ソーシャルエンジニアリング攻撃

チェーン上のアナリスト余烬（@EmberCN）の監視によると、あるKrakenユーザーが社会工学的攻撃に遭い、8,662枚のETHが盗まれ、約1,819万ドルの価値があるとされています。攻撃者はその後、878枚のETHをクロスチェーンツールTHORChainを通じて26.5枚のBTCに交換し、6時間後にすべての盗まれた資産（7,784枚のETH + 26.5枚のBTC）をHitBTC取引所に移しました。

GoPlus Security の報告によると、Infiniti Stealer という名前の情報窃取マルウェアが "ClickFix" ソーシャルエンジニアリング攻撃手法を通じて、Mac ユーザーの暗号ウォレットや敏感な資格情報を狙っている。攻撃者は高度に模倣された Cloudflare の CAPTCHA ページを偽造し、ユーザーを誘導してターミナルを開かせ、手動で悪意のあるコマンドを貼り付けて実行させる。コマンドが実行されると、スクリプトは macOS の隔離属性を削除し、その後のペイロードを /tmp ディレクトリに静かに書き込んで実行する。最終的なペイロードは Nuitka でコンパイルされたネイティブ macOS バイナリファイルであり、セキュリティツールによる検出の難易度を大幅に引き上げる。Infiniti Stealer が展開されると、Chromium / Firefox ブラウザの資格情報、macOS キーチェーン、暗号ウォレット、開発者キー ファイル（.env ファイルなど）を盗むことができ、サンドボックス検出や遅延実行機能を備えて追跡を回避する。

Cointelegraphの報道によると、Coinbase Commerceのサブドメインページにユーザーにウォレットのリカバリーフレーズを入力させる操作手順が表示され、セキュリティ研究者の関心を引いています。SlowMistの余弦は、Coinbaseがなぜこのようなページを設定したのか理解できず、ユーザーに明文形式でリカバリーフレーズを入力させて資産を復元させることは深刻なセキュリティリスクがあると考えています。オンチェーンアナリストのZachXBTは、このページがCoinbaseのCommerce製品に関するヘルプドキュメントで引用されていたことを指摘しています。このドキュメントでは、ユーザーにリカバリーフレーズをCoinbase WalletやMetaMaskなどの互換性のあるウォレットにインポートして資金を復元するように推奨しており、そのサブドメインの出金ツールへのリンクも添付されていました。現在、そのヘルプドキュメントは削除されたことが表示されています。ZachXBTはまた、このページが悪意のある行為者によって利用されると、Coinbaseのユーザーに対してリカバリーフレーズを狙ったソーシャルエンジニアリング攻撃が行われる可能性があると指摘しています。

据 FinanceFeeds 报道，Uniswap 创始人 Hayden Adams 警告称，冒充 Uniswap 的搜索引擎广告持续出现，已有用户因此损失全部高价值加密资产。诈骗者通过购买 "Uniswap" 等关键词广告，将伪造网站置顶展示，页面设计与官方高度相似，一旦用户连接钱包并授权交易，资金即可被立即转走。该类攻击依赖用户签名授权，而非协议层漏洞。一名 X 平台用户 "Ika" 表示，在点击搜索结果中的假冒链接后，损失了价值数十万美元的加密钱包资产。其披露截图显示，伪造链接位于搜索结果顶部，具有较强迷惑性。类似事件在 2024 年 10 月亦曾发生，诈骗者曾复制 Uniswap 网站界面并通过细微按钮改动诱导用户连接钱包。安全公司 CertiK 数据显示，2026 年 1 月加密行业因漏洞利用与诈骗共损失约 3.703 亿美元，为近 11 个月新高，约为 2025 年 1 月的近四倍。其中单一社会工程学攻击案件损失约 2.84 亿美元。1 月共记录 40 起相关安全事件。分析指出，当前加密资产损失更多源于钓鱼链接、虚假广告及社会工程攻击等用户层面风险，而非底层智能合约漏洞。随着 DeFi 生态扩张，品牌仿冒与界面欺诈正在成为影响用户信任的重要隐患。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

慢雾の創設者である余弦は「何一のWeChatが盗まれた」事件について分析し、今回のアカウント盗難は、ハッカーがユーザーの長期間使用されていない電話番号の使用権を奪取することによって、WeChatにバインドされたアイデンティティ基盤を引き継いだものであると述べています。もう一つの一般的なリスクは、認証コードのソーシャルエンジニアリング攻撃です：ハッカーはユーザーが漏洩したアカウントのパスワードを取得した後、ユーザーになりすまして、彼の2人の連絡先のWeChat友達に6桁の認証コードを要求し、アカウントを盗むことができます。余弦は、攻撃の前提条件には、既に漏洩したデータの中で一致するアカウントのパスワードが含まれ、さらに被害者のよく連絡を取る友人の情報（グループチャットでのみやり取りがあるユーザーを含む）を事前に収集することが必要であると指摘しています。攻撃者は通常、深夜に実行することを選び、特に暗号通貨関連のユーザーを対象としたOTC詐欺に見られます。彼はユーザーに対して、知らないWeChatの友達を慎重に追加し、パスワードを適時変更し、WeChatのさまざまなリスク警告に注意を払うように警告しています。

ChainCatcher のメッセージ、GK8 の最新のセキュリティレポートによると、サイバー犯罪者が地下フォーラムで専門の音声模倣者を募集し、アメリカの暗号通貨の幹部をターゲットにした複雑な「vishing」（音声フィッシング）攻撃を仕掛けています。これらの精密にカスタマイズされた攻撃は、ホスティングインフラストラクチャと秘密鍵へのアクセス権を持つ高価値のターゲットを狙っており、オペレーターの月収は最大 2 万ドルに達する可能性があります。攻撃者は、慎重に収集された幹部の個人情報、ディープフェイク技術、音声変換器を利用して、銀行、暗号サービス、政府機関を模倣したソーシャルエンジニアリング攻撃を行います。GK8 のセキュリティ研究責任者であるターニャ・ベッカーは、今後 12-18 ヶ月以内に本物と偽物を区別することがますます困難になると警告し、暗号組織に対して音声およびビデオのソーシャルエンジニアリング戦略に対処するための特定のプロトコルとトレーニングを実施することを推奨しています。

ChainCatcher のメッセージによると、オンチェーン探偵の ZachXBT が自身のチャンネルで明らかにしたところによれば、2025 年 8 月 19 日、ある被害者がソーシャルエンジニアリング攻撃に遭い、取引プラットフォームでハードウェアウォレットのカスタマーサポートを偽装された結果、783 枚のビットコイン（約 9140 万ドル）を失ったとのことです。盗まれた資金は徐々に分散移転され、攻撃者は Wasabi に対して複数回の入金操作を行いました。偶然にも、この盗難事件は Genesis の債権者 2.43 億ドルの盗難事件の1周年に発生しました。盗まれた取引ハッシュ：da598f2a941ee3c249a3c11e5e171e186a08900012f6aad26e6d11b8e8816457盗まれたアドレス：bc1qyxyk4qgyrkx4rjwsuevug04wahdk6uf95mqlej

ChainCatcher のメッセージによると、ブルームバーグの報道で、バイナンスとクラーケンはコインベースと同様のソーシャルエンジニアリング攻撃に遭遇しましたが、両取引所は成功裏に防御し、顧客データの漏洩は発生しませんでした。情報筋によると、ハッカーはバイナンスのカスタマーサポート担当者に賄賂を持ちかけ、指定された Telegram アカウントに連絡するように誘導しましたが、バイナンスは AI システムを通じて潜在的な賄賂の会話を検出し、阻止しました。

ChainCatcher のメッセージ、SlowMist セキュリティチームが警告を発表しました。悪意のあるソフトウェアを利用したソーシャルエンジニアリング攻撃が再び増加しています。ハッカーは、偽のビデオ通話リンクを送信して、被害者に悪意のあるスクリプトをダウンロードさせようとしています。最近のケースでは、攻撃者が被害者の友人の Telegram アカウントに侵入し、そのアカウントを利用して通話の招待を行いました。SlowMist チームは、ユーザーに対して攻撃を受けた場合、直ちに以下の対策を講じるよう呼びかけています：資産の安全を確保する------もしウォレットの秘密鍵やリカバリーフレーズのバックアップがコンピュータに保存されている場合、すぐに資金を移動してください；パスワードと二要素認証を変更する------Telegram、X、メール、取引所アカウントのパスワードを更新し、未知のログインがないか確認してください；完全なウイルススキャンを実行する------AVG、Bitdefender、Kaspersky などの有名なセキュリティソフトウェアを使用してください；まだ不安がある場合は、重要なファイルをバックアップし、システムをリセットし、復元前にすべてをスキャンしてください。

ChainCatcher のメッセージ、SlowMist の創設者である余弦がソーシャルメディアに投稿し、「コンピュータに対するソーシャルエンジニアリングによるマルウェア攻撃が最近数日間に集中して発生しており、昨日は 3 件の対応を行いました。Mac コンピュータを使用しているからといって安全だと思っている人々に再度警告しますが、実際の状況は非常に悪化しています。公式以外のソースからのアプリを安易にインストールしないようにしてください。公式のソースからでも問題が発生する可能性があります」と述べています。

ChainCatcher のメッセージによると、ZachXBT はソーシャルプラットフォームで投稿し、彼のファンが a16z チームのメンバーを装った社会工学的攻撃に遭い、誤って悪意のあるソフトウェアをコンピュータにダウンロードした後、24.5 万ドルを失ったと述べています。報告によれば、詐欺師は a16z チームの Peter Lauten のアカウントを名乗り、あるプロジェクトチームにメッセージを送り、潜在的なポッドキャストのコラボレーション関係を尋ねました。本物の Peter Lauten は、彼の X（Twitter）ハンドルを「peter_lauten」から「lauten」に変更しましたが、a16z の公式ウェブサイトはまだ彼の古いハンドルを掲載しており、a16z の X アカウントのいくつかの投稿でも彼の古いユーザー名が @ されています。被害者はこれに全く気づかず、その後、偽の社会工学的攻撃者によって、彼らのデバイスに「Vortax」という名前の偽の会議アプリケーションがインストールされましたが、そのアプリケーションは実際にはマルウェアでした。

ChainCatcher のメッセージによると、Concentric.fi の公式がソーシャルプラットフォームで発表したところによれば、同社の契約デプロイ者ウォレットを持つチームメンバーが標的型のソーシャルエンジニアリング攻撃を受け、攻撃者が脆弱性を利用して金庫をアップグレードし、新しい LP トークンを鋳造し、その後プラットフォームの資産を使い果たしたとのことです。プラットフォームは調査を開始し、二次被害を防ぎ、脆弱性の利用者を特定するために複数のセキュリティ研究者に連絡を取っています。さらに、プロジェクトチームはできるだけ早く詳細な事後分析報告書を発表し、ユーザーが今回の事件およびその脆弱性解決の計画を深く理解できるように支援します。現在、プラットフォームは損失を軽減し、コミュニティの利益を守るためにあらゆる可能性を探っています。