعه سرمایه‌گذاران خود از طریق اینترنت ارتباط برقرار می‌کنند. این نوع اطلاع‌رسانی از طریق پلتفرم لینکدین بسیار رایج شده است. برنامه زوم یک راه متداول برای انجام تماس‌های نمایشی است و دستورالعمل‌های فنی با استفاده از سیستم‌های مبتنی بر ترمینال نیز در جریان‌های کاری وب۳ رایج است.


افرادی که به طور آگاهانه مورد حمله قرار می‌گیرند:


- مقادیر زیادی ارز دیجیتال دارند

- کنترل خزانه‌ها را در دست دارند

- وجوه پروژه را مدیریت می‌کنند

- به عنوان توسعه‌دهنده به سیستم دسترسی دارند. به عبارت دیگر، این‌ها اهداف با ارزش بالا هستند.


این چیزی فراتر از هرزنامه تصادفی است؛ این یک حمله از طریق مهندسی اجتماعی است که مستقیماً قطب‌های اقتصادی ارزهای دیجیتال را هدف قرار می‌دهد.

اقدامات دفاعی برای کاربران کریپتو

با توجه به شیوه پیشرفته‌ای که این حملات رخ می‌دهند، باید به پروتکل‌های امنیتی به شدت پایبند بود.


نمونه‌هایی از شیوه‌های امنیتی به شرح زیر است:

• هرگز دستورات ترمینال را از یک لینک ناخواسته اجرا نکنید


• سرمایه‌گذار را با جستجو در اینترنت و بررسی با منابع معتبر حضوری یا غیرحضوری که یا در کشوری که در آن تجارت می‌کنید مستقر هستند یا می‌توانند در بررسی دقیق به شما کمک کنند، تأیید کنید


• فقط از طریق آدرس‌های دامنه مربوطه به زوم و گوگل میت برای شروع جلسات دسترسی پیدا کنید


• هیچ دستوری را که در کلیپ‌بورد کپی شده است، استفاده نکنید مگر اینکه از صحت دستور مطمئن باشید


• مقادیر زیاد باید در کیف پول‌های سخت‌افزاری ذخیره شوند


• احراز هویت چند عاملی را در همه حساب‌ها فعال کنید


فقط منابع مجاز باید افزونه‌ها یا پلاگین‌های مرورگر را ارائه دهند؛ همیشه آن‌ها را برای مجوزهای غیرعادی در زمان نصب و همچنین به صورت دوره‌ای پس از آن بررسی کنید.


علاوه بر این، هر کسب‌وکاری که برای شرکت در تماس‌های کنفرانس ویدیویی خود به احراز هویت مبتنی بر ترمینال نیاز دارد، حداقل نیاز برای شرکت‌های قانونی را برآورده نمی‌کند.

در نهایت، هر درخواستی مبنی بر کپی و چسباندن یک دستور در ترمینال سیستم عامل شما باید به عنوان یک نشانه هشدار دهنده فوری تلقی شود.

روند گسترده‌تر در هدف‌گیری کریپتو

حملات ClickFix نشان‌دهنده تغییری در جرایم سایبری متمرکز بر کریپتو است. به جای حمله مستقیم به کد بلاکچین، هکرها به موارد زیر حمله می‌کنند:


- رابط‌های کاربری

- کانال‌های ارتباطی

- سیستم‌های تأیید هویت

- سایت‌های رسانه‌های اجتماعی


با گسترش پذیرش ارز دیجیتال، هدف بالقوه آن برای حملات از آسیب‌پذیری‌ها در پروتکل‌ها به رفتار انسانی و گردش‌های کاری تغییر یافته است.

این تغییر به معنای نیاز به تأکید بر آموزش امنیت سایبری و همچنین محافظت‌های فنی است.

بلاکچین‌ها می‌توانند محافظت شوند اما نقاط پایانی کاربر هیچ روش دفاعی در برابر آن‌ها ندارند.

نتیجه‌گیری: چرا کلاهبرداری‌های ClickFix یک تهدید فزاینده در کریپتو هستند

حملات ClickFix موج اخیر حملات را از طریق سطح جدیدی از مهندسی اجتماعی متمرکز بر کریپتو ایجاد کرده است.


همانطور که مهاجمان با کپی/جعل هویت شرکت‌های سرمایه‌گذاری خطرپذیر با استفاده از لینکدین و به دست آوردن کنترل افزونه‌های مرورگر از طریق دسترسی به خط فرمان ترمینال، روشی بسیار مؤثر برای انجام اقدامات فریبنده ایجاد می‌کنند که از روش‌های فریب شرکتی سنتی و روش‌های بهره‌برداری فنی بهره می‌برد.


این روش موفق است زیرا فعالیت قانونی را که در صنعت رخ می‌دهد، تقلید می‌کند.


سرمایه‌گذاران و فعالان ارز دیجیتال یک وجه اشتراک دارند: آن‌ها می‌دانند که هیچ سودی را نمی‌توان از به خطر انداختن امنیت شخصی خود به دست آورد. هرگز نباید از خط فرمان استفاده کنید و دستوراتی را بر اساس اختیارات به طرز ماهرانه‌ای پنهان شده کسی اجرا کنید. صرفاً دیدن یک اعلان درخواست تأیید به معنای واقعی بودن آن نیست. لوگوی شرکت نیز می‌تواند تغییر یابد.


حتی در یک دنیای غیرمتمرکز که مردم امور مالی خود را کنترل می‌کنند، امنیت واقعاً مسئولیت کاربران است.


همانطور که این نقض‌ها نشان می‌دهد، خود بلاکچین معمولاً ضعیف‌ترین حلقه نیست؛ ریسک زمانی ایجاد می‌شود که به شخصی که اطلاعات را ارائه می‌دهد اعتماد کنید.

All views expressed are the author’s personal opinions, and do not constitute investment advice.

Latest Articles

Fear and Greed Index

Trade
29
Fear
What do you think the current market sentiment is?
+78.57%+21.42%
SpotFutures
No data