El fraude de ingeniería social se ha convertido en una amenaza significativa en el campo de la encriptación de activos.
En los últimos años, los ataques de ingeniería social dirigidos a los usuarios de encriptación se han vuelto cada vez más comunes, lo que representa una grave amenaza para la seguridad de los fondos de los usuarios. Desde 2025, han ocurrido con frecuencia incidentes de fraude social dirigidos a los usuarios de una conocida plataforma de intercambio, lo que ha llamado la atención generalizada en la industria. A partir de las discusiones en la comunidad, se puede ver que estos no son casos aislados, sino una nueva técnica de fraude organizada y persistente.
El 15 de mayo, la plataforma de intercambio publicó un anuncio, confirmando las especulaciones previas sobre la existencia de "traidores" dentro de la plataforma. El Departamento de Justicia de EE. UU. ha iniciado una investigación sobre este incidente de filtración de datos.
Revisión histórica
El detective en la cadena Zach señaló en una actualización del 7 de mayo que, en solo la última semana, más de 45 millones de dólares fueron robados a los usuarios de la plataforma debido a fraudes de ingeniería social. En el último año, Zach ha revelado en varias ocasiones incidentes de robo de usuarios relacionados, con pérdidas individuales de hasta decenas de millones de dólares.
Zach en un informe de investigación de febrero de 2025 afirmó que solo entre diciembre de 2024 y enero de 2025, las pérdidas de fondos causadas por este tipo de estafas superaron los 65 millones de dólares. También reveló que la plataforma enfrenta una grave crisis de "engaños sociales", que continúan afectando la seguridad de los activos de los usuarios a una escala anual de 300 millones de dólares.
Zach señaló que las bandas que lideran este tipo de estafas se dividen principalmente en dos categorías: una consiste en atacantes de bajo nivel de ciertos círculos, y la otra son organizaciones de ciberdelincuencia ubicadas en India. Las bandas de estafadores se enfocan principalmente en usuarios estadounidenses, con métodos de operación estandarizados y procesos de conversación maduros. También considera que el monto de las pérdidas reales podría ser mucho mayor que las estadísticas visibles, debido a la gran cantidad de tickets de servicio al cliente no divulgados y registros de denuncias policiales.
Métodos de estafa
En este incidente, el sistema técnico de la plataforma no fue comprometido, los estafadores utilizaron los permisos de empleados internos para obtener parte de la información sensible de los usuarios, incluyendo nombres, direcciones, datos de contacto, datos de cuentas, fotos de documentos de identidad, etc. El objetivo final de los estafadores es utilizar técnicas de ingeniería social para guiar a los usuarios a realizar transferencias.
Este tipo de ataque ha cambiado los métodos tradicionales de pesca "en red" hacia un "ataque preciso", lo cual puede considerarse un fraude de ingeniería social "a medida". La ruta típica del delito es la siguiente:
Contactar a los usuarios en calidad de "atención al cliente oficial"
Guiar a los usuarios para que descarguen la billetera autogestionada de la plataforma
Inducir a los usuarios a utilizar las frases mnemotécnicas proporcionadas por los estafadores
Los estafadores realizan el robo de fondos
Los estafadores utilizan sistemas telefónicos falsificados para hacerse pasar por el servicio al cliente de la plataforma, afirmando que la "cuenta del usuario ha sufrido un inicio de sesión ilegal" o que se "detectó una anomalía en el retiro", creando un ambiente de urgencia. Luego envían correos electrónicos o mensajes de texto de phishing muy realistas, guiando a los usuarios a realizar ciertas acciones. Ellos inducen a los usuarios a transferir fondos a una "billetera segura" bajo el pretexto de "proteger los activos". A diferencia de la "estafa de obtención de frases de recuperación" tradicional, los estafadores proporcionan directamente un conjunto de frases de recuperación generadas por ellos mismos, induciendo a los usuarios a usarlas como "nueva billetera oficial".
Algunos correos electrónicos de phishing incluso afirman que "debido a un fallo de una demanda colectiva, la plataforma se trasladará completamente a billeteras autogestionadas", exigiendo a los usuarios que completen la migración de activos en un corto período de tiempo, con el fin de crear una sensación de urgencia.
Medidas de respuesta
Para la plataforma:
Envío regular de contenido educativo sobre el fraude
Optimizar el modelo de riesgo, introducir "identificación de comportamientos anómalos interactivos"
Estandarizar los canales de atención al cliente y los mecanismos de verificación
Para los usuarios:
Implementar una estrategia de aislamiento de identidad
Habilitar la lista blanca de transferencias y el mecanismo de enfriamiento de retiros
Mantenerse informado sobre noticias de seguridad
Presta atención a los riesgos en línea y a la protección de la privacidad
En resumen, frente a ataques de ingeniería social, es crucial mantener la sospecha y la verificación continua. En cualquier operación urgente, es imprescindible que la otra parte demuestre su identidad y se verifique de forma independiente a través de canales oficiales, evitando tomar decisiones irrevocables bajo presión.
Resumen
Este incidente ha vuelto a exponer las deficiencias de la industria en la protección de datos de clientes y activos. Incluso si los puestos relacionados con la plataforma no tienen acceso a fondos, la falta de conciencia de seguridad y capacidad suficiente puede resultar en graves consecuencias debido a filtraciones involuntarias o a la coacción. A medida que la plataforma crece, la complejidad del control de seguridad del personal también aumenta, convirtiéndose en uno de los riesgos más difíciles de abordar en la industria.
La plataforma, además de fortalecer los mecanismos de seguridad en la cadena, también debe construir de manera sistemática un "sistema de defensa contra el engaño social" que cubra tanto al personal interno como a los servicios subcontratados, incorporando el riesgo humano en la estrategia de seguridad general. Una vez que se detecte una amenaza organizada y continua, la plataforma debe responder rápidamente, inspeccionar proactivamente las vulnerabilidades, advertir a los usuarios sobre la prevención y controlar el alcance del daño. Solo a través de un enfoque combinado en los niveles técnico y organizativo se puede mantener la confianza y los principios en un entorno de seguridad cada vez más complejo.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
8
Compartir
Comentar
0/400
StableGeniusDegen
· 07-21 19:43
Últimamente, todos los tontos están jugando a estafar.
Ver originalesResponder0
tokenomics_truther
· 07-20 07:00
¿Es otra vez un miembro interno el que traiciona? Qué trágico.
Ver originalesResponder0
BugBountyHunter
· 07-18 20:13
¿Otra vez te han tomado por tonto?
Ver originalesResponder0
AirdropBlackHole
· 07-18 20:12
唉 又被 tomar a la gente por tonta 一波 tontos 了
Ver originalesResponder0
GasWaster
· 07-18 20:04
Los traders se han reducido a la mitad
Ver originalesResponder0
HappyMinerUncle
· 07-18 20:02
novato, no se dejen engañar, es confiable.
Ver originalesResponder0
DaoResearcher
· 07-18 20:02
Este estudio citará el capítulo 3.7 del White Paper de riesgos de encriptación de activos del GAFI, donde se menciona que los ataques de ingeniería social han superado con creces las intrusiones tradicionales de hackers y existen claras vulnerabilidades sistémicas.
El robo de activos es frecuente y las estafas de ingeniería social se han convertido en una grave amenaza en el ámbito de la encriptación.
El fraude de ingeniería social se ha convertido en una amenaza significativa en el campo de la encriptación de activos.
En los últimos años, los ataques de ingeniería social dirigidos a los usuarios de encriptación se han vuelto cada vez más comunes, lo que representa una grave amenaza para la seguridad de los fondos de los usuarios. Desde 2025, han ocurrido con frecuencia incidentes de fraude social dirigidos a los usuarios de una conocida plataforma de intercambio, lo que ha llamado la atención generalizada en la industria. A partir de las discusiones en la comunidad, se puede ver que estos no son casos aislados, sino una nueva técnica de fraude organizada y persistente.
El 15 de mayo, la plataforma de intercambio publicó un anuncio, confirmando las especulaciones previas sobre la existencia de "traidores" dentro de la plataforma. El Departamento de Justicia de EE. UU. ha iniciado una investigación sobre este incidente de filtración de datos.
Revisión histórica
El detective en la cadena Zach señaló en una actualización del 7 de mayo que, en solo la última semana, más de 45 millones de dólares fueron robados a los usuarios de la plataforma debido a fraudes de ingeniería social. En el último año, Zach ha revelado en varias ocasiones incidentes de robo de usuarios relacionados, con pérdidas individuales de hasta decenas de millones de dólares.
Zach en un informe de investigación de febrero de 2025 afirmó que solo entre diciembre de 2024 y enero de 2025, las pérdidas de fondos causadas por este tipo de estafas superaron los 65 millones de dólares. También reveló que la plataforma enfrenta una grave crisis de "engaños sociales", que continúan afectando la seguridad de los activos de los usuarios a una escala anual de 300 millones de dólares.
Zach señaló que las bandas que lideran este tipo de estafas se dividen principalmente en dos categorías: una consiste en atacantes de bajo nivel de ciertos círculos, y la otra son organizaciones de ciberdelincuencia ubicadas en India. Las bandas de estafadores se enfocan principalmente en usuarios estadounidenses, con métodos de operación estandarizados y procesos de conversación maduros. También considera que el monto de las pérdidas reales podría ser mucho mayor que las estadísticas visibles, debido a la gran cantidad de tickets de servicio al cliente no divulgados y registros de denuncias policiales.
Métodos de estafa
En este incidente, el sistema técnico de la plataforma no fue comprometido, los estafadores utilizaron los permisos de empleados internos para obtener parte de la información sensible de los usuarios, incluyendo nombres, direcciones, datos de contacto, datos de cuentas, fotos de documentos de identidad, etc. El objetivo final de los estafadores es utilizar técnicas de ingeniería social para guiar a los usuarios a realizar transferencias.
Este tipo de ataque ha cambiado los métodos tradicionales de pesca "en red" hacia un "ataque preciso", lo cual puede considerarse un fraude de ingeniería social "a medida". La ruta típica del delito es la siguiente:
Los estafadores utilizan sistemas telefónicos falsificados para hacerse pasar por el servicio al cliente de la plataforma, afirmando que la "cuenta del usuario ha sufrido un inicio de sesión ilegal" o que se "detectó una anomalía en el retiro", creando un ambiente de urgencia. Luego envían correos electrónicos o mensajes de texto de phishing muy realistas, guiando a los usuarios a realizar ciertas acciones. Ellos inducen a los usuarios a transferir fondos a una "billetera segura" bajo el pretexto de "proteger los activos". A diferencia de la "estafa de obtención de frases de recuperación" tradicional, los estafadores proporcionan directamente un conjunto de frases de recuperación generadas por ellos mismos, induciendo a los usuarios a usarlas como "nueva billetera oficial".
Algunos correos electrónicos de phishing incluso afirman que "debido a un fallo de una demanda colectiva, la plataforma se trasladará completamente a billeteras autogestionadas", exigiendo a los usuarios que completen la migración de activos en un corto período de tiempo, con el fin de crear una sensación de urgencia.
Medidas de respuesta
Para la plataforma:
Para los usuarios:
En resumen, frente a ataques de ingeniería social, es crucial mantener la sospecha y la verificación continua. En cualquier operación urgente, es imprescindible que la otra parte demuestre su identidad y se verifique de forma independiente a través de canales oficiales, evitando tomar decisiones irrevocables bajo presión.
Resumen
Este incidente ha vuelto a exponer las deficiencias de la industria en la protección de datos de clientes y activos. Incluso si los puestos relacionados con la plataforma no tienen acceso a fondos, la falta de conciencia de seguridad y capacidad suficiente puede resultar en graves consecuencias debido a filtraciones involuntarias o a la coacción. A medida que la plataforma crece, la complejidad del control de seguridad del personal también aumenta, convirtiéndose en uno de los riesgos más difíciles de abordar en la industria.
La plataforma, además de fortalecer los mecanismos de seguridad en la cadena, también debe construir de manera sistemática un "sistema de defensa contra el engaño social" que cubra tanto al personal interno como a los servicios subcontratados, incorporando el riesgo humano en la estrategia de seguridad general. Una vez que se detecte una amenaza organizada y continua, la plataforma debe responder rápidamente, inspeccionar proactivamente las vulnerabilidades, advertir a los usuarios sobre la prevención y controlar el alcance del daño. Solo a través de un enfoque combinado en los niveles técnico y organizativo se puede mantener la confianza y los principios en un entorno de seguridad cada vez más complejo.