ClickFix Crypto Scam: How Fake VC Meetings Steal Crypto Wallets

Learn how ClickFix crypto scams impersonate venture capitalists to trick founders into installing malware that steals browser wallet funds.

مجرمان سایبری اکنون استراتژیهای خود را برای سوءاستفاده از دارندگان داراییهای دیجیتال با راهاندازی حملات ClickFix تغییر دادهاند که در آن هویت سرمایهگذاران خطرپذیر را جعل میکنند یا افزونههای مرورگر را ربودهاند. این نشان میدهد که مهندسی اجتماعی همچنان یک بردار حمله اصلی در اکوسیستم کریپتو است.
در سال ۲۰۲۲، آزمایشگاه مونلاک (Moonlock Lab)، یک ارائهدهنده امنیت سایبری، گزارش داد که مهاجمان با جعل هویت سرمایهگذاران قانونی و کلاهبرداری از کاربران اینترنت از طریق ارتباطات جعلی لینکدین، لینکهای کنفرانس ویدیویی و دستورات مخرب خط فرمان که به عنوان فرآیندهای تأیید هویت قانونی پنهان شدهاند، عمل کردهاند. نتیجه نهایی یک مسیر حمله بسیار پیچیده ایجاد میکند که برندسازی شرکتی، گردش کار توسعهدهنده و بهرهبرداریهای مبتنی بر مرورگر را در یک طرح منسجم ترکیب میکند.
چگونه کلاهبرداری سرمایهگذاری خطرپذیر جعلی آغاز میشود
مهاجمان با استفاده از نامهای معتبر مانند "SolidBit"، "MegaBit" و "Lumax Capital" در حملهای به شرکتهای ارز دیجیتال، از طریق وبسایتهای سرمایهگذاری خطرپذیر جعلی که از آنها برای ارسال پیامهای ایمیلی جهت درخواست همکاری از بنیانگذاران و توسعهدهندگان شرکتهای ارز دیجیتال استفاده میکنند، جعل هویت میکنند.
مهاجمان وبسایتها و حسابهای لینکدین بسیار معتبری ایجاد کردهاند تا کلاهبرداری خود را انجام دهند.
رایجترین راهها برای مهاجمان برای برقراری ارتباط با قربانیان عبارتند از:
- ابراز علاقه به تامین مالی اولیه در یک پروژه وب۳ در مراحل اولیه.
- دعوت به بحث در مورد فرصت تامین مالی شرکت.
- درخواست برای نمایش محصول شرکت.
- معرفی شرکتها در چارچوب توسعه یک همکاری استراتژیک.
تماس اولیه معمولاً در لینکدین انجام میشود، جایی که اکثر اهداف انتظار دریافت درخواستهای تجاری را دارند. مهاجمان از برندسازی با کیفیت بالا و سطح مناسبی از رسمیت در ارتباطات خود استفاده میکنند که سوءظن هدف را در مورد دریافت این پیام کاهش میدهد.
پس از تماس با قربانی، از آنها برای یک تماس زوم یا گوگل میت دعوت میشود تا جزئیات فرصتهای اضافی را مورد بحث قرار دهند.
تلههای جعلی زوم و گوگل میت
هنگامی که یک هدف با جلسه موافقت کرد، یک لینک کنفرانس ویدیویی جعلی دریافت میکند. اگرچه شبیه یک لینک واقعی به نظر میرسد، اما طراحی آن نیز مشابه لینکهای واقعی زوم و گوگل میت است. هنگامی که کاربر سعی میکند به جلسه بپیوندد، به جای اتصال به یک کنفرانس ویدیویی، لینک کاربر را به آنچه یک صفحه رویداد با طراحی حرفهای به نظر میرسد، هدایت میکند.
صفحه رویداد معمولاً دارای یک اعلان امنیتی به سبک Cloudflare با کادر انتخاب "من ربات نیستم" (I’m not a robot) است. کادر انتخاب "من ربات نیستم" عمداً انتخاب میشود، زیرا کاربران این تصویر را بخشی از یک بررسی امنیتی عادی میدانند.
روش ClickFix در این مرحله آغاز میشود. هنگامی که قربانی روی کادر انتخاب کلیک میکند، یک دستور مخرب مخفیانه در کلیپبورد کپی میشود. کاربر آلوده اکنون کدی برای تأیید هویت خود از طریق سرور پلتفرم جلسه خواهد داشت. در واقع، هیچ فرآیند تأییدی وجود ندارد؛ بلکه، عوامل مخرب از شما میخواهند که یک بررسی امنیتی (که آن را یک گام فنی مینامند) را حذف کنید.
اگر کسی با نحوه استفاده از ترمینال یا دستورات ناآشنا باشد، ممکن است گیج شود یا در درک آنچه باید انجام دهد، مشکل داشته باشد. برای توسعهدهندگان حرفهای و متخصصان متمرکز بر ارز دیجیتال که تقریباً روزانه از خط فرمان استفاده میکنند، این موضوع سوءظن آنها را برانگیخته نخواهد کرد.
پس از تایپ دستور ترمینال چه اتفاقی خواهد افتاد؟
پس از وارد کردن این دستور در ترمینال، دستور بلافاصله شروع به اجرا میکند.
بسته به نحوه پیکربندی حمله، دستور میتواند یک یا چند مورد از کارهای زیر را انجام دهد:
• نصب برنامههای دسترسی از راه دور
• استقرار ربودنده کلیپبورد
• تزریق یک اسکریپت مخرب به مرورگر کاربر
• استخراج کلیدهای خصوصی کاربر از کیف پول مرورگر آنها.
• نصب بدافزاری که افزونههای مرورگر مبتنی بر ارز دیجیتال را هدف قرار میدهد
چندین نوع اخیر این حملات به طور خاص افزونههای مرورگر را هدف قرار دادهاند که معمولاً برای مدیریت کیف پولهای کریپتو استفاده میشوند. کیف پولهای مبتنی بر مرورگر یکی از بزرگترین آسیبپذیریها برای حمله را ارائه میدهند زیرا معمولاً دسترسی مستقیم به داراییهای دیجیتال را فراهم میکنند؛ مهاجمی که بتواند یک کیف پول مبتنی بر مرورگر را به خطر اندازد، میتواند به راحتی و به طور غیرقابل برگشت آن را خالی کند.
پیچیدگی در اینجا از لایههای مختلف فریب در این حمله ناشی میشود:
- جعل هویت یک سرمایهگذار حرفهای
- ایجاد یک لینک جلسه جعلی
- استفاده از اعلانهای امنیتی شبیه کلودفلر
- تزریق یک دستور از طریق کلیپبورد
- اجرا در ترمینال
هر مرحله به تنهایی قابل باور است و بنابراین آنها به طور همزمان یک تله واحد ایجاد میکنند.
چرا افزونههای مرورگر یک هدف اصلی هستند
افزونههای کیف پول مرورگر برای ارز دیجیتال به درستی از زیرساختهای اساسی که به کاربران امکان دسترسی به وب۳ را میدهد، پشتیبانی میکنند. آنها کلید خصوصی شما را نگه میدارند، به شما امکان امضای تراکنشها را میدهند و به توسعهدهندگان دسترسی به اطلاعات تراکنش شما را میدهند. افزونههای مرورگر راحت هستند، اما همچنین یک منطقه آسیبپذیری بسیار متمرکز را نشان میدهند.
اگر یک مهاجم موارد زیر را به خطر اندازد:
• جلسه مرورگر کاربر
• مجوزهای یک افزونه
• محتویات کلیپبورد
• ذخیرهسازی عبارات بازیابی (seed phrases)
آنگاه نتایج میتواند فوری باشد.
برخلاف کلاهبرداری بانکی سنتی، وقتی سرقت کریپتو اتفاق میافتد معمولاً غیرقابل برگشت است و پس از انتقال وجوه به کیف پول مهاجم، بازگرداندن آنها غیرمعمول است.
فعالیتهای اخیر در کمپینهای ClickFix نشان داده است که مهاجمان از مناطق با ارزش آگاه هستند و تلاشهای خود را بر لایه انسانی متمرکز کردهاند، به جای تلاش برای انجام حملات جستجوی فراگیر (بروت فورس) بر شبکههای بلاکچین.
حمله از طریق مهندسی اجتماعی همچنان روشی ارزانتر و آسانتر برای آنها است تا تلاش برای بهرهبرداری از نقاط ضعف در سطح پروتکل.
روانشناسی پشت ClickFix
ClickFix یک تکنیک مخرب است که از اعتماد ذاتی ما به اعلانهای امنیتی سوءاستفاده میکند؛ کاربران با تجربه آموزش دیدهاند تا در تعاملات روزمره با مواردی مانند کادرهای کپچا، پنجرههای بازشو تأیید و تمرین بررسی امنیتی شرکت کنند. این به مهاجمان کمک میکند تا از مواجهه و آشنایی قبلی کاربران با این پیامها به عنوان بخشی از استراتژی حمله خود سوءاستفاده کنند.
این روش سطح بالایی از فوریت را ایجاد میکند:
-- شروع قریبالوقوع یک جلسه
-- تکمیل تأیید امنیتی
-- سریع عمل کردن
در نتیجه، اهداف ممکن است در مواجهه با پتانسیل دریافت تامین مالی از سرمایهگذاران خطرپذیر، احتیاط خود را نادیده بگیرند.
بنیانگذاران و توسعهدهندگانی که در حال حاضر به دنبال سرمایهگذاری هستند، با فشار روانی قابل توجهی در مورد میزان محافظت آنها در صورت از دست دادن فرصت سرمایهگذاری در مقایسه با میزان ریسکی که با انجام یک کار واحد متحمل میشوند، روبرو هستند. این سوگیری فوریت نیز نقش مهمی در موفقیت این کلاهبرداری ایفا میکند.
چرا متخصصان کریپتو هدف قرار میگیرند
هدف قرار دادن تلاشهای جعل هویت خود به سمت شرکتهایی که به طور سنتی در سرمایهگذاری سرمایه دخیل بودهاند، میتواند یک استراتژی خوب باشد.
اغلب اوقات، استارتآپهای کریپتو با جامعه سرمایهگذاران خود از طریق اینترنت ارتباط برقرار میکنند. این نوع اطلاعرسانی از طریق پلتفرم لینکدین بسیار رایج شده است. برنامه زوم یک راه متداول برای انجام تماسهای نمایشی است و دستورالعملهای فنی با استفاده از سیستمهای مبتنی بر ترمینال نیز در جریانهای کاری وب۳ رایج است.
افرادی که به طور آگاهانه مورد حمله قرار میگیرند:
- مقادیر زیادی ارز دیجیتال دارند
- کنترل خزانهها را در دست دارند
- وجوه پروژه را مدیریت میکنند
- به عنوان توسعهدهنده به سیستم دسترسی دارند. به عبارت دیگر، اینها اهداف با ارزش بالا هستند.
این چیزی فراتر از هرزنامه تصادفی است؛ این یک حمله از طریق مهندسی اجتماعی است که مستقیماً قطبهای اقتصادی ارزهای دیجیتال را هدف قرار میدهد.
اقدامات دفاعی برای کاربران کریپتو
با توجه به شیوه پیشرفتهای که این حملات رخ میدهند، باید به پروتکلهای امنیتی به شدت پایبند بود.
نمونههایی از شیوههای امنیتی به شرح زیر است:
• هرگز دستورات ترمینال را از یک لینک ناخواسته اجرا نکنید
• سرمایهگذار را با جستجو در اینترنت و بررسی با منابع معتبر حضوری یا غیرحضوری که یا در کشوری که در آن تجارت میکنید مستقر هستند یا میتوانند در بررسی دقیق به شما کمک کنند، تأیید کنید
• فقط از طریق آدرسهای دامنه مربوطه به زوم و گوگل میت برای شروع جلسات دسترسی پیدا کنید
• هیچ دستوری را که در کلیپبورد کپی شده است، استفاده نکنید مگر اینکه از صحت دستور مطمئن باشید
• مقادیر زیاد باید در کیف پولهای سختافزاری ذخیره شوند
• احراز هویت چند عاملی را در همه حسابها فعال کنید
فقط منابع مجاز باید افزونهها یا پلاگینهای مرورگر را ارائه دهند؛ همیشه آنها را برای مجوزهای غیرعادی در زمان نصب و همچنین به صورت دورهای پس از آن بررسی کنید.
علاوه بر این، هر کسبوکاری که برای شرکت در تماسهای کنفرانس ویدیویی خود به احراز هویت مبتنی بر ترمینال نیاز دارد، حداقل نیاز برای شرکتهای قانونی را برآورده نمیکند.
در نهایت، هر درخواستی مبنی بر کپی و چسباندن یک دستور در ترمینال سیستم عامل شما باید به عنوان یک نشانه هشدار دهنده فوری تلقی شود.
روند گستردهتر در هدفگیری کریپتو
حملات ClickFix نشاندهنده تغییری در جرایم سایبری متمرکز بر کریپتو است. به جای حمله مستقیم به کد بلاکچین، هکرها به موارد زیر حمله میکنند:
- رابطهای کاربری
- کانالهای ارتباطی
- سیستمهای تأیید هویت
- سایتهای رسانههای اجتماعی
با گسترش پذیرش ارز دیجیتال، هدف بالقوه آن برای حملات از آسیبپذیریها در پروتکلها به رفتار انسانی و گردشهای کاری تغییر یافته است.
این تغییر به معنای نیاز به تأکید بر آموزش امنیت سایبری و همچنین محافظتهای فنی است.
بلاکچینها میتوانند محافظت شوند اما نقاط پایانی کاربر هیچ روش دفاعی در برابر آنها ندارند.
نتیجهگیری: چرا کلاهبرداریهای ClickFix یک تهدید فزاینده در کریپتو هستند
حملات ClickFix موج اخیر حملات را از طریق سطح جدیدی از مهندسی اجتماعی متمرکز بر کریپتو ایجاد کرده است.
همانطور که مهاجمان با کپی/جعل هویت شرکتهای سرمایهگذاری خطرپذیر با استفاده از لینکدین و به دست آوردن کنترل افزونههای مرورگر از طریق دسترسی به خط فرمان ترمینال، روشی بسیار مؤثر برای انجام اقدامات فریبنده ایجاد میکنند که از روشهای فریب شرکتی سنتی و روشهای بهرهبرداری فنی بهره میبرد.
این روش موفق است زیرا فعالیت قانونی را که در صنعت رخ میدهد، تقلید میکند.
سرمایهگذاران و فعالان ارز دیجیتال یک وجه اشتراک دارند: آنها میدانند که هیچ سودی را نمیتوان از به خطر انداختن امنیت شخصی خود به دست آورد. هرگز نباید از خط فرمان استفاده کنید و دستوراتی را بر اساس اختیارات به طرز ماهرانهای پنهان شده کسی اجرا کنید. صرفاً دیدن یک اعلان درخواست تأیید به معنای واقعی بودن آن نیست. لوگوی شرکت نیز میتواند تغییر یابد.
حتی در یک دنیای غیرمتمرکز که مردم امور مالی خود را کنترل میکنند، امنیت واقعاً مسئولیت کاربران است.
همانطور که این نقضها نشان میدهد، خود بلاکچین معمولاً ضعیفترین حلقه نیست؛ ریسک زمانی ایجاد میشود که به شخصی که اطلاعات را ارائه میدهد اعتماد کنید.





