מיליארד דולר, בייבי: האקרים גנבו בפישינג מטבעות קריפטו

האקרים גנבו יותר ממיליארד דולר במטבעות קריפטוגרפיים במסגרת הונאות "דיוג עם אישור" מאז מאי 2021, כך על פי דו"ח חדש של צ'יינאליזיס (Chainalysis).

החוקרים מעריכים, כי טכניקת הרמייה הזאת, המשמשת תכופות רמאים הפועלים על "רקע רומנטי", הובילה לכך שמשתמשי קריפטו הפסידו לפחות 374 מיליון דולר ב-2023.

הונאת "דיוג עם אישור", Approval Phishing, היא סוג של הונאת קריפטו, שבה התוקפים מערימים על הקורבנות ומשכנעים אותם לחתום על עסקת בלוקצ'יין זדונית, עם הוראה של "דרוש אישור".

הקורבן מופנה לדף הונאה, המבקש את אישורי המשתמש שלו. אז ההאקר משיג אישור לכתובת של הקורבנות, ויכול להוציא אסימונים ספציפיים מהארנק שלהם. כך ההאקר יכול לרוקן את כתובתו של הקורבן מהאסימונים הללו כרצונו, כשבחלק מהמקרים, מדובר בסכומים של עשרות מיליוני דולר. ברגע שהקורבן חותם על העסקה, הכספים נשלחים לארנק נפרד, שונה מזה שהקורבן אישר.

טכניקת הונאה זו פחות מוכרת מהונאות קריפטו טיפוסיות, שכוללות בדרך כלל הצעות למימוש הזדמנות להשקעה – שהיא מומצאת.

לפי הדו"ח, הונאות פישינג עם דרישה לאישור של הקורבנות – מתמקדות יותר ויותר במשתמשי קריפטו ספציפיים, כאשר במסגרת אותן ההונאות נבנים קשרים עם הקורבנות. לעיתים קרובות ההאקרים משתמשים בטכניקות הונאה רומנטיות כדי לשכנע את הקורבנות לחתום על עסקאות אישור. החוקרים מצאו 1,013 מקרים שבהם נעשה שימוש בטכניקה זו.

לפי הניתוח, הרוב המכריע של גניבות בטכניקה זו נעשות על ידי כמה שחקנים "מצליחים" מאוד: על פי ההערכות, ההונאה המוצלחת ביותר הביאה לגניבה של 44.3 מיליון דולר מאלפי כתובות של קורבנות. הנתון משקף 4.4% מהסכום הכולל של מטבעות קריפטוגרפיים שנגנבו במהלך התקופה האמורה. עשר גניבות הדיוג הגדולות באישור היוו 15.9% מכלל הסכומים שנגנבו, כאשר 73 ההונאות הגדולות שיקפו כמחצית מהסכומים.

כך פועלת הונאת דיוג עם אישור. צילום: צ'יינאליזיס

בציר הזמן, ההכנסות של האקרים שהפעילו הונאות דיוג עם אישור הגיעו לשיא במאי 2022. אז הקורבנות הפסידו כ-516.8 מיליון דולר. זאת, בהשוואה ל-374.6 מיליון דולר השנה, עד חודש נובמבר. לפי החוקרים, "בדומה לפשעים אחרים המבוססים על קריפטו, מספר קטן של שחקנים, שהם מצליחים מאוד – מבצעים את רוב ההונאות מסוג זה".

לפי חוקרי Chainalysis, ההפסדים בפועל מהונאות מסוג זה הם גבוהים בהרבה, שכן הנפגעים והנפגעות מהונאות רומנטיות מדווחים על האירועים פחות מאשר בדרך כלל.

הדו"ח מסתיים בשורה של המלצות למנהלי אבטחה בארגונים כיצד להתמודד עם הונאה מסוג זה: העלאת המודעות בקרב עובדים שפועלים בזירת הקריפטו, אם בעבודתם ואם לצרכים אישיים – בדבר הסכנות הגלומות בתחום; הנחייה גורפת, שלא לחתום על אישורים, אלא אם כן הם בטוחים וסומכים על האדם, או החברה, מהצד השני של העסקה; ניטור הבלוקצ'יין מפני ארנקים מאוגדים יחד, שיש להם יכולת חשיפה גבוהה לכתובות יעד; הקפאה אוטומטית של כספים, לצד דיווח לרשויות אכיפת החוק – כאשר ארנקים חשודים מעבירים כספים לפלטפורמה שלהם.