چگونه رمزارز خود را از مهندسی اجتماعی در سال ۲۰۲۶ محافظت کنیم

کارشناسان امنیت کریپتو می‌گویند اکثر سوءاستفاده‌های کریپتو در سال آینده به دلیل باگ روز صفر در پروتکل مورد علاقه شما نخواهد بود. این به دلیل خود شما خواهد بود.

نیک پرکوکو، مدیر ارشد امنیت صرافی کریپتو کراکن، به کوین تلگراف گفت که این به این دلیل است که سال ۲۰۲۵ نشان داده است که اکثر هک‌ها با کد مخرب شروع نمی‌شوند؛ آن‌ها با یک گفتگو شروع می‌شوند.

داده‌های Chainalysis نشان می‌دهد که از ژانویه تا اوایل دسامبر ۲۰۲۵، صنعت کریپتو شاهد بیش از ۳.۴ میلیارد دلار سرقت بوده است که نقض امنیتی فوریه Bybit نزدیک به نیمی از این مجموع را تشکیل می‌دهد.

بیش از ۳.۴ میلیارد دلار امسال توسط عوامل بد سرقت شد. منبع: Chainalysis

در طول حمله، عوامل بد از طریق مهندسی اجتماعی دسترسی پیدا کردند، یک بارگذاری JavaScript مخرب تزریق کردند که به آن‌ها اجازه داد جزئیات تراکنش را تغییر دهند و وجوه را برداشت کنند.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی یک روش حمله سایبری است که افراد را دستکاری می‌کند تا اطلاعات محرمانه را فاش کنند یا اقداماتی انجام دهند که امنیت را به خطر می‌اندازد.

پرکوکو گفت میدان نبرد برای امنیت کریپتو در ذهن خواهد بود، نه فضای سایبری.

راهنمایی ۱: تا جایی که ممکن است از اتوماسیون استفاده کنید

به گفته پرکوکو، سازش‌های زنجیره تامین نیز امسال یک چالش کلیدی بوده است، زیرا یک نقض به ظاهر جزئی می‌تواند بعداً ویرانگر باشد، زیرا "این یک برج جنگا دیجیتال است و یکپارچگی هر بلوک واحد مهم است."

پرکوکو در سال پیش رو توصیه می‌کند نقاط اعتماد انسانی را از طریق اقداماتی مانند خودکارسازی دفاع در صورت امکان و تأیید هر تعامل دیجیتال از طریق احراز هویت در "تغییر از دفاع واکنشی به پیشگیری فعال" کاهش دهید.

"به خصوص در کریپتو، ضعیف‌ترین حلقه اعتماد انسانی است که با طمع و FOMO تقویت می‌شود. این شکافی است که مهاجمان هر بار از آن سوءاستفاده می‌کنند. اما هیچ فناوری جایگزین عادات خوب نمی‌شود،" او افزود.

راهنمایی ۲: زیرساخت را جدا کنید

لیزا، رهبر عملیات امنیتی از SlowMist، گفت که عوامل بد امسال به طور فزاینده‌ای اکوسیستم‌های توسعه‌دهنده را هدف قرار دادند که همراه با نشت اعتبارنامه ابری، فرصت‌هایی برای تزریق کد مخرب، سرقت اسرار و مسموم کردن به‌روزرسانی‌های نرم‌افزار ایجاد کرد.

"توسعه‌دهندگان می‌توانند این خطرات را با تثبیت نسخه‌های وابستگی، تأیید یکپارچگی بسته، جداسازی محیط‌های ساخت و بررسی به‌روزرسانی‌ها قبل از استقرار کاهش دهند،" او گفت.

با ورود به ۲۰۲۶، لیزا پیش‌بینی می‌کند که مهم‌ترین تهدیدها احتمالاً از عملیات سرقت اعتبارنامه و مهندسی اجتماعی پیچیده‌تر ناشی می‌شود.

منبع: SlowMist

"عوامل تهدید در حال حاضر از دیپ فیک‌های تولید شده توسط هوش مصنوعی، فیشینگ متناسب و حتی تست‌های استخدام توسعه‌دهنده جعلی برای به دست آوردن کلیدهای کیف پول، اعتبارنامه ابری و توکن‌های امضا استفاده می‌کنند. این حملات به طور فزاینده‌ای خودکار و متقاعدکننده می‌شوند و ما انتظار داریم این روند ادامه یابد،" او گفت.

برای ایمن ماندن، توصیه لیزا برای سازمان‌ها اجرای کنترل دسترسی قوی، چرخش کلید، احراز هویت پشتیبانی شده با سخت‌افزار، تقسیم‌بندی زیرساخت و تشخیص و نظارت بر ناهنجاری است.

افراد باید به کیف پول‌های سخت‌افزاری متکی باشند، از تعامل با فایل‌های تأیید نشده اجتناب کنند، هویت‌ها را از طریق کانال‌های مستقل بررسی متقابل کنند و با لینک‌ها یا دانلودهای ناخواسته با احتیاط رفتار کنند.

راهنمایی ۳: اثبات شخصیت برای مبارزه با دیپ فیک‌های هوش مصنوعی

استیون والبروهل، بنیانگذار و مدیر فناوری شرکت امنیت سایبری بلاک چین Halborn، پیش‌بینی می‌کند که مهندسی اجتماعی تقویت شده با هوش مصنوعی نقش مهمی در کتاب‌های بازی هکرهای کریپتو ایفا خواهد کرد.

در مارس، حداقل سه بنیانگذار کریپتو گزارش دادند که تلاشی از هکرهای مظنون کره شمالی برای سرقت داده‌های حساس از طریق تماس‌های Zoom جعلی که از دیپ فیک استفاده می‌کردند را خنثی کرده‌اند.

والبروهل هشدار می‌دهد که هکرها از هوش مصنوعی برای ایجاد حملات بسیار شخصی و آگاه از زمینه استفاده می‌کنند که آموزش سنتی آگاهی امنیتی را دور می‌زنند.

برای مبارزه با این، او پیشنهاد می‌کند اجرای اثبات رمزنگاری شخصیت برای تمام ارتباطات حیاتی، احراز هویت مبتنی بر سخت‌افزار با اتصال بیومتریک، سیستم‌های تشخیص ناهنجاری که الگوهای تراکنش عادی را پایه‌گذاری می‌کنند، و ایجاد پروتکل‌های تأیید با استفاده از اسرار یا عبارات از پیش به اشتراک گذاشته شده.

راهنمایی ۴: کریپتوی خود را برای خودتان نگه دارید

حملات آچاری، یا حملات فیزیکی به دارندگان کریپتو، همچنین یک موضوع برجسته سال ۲۰۲۵ بود، با حداقل ۶۵ مورد ثبت شده، طبق لیست GitHub جیمسون لاپس، OG بیت کوین و سایفرپانک. آخرین اوج بازار گاوی در ۲۰۲۱ قبلاً بدترین سال ثبت شده بود، با مجموع ۳۶ حمله ثبت شده

یک کاربر X با نام مستعار Beau، یک افسر سابق CIA، در یک پست X در ۲ دسامبر گفت که حملات آچاری هنوز نسبتاً نادر هستند، اما او همچنان توصیه می‌کند که کاربران کریپتو با عدم صحبت درباره ثروت یا افشای دارایی‌های کریپتو یا سبک زندگی مسرفانه به صورت آنلاین به عنوان یک شروع احتیاط کنند.

منبع: Beau

او همچنین پیشنهاد می‌کند با استفاده از ابزارهای پاکسازی داده برای پنهان کردن اطلاعات شخصی خصوصی، مانند آدرس خانه، و سرمایه‌گذاری در دفاع خانه مانند دوربین‌های امنیتی و هشدارها، به یک "هدف سخت" تبدیل شوید.

راهنمایی ۵: در مورد نکات امنیتی آزمایش شده و واقعی صرفه‌جویی نکنید

دیوید شود، یک متخصص امنیت که در Robinhood به عنوان مدیر ارشد امنیت اطلاعات کار کرده است، گفت که بهترین راهنمایی او پایبندی به مشاغل معتبر است که رویه‌های امنیتی هوشیارانه را نشان می‌دهند، از جمله ممیزی‌های امنیتی دقیق و منظم شخص ثالث از کل پشته خود، از قراردادهای هوشمند تا زیرساخت.

با این حال، صرف نظر از فناوری، شود گفت که کاربران باید از استفاده از یک رمز عبور برای چندین حساب اجتناب کنند، استفاده از یک توکن سخت‌افزاری به عنوان یک روش احراز هویت چند عاملی را انتخاب کنند و عبارت بازیابی را با رمزگذاری ایمن یا ذخیره آفلاین آن در یک مکان فیزیکی ایمن محافظت کنند.

او همچنین توصیه می‌کند از یک کیف پول سخت‌افزاری اختصاصی برای دارایی‌های قابل توجه استفاده کنید و دارایی‌ها در صرافی‌ها را به حداقل برسانید.

مرتبط: فیشینگ نیزه‌ای تاکتیک برتر هکرهای کره شمالی است: چگونه ایمن بمانیم

"امنیت به لایه تعامل بستگی دارد. کاربران باید هنگام اتصال یک کیف پول سخت‌افزاری به یک برنامه وب جدید بسیار هوشیار بمانند و باید داده‌های تراکنش نمایش داده شده در صفحه دستگاه سخت‌افزاری را قبل از امضا به طور کامل اعتبارسنجی کنند. این از 'امضای کور' قراردادهای مخرب جلوگیری می‌کند،" شود افزود.

لیزا گفت که بهترین راهنمایی‌های او استفاده فقط از نرم‌افزار رسمی، اجتناب از تعامل با URLهای تأیید نشده، و جداسازی وجوه در پیکربندی‌های داغ، گرم و سرد است.

برای مقابله با پیچیدگی فزاینده کلاهبرداری‌ها مانند مهندسی اجتماعی و فیشینگ، پرکوکو کراکن "شکاکیت رادیکال" را در تمام مواقع توصیه می‌کند، با تأیید اصالت و فرض اینکه هر پیام یک آزمون آگاهی است.

"و یک حقیقت جهانی باقی می‌ماند: هیچ شرکت، خدمات یا فرصت قانونی هرگز عبارت بازیابی یا اعتبارنامه ورود شما را نخواهد خواست. لحظه‌ای که آن‌ها این کار را کنند، شما با یک کلاهبردار صحبت می‌کنید،" پرکوکو افزود.

در همین حال، والبروهل توصیه می‌کند کلیدها را با استفاده از مولدهای اعداد تصادفی ایمن از نظر رمزنگاری تولید کنید، جداسازی دقیق بین محیط‌های توسعه و تولید، ممیزی‌های امنیتی منظم و برنامه‌ریزی پاسخ به حادثه با تمرین‌های منظم.

مجله: هنگامی که قوانین حریم خصوصی و AML در تضاد هستند: انتخاب غیرممکن پروژه‌های کریپتو

منبع: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound