人是安全系統(tǒng)中最薄弱的環(huán)節(jié)。

撰文：ChandlerZ，F(xiàn)oresight News

安全就像鏈條，取決于最薄弱的環(huán)節(jié)。而人，即是密碼系統(tǒng)里的阿喀琉斯之踵。當(dāng)市場(chǎng)還沉迷于構(gòu)建更復(fù)雜的密碼學(xué)保護(hù)機(jī)制時(shí)，攻擊者早已發(fā)現(xiàn)了一條捷徑：不必破解密碼，只需操縱使用密碼的人。

人員是最薄弱的環(huán)節(jié)，同時(shí)也是最不受重視的環(huán)節(jié)。換而言之，人員是黑客最容易突破和利用的漏洞，同時(shí)也是企業(yè)安全投入最少，提升最慢的短板。

根據(jù)區(qū)塊鏈分析公司 Chainalysis 的最新報(bào)告，2024 年，朝鮮黑客發(fā)動(dòng)了 47 次復(fù)雜的攻擊活動(dòng)，從全球加密資產(chǎn)平臺(tái)盜走了價(jià)值 13 億美元的資產(chǎn)，同比增長(zhǎng) 21%。更為驚人的是，2025 年 2 月 21 日，Bybit 交易所遭遇黑客攻擊，導(dǎo)致價(jià)值約 15 億美元的加密資產(chǎn)被盜，創(chuàng)下了加密歷史上單次盜竊案的新紀(jì)錄。

過(guò)往諸多重大攻擊事件中，很多并非通過(guò)傳統(tǒng)的技術(shù)漏洞實(shí)現(xiàn)。盡管交易所和項(xiàng)目方每年投入數(shù)十億美元用于技術(shù)防護(hù)，但在這個(gè)看似由數(shù)學(xué)和代碼構(gòu)建的世界里，許多參與者往往低估了社會(huì)工程學(xué)帶來(lái)的威脅。

社會(huì)工程學(xué)的本質(zhì)與演變

在信息安全領(lǐng)域，社會(huì)工程學(xué)一直是一種獨(dú)特且危險(xiǎn)的攻擊手段。與通過(guò)技術(shù)漏洞或加密算法缺陷來(lái)侵入系統(tǒng)不同，社會(huì)工程學(xué)主要利用人類心理弱點(diǎn)和行為習(xí)慣對(duì)受害者實(shí)施欺騙和操控。它不需要太高深的技術(shù)門檻，卻往往能造成極其嚴(yán)重的損失。

數(shù)字時(shí)代的到來(lái)為社會(huì)工程學(xué)提供了新的工具和舞臺(tái)。在加密領(lǐng)域，這種演變尤為明顯。早期的加密資產(chǎn)社區(qū)主要由技術(shù)愛(ài)好者和密碼朋克組成，他們普遍具備警惕性和一定的技術(shù)素養(yǎng)。但隨著加密資產(chǎn)逐漸普及，越來(lái)越多并不精通相關(guān)技術(shù)的新用戶進(jìn)入市場(chǎng)，由此為社會(huì)工程學(xué)攻擊創(chuàng)造了肥沃的土壤。

另一方面，高度匿名和不可逆轉(zhuǎn)的交易特性，使得加密資產(chǎn)成為攻擊者收割利潤(rùn)的理想目標(biāo)。一旦資金被轉(zhuǎn)移至他們控制的錢包，幾乎無(wú)法追回。

社會(huì)工程學(xué)之所以在加密領(lǐng)域能夠輕易得手，很大程度上源于人類決策過(guò)程中的各種認(rèn)知偏差。確認(rèn)偏誤會(huì)讓投資者只關(guān)注符合其預(yù)期的信息，從眾心理則容易引發(fā)市場(chǎng)泡沫，F(xiàn)OMO 情緒常常導(dǎo)致人們?cè)诿媾R虧損時(shí)做出非理性選擇。攻擊者正是通過(guò)熟練運(yùn)用這些心理弱點(diǎn)，巧妙地將其「武器化」。

相比嘗試破解復(fù)雜加密算法，發(fā)動(dòng)社會(huì)工程學(xué)攻擊的成本更低，成功率更高。一封精心偽造的釣魚郵件、一份看似正規(guī)卻暗藏陷阱的求職邀請(qǐng)，往往比直面技術(shù)難題更有效。

常見(jiàn)社會(huì)工程學(xué)手法

社會(huì)工程學(xué)攻擊手法雖然種類繁多，但核心邏輯依舊圍繞「騙取目標(biāo)的信任和信息」這一點(diǎn)展開。以下是幾種常見(jiàn)手段簡(jiǎn)要說(shuō)明：

釣魚（Phishing）

電子郵件 / 短信釣魚：利用偽裝成交易所、錢包服務(wù)商或其他可信機(jī)構(gòu)的鏈接，誘導(dǎo)用戶輸入種子短語(yǔ)、私鑰、賬號(hào)密碼等敏感信息。

仿冒社交平臺(tái)賬號(hào)：如在推特、Telegram、Discord 等平臺(tái)假冒「官方客服」、「知名 KOL」或「項(xiàng)目方」，發(fā)布帶有假鏈接或假活動(dòng)信息的帖子，誘騙用戶點(diǎn)擊并輸入密鑰或發(fā)送加密貨幣。

瀏覽器擴(kuò)展或假網(wǎng)站：構(gòu)建與真實(shí)交易所或錢包網(wǎng)站極其相似的山寨網(wǎng)站，或誘導(dǎo)安裝惡意瀏覽器擴(kuò)展，一旦用戶在這些頁(yè)面上輸入或授權(quán)，就會(huì)泄露密鑰。

假客服 / 冒充技術(shù)支持

常見(jiàn)于 Telegram 或 Discord 群里，有人冒充「管理員」或「技術(shù)客服」，以幫助解決充值不到賬、提幣失敗、錢包同步出錯(cuò)等問(wèn)題為由，引導(dǎo)用戶交出私鑰或?qū)呸D(zhuǎn)入指定地址。

也可能通過(guò)私信或小群組拉攏受害者，謊稱能「幫忙找回丟失的幣」，實(shí)際上是誘騙更多資金或獲取密鑰。

SIM 卡交換（SIM Swap）

攻擊者通過(guò)收買或欺騙電信運(yùn)營(yíng)商客服，使受害者手機(jī)號(hào)在后臺(tái)被轉(zhuǎn)移到攻擊者手上。一旦手機(jī)號(hào)被盜用，攻擊者可通過(guò)短信驗(yàn)證、雙重驗(yàn)證（2FA）等方式重置交易所、錢包或社交賬戶密碼，從而盜取加密資產(chǎn)。

SIM Swap 在美國(guó)等地發(fā)生較多，也有此類案件在多國(guó)出現(xiàn)。

社交工程結(jié)合惡意招聘 / 獵頭

攻擊者假借招聘名義，向目標(biāo)的郵箱或社交媒體賬戶發(fā)送帶有惡意文件或鏈接的「工作邀請(qǐng)」，誘騙目標(biāo)下載并執(zhí)行木馬。

如果攻擊對(duì)象是加密公司內(nèi)部員工或核心開發(fā)者，或個(gè)人持有大量幣的「重度用戶」，則可能導(dǎo)致公司基礎(chǔ)設(shè)施被入侵、密鑰被竊等嚴(yán)重后果。

2022 年 Axie Infinity 的 Ronin 橋安全事故，據(jù) The Block 報(bào)道該攻擊事件與一個(gè)虛假的招聘廣告相關(guān)。知情人士透露，黑客通過(guò)領(lǐng)英聯(lián)系了 Axie Infinity 開發(fā)商 Sky Mavis 的一名員工，經(jīng)過(guò)幾輪面試告知其以高薪被錄用。隨后該員工下載了以 PDF 文檔呈現(xiàn)的偽造的錄取信，導(dǎo)致黑客軟件滲透到 Ronin 的系統(tǒng)，從而黑客攻擊并接管 Ronin 網(wǎng)絡(luò)上九個(gè)驗(yàn)證器中的四個(gè)，只差一個(gè)驗(yàn)證器無(wú)法完全控制，隨后又控制了未撤銷權(quán)限的 Axie DAO 來(lái)實(shí)現(xiàn)最終的入侵。

假空投 / 假贈(zèng)幣活動(dòng)

在 Twitter、Telegram 等平臺(tái)出現(xiàn)的假「官方」活動(dòng)，如「只要轉(zhuǎn) x 個(gè)幣到某地址，即可翻倍返還」等，實(shí)際上都是詐騙。

攻擊者也常以「白名單空投」「測(cè)試網(wǎng)空投」 為名，通過(guò)讓用戶點(diǎn)擊未知鏈接或連接釣魚網(wǎng)站錢包的形式，誘騙密鑰或授權(quán)從而盜幣。

2020 年，奧巴馬、拜登、巴菲特、比爾·蓋茨在內(nèi)的多位美國(guó)政商名流以及多家知名企業(yè)的社交媒體推特賬號(hào)失竊，黑客盜取密碼、接管賬戶后發(fā)布消息，以雙倍返還為誘餌，讓用戶將加密貨幣資金發(fā)送到指定賬戶地址鏈接。近幾年 YouTube 上仍有大量冒充馬斯克的「雙倍返還」騙局。

內(nèi)部人員滲透 / 離職員工作案

一些加密貨幣公司或項(xiàng)目團(tuán)隊(duì)的離職員工，或被攻擊者收買的在職員工，利用其對(duì)內(nèi)部系統(tǒng)與操作流程的熟悉，竊取用戶數(shù)據(jù)庫(kù)、私鑰或執(zhí)行未授權(quán)交易。

這類場(chǎng)景中，技術(shù)漏洞與社會(huì)工程結(jié)合更為緊密，常造成較大規(guī)模損失。

被植入「后門」或已經(jīng)被篡改的假硬件錢包

攻擊者會(huì)在 eBay、閑魚、Telegram 群組或其他電商 / 二手交易平臺(tái)上，以低于市場(chǎng)價(jià)或保真保證等噱頭出售硬件錢包，實(shí)際上設(shè)備內(nèi)部已被替換了芯片或固件。也有用戶可能無(wú)意中購(gòu)買翻新機(jī)或二手機(jī)時(shí)，被賣家預(yù)先導(dǎo)入了私鑰，一旦買家存入資金，攻擊者就可以隨時(shí)用相同私鑰取走。

此外，有用戶在數(shù)據(jù)泄露事件后，收到偽裝成廠商（如 Ledger）寄來(lái)的免費(fèi)更換設(shè)備或安全升級(jí)版設(shè)備，包裝內(nèi)還附帶新的助記詞卡片和操作說(shuō)明。一旦用戶使用這些預(yù)置的助記詞或?qū)⒃浽~遷移到假設(shè)備，攻擊者就能掌握該錢包的全部資產(chǎn)訪問(wèn)權(quán)限。

上述例子只是冰山一角，社會(huì)工程學(xué)的多樣性和靈活性使得它在加密貨幣領(lǐng)域的破壞力尤為顯著。對(duì)于絕大多數(shù)普通用戶來(lái)說(shuō)，這些攻擊往往防不勝防。

貪婪與恐懼

貪婪心理始終是最易被操縱的弱點(diǎn)。在市場(chǎng)極度活躍時(shí)，一些人會(huì)因?yàn)閺谋娦?yīng)，對(duì)忽然爆紅的項(xiàng)目一哄而上?？謶趾筒淮_定感也是社會(huì)工程學(xué)常用的突破口。在加密劇烈震蕩或項(xiàng)目出現(xiàn)問(wèn)題時(shí)，詐騙者會(huì)發(fā)布「緊急通知」，聲稱項(xiàng)目處于極端危險(xiǎn)狀況，誘導(dǎo)用戶趕緊將資金轉(zhuǎn)移到所謂的安全地址。許多新手由于懼怕?lián)p失，難以保持清醒思考，往往容易被裹挾進(jìn)這種恐慌情緒中。

另外，F(xiàn)OMO 心態(tài)在加密生態(tài)里更是隨處可見(jiàn)。害怕錯(cuò)過(guò)下一輪牛市或下一個(gè)比特幣，導(dǎo)致人們急于投入資金和參與項(xiàng)目，卻缺乏對(duì)風(fēng)險(xiǎn)與真?zhèn)蔚幕捐b別能力。社會(huì)工程學(xué)攻擊者只需營(yíng)造機(jī)會(huì)稍縱即逝、一旦錯(cuò)過(guò)再無(wú)翻倍可能的氛圍，就足以讓一部分投資者自投羅網(wǎng)。

風(fēng)險(xiǎn)識(shí)別與防范

社會(huì)工程學(xué)之所以難防，正是因?yàn)樗嫦虻氖侨说恼J(rèn)知盲區(qū)和心理弱點(diǎn)。作為投資者，應(yīng)該注意以下關(guān)鍵要點(diǎn)：

提高安全意識(shí)

不隨意泄露私鑰和助記詞。在任何情況下，都不要輕信他人而透露自己的私鑰、助記詞或敏感身份信息。真正的官方團(tuán)隊(duì)幾乎不會(huì)通過(guò)私聊索要這類信息。

警惕「不合理的收益承諾」。凡是聲稱「零風(fēng)險(xiǎn)高回報(bào)」「返還本金數(shù)倍」的活動(dòng)，極有可能是騙局。

驗(yàn)證鏈接與來(lái)源

使用瀏覽器插件或官方渠道核對(duì)網(wǎng)址。對(duì)加密貨幣交易所、錢包或去中心化應(yīng)用（DApp）的網(wǎng)站，需要反復(fù)確認(rèn)域名是否正確。

不要隨意點(diǎn)擊來(lái)歷不明的鏈接。如果對(duì)方聲稱是「空投福利」或「官方補(bǔ)償」，應(yīng)第一時(shí)間到正規(guī)社交媒體或官方渠道求證。

注重社區(qū)與社交媒體甄別

核查官方賬號(hào)的認(rèn)證標(biāo)志、粉絲量與交互記錄。避免盲目添加陌生私聊群、點(diǎn)擊群內(nèi)未知鏈接。

對(duì)于「免費(fèi)午餐」信息，要保持懷疑態(tài)度，多看多問(wèn)，向有經(jīng)驗(yàn)的投資者或官方渠道求證。

建立健康的投資心態(tài)

理性看待市場(chǎng)波動(dòng)，避免被短期暴漲暴跌的情緒裹挾。

任何時(shí)候都要做好最壞的打算，不要因?yàn)椤概洛e(cuò)過(guò)」而忽視潛在風(fēng)險(xiǎn)。

人類因素的永恒重要性

人性是社會(huì)工程學(xué)能夠反復(fù)得手的根基。攻擊者會(huì)針對(duì)從眾心理、貪婪、恐懼、不安全感以及 FOMO（害怕錯(cuò)過(guò)）等特質(zhì)，設(shè)計(jì)出形形色色的騙局。

區(qū)塊鏈與加密領(lǐng)域的技術(shù)迭代與業(yè)務(wù)模式不斷拓展，社會(huì)工程學(xué)手段也會(huì)隨之進(jìn)化。深度偽造技術(shù)（Deepfake）的成熟可能在不遠(yuǎn)的將來(lái)呈現(xiàn)出更大的威脅，攻擊者或許會(huì)通過(guò)合成視頻及音頻的方式，逼真地冒充項(xiàng)目負(fù)責(zé)人，與受害者實(shí)時(shí)連線。多維度社交工程亦將升級(jí)，攻擊者可能跨多個(gè)社交平臺(tái)、長(zhǎng)時(shí)間潛伏并收集信息，再通過(guò)精心設(shè)計(jì)的情感操控對(duì)目標(biāo)下手。

社會(huì)工程學(xué)的持續(xù)存在提醒我們，無(wú)論技術(shù)如何先進(jìn)，人類因素仍然是系統(tǒng)的核心組成部分。完全消除社會(huì)工程學(xué)的影響可能是不現(xiàn)實(shí)的，只有同時(shí)關(guān)注代碼和人，才可以幫助我們構(gòu)建更具韌性的系統(tǒng)。

歡迎加入深潮TechFlow官方社群

Telegram訂閱群：http://www.iy168.cn/TechFlowDaily
Twitter官方賬號(hào)：http://www.iy168.cn/TechFlowPost
Twitter英文賬號(hào)：http://www.iy168.cn/DeFlow_Intern