افشای داده در یک سرویس ثالث چگونه به فیشینگ علیه کاربران کیف پول لجر منجر شد؟

در اوایل ژانویه ۲۰۲۶، شماری از کاربران لجر مطلع شدند که بخشی از اطلاعات شخصی و داده‌های مربوط به سفارش‌های آن‌ها در وب‌سایت لجر (Ledger)، در جریان یک رخداد امنیتی در شرکت گلوبال-ای (Global-e) در معرض دسترسی غیرمجاز قرار گرفته است. گلوبال-ای یک شریک تجارت الکترونیک است که در برخی سفارش‌ها به‌عنوان ثبت‌کننده رسمی تراکنش عمل می‌کند.

به گزارش میهن بلاکچین، این ماجرا نشان می‌دهد که حتی زمانی که کیف پول‌ها و کلیدهای خصوصی امن باقی می‌مانند، رخنه در زنجیره تأمین یا شرکای تجاری می‌تواند کاربران را در معرض خطر قرار دهد. داده‌هایی که به‌ظاهر کم‌اهمیت هستند، در دست مهاجمان به ابزاری قدرتمند برای جعل هویت و فریب تبدیل می‌شوند. اما دقیقاً چه رخ داد و باید انتظار چه چیزی را داشته باشیم؟

رخداد گلوبال-ای چه بود؟

شرکت لجر به‌صراحت اعلام کرد که هیچ‌یک از سیستم‌های سخت‌افزاری یا نرم‌افزاری این شرکت هک نشده‌اند و زیرساخت خودامانی کاربران آسیبی ندیده است.

با این حال، همین افشای داده‌های مرتبط با خرید، برای آغاز پرده دوم آشنا کافی بود: موجی از تلاش‌های فیشینگ هدفمند که به‌دلیل ارجاع به جزئیات واقعی سفارش‌ها، کاملاً معتبر به‌نظر می‌رسیدند.

هشدار لجر در ژانویه ۲۰۲۶ به یک حادثه امنیتی در گلوبال-ای مربوط می‌شد؛ بسیاری از برندها برای پردازش پرداخت، ثبت سفارش و ارسال کالا از خدمات این شرکت استفاده می‌کنند. در عمل، گلوبال-ای بخشی از زنجیره پرداخت و لجستیک است و برای انجام وظایف خود، اطلاعات مشتری و جزئیات سفارش را نگه‌داری می‌کند.

بر اساس اطلاعیه لجر و گزارش‌های منتشرشده، دسترسی غیرمجاز به بخشی از سیستم‌های اطلاعاتی گلوبال-ای رخ داده و داده‌های مربوط به مشتریانی که از مسیر پرداخت این شرکت خرید کرده بودند، افشا شده است. این داده‌ها شامل اطلاعات مرتبط با سفارش بود؛ یعنی همان نوع اطلاعاتی که می‌تواند مشخصات تماس، آدرس ارسال و جزئیاتی مانند نوع محصول خریداری‌شده را در بر بگیرد.

لجر تأکید کرد که این حادثه هیچ ارتباطی با دستگاه‌ها یا زیرساخت خودامانی آن نداشته و در نتیجه، کلیدهای خصوصی، عبارت بازیابی یا موجودی حساب کاربران افشا نشده است. با این حال، همین اطلاعات سفارش برای مهاجمان کافی بود تا پیام‌هایی طراحی کنند که حس «واقعاً مخصوص شما بودن» را القا کند.

کدام داده‌ها بیشترین ارزش را برای فیشینگ دارند؟

وقتی صحبت از نشت داده می‌شود، اغلب ذهن‌ها به سمت رمز عبور یا اطلاعات کارت بانکی می‌رود. اما در این رخداد، خطر اصلی از جنس «زمینه» بود؛ یعنی داشتن جزئیات واقعی که پیام جعلی را باورپذیر می‌کند.

اطلاعیه لجر درباره حادثه گلوبال-ای نشان می‌دهد داده‌های افشاشده محدود به اطلاعات پایه تماس و جزئیات سفارش بوده‌اند، از جمله نوع محصول و قیمت. همین داده‌ها دو مانع اصلی مهندسی اجتماعی را برای مهاجمان از میان برمی‌دارند.

نخست، اعتبار. پیامی که نام شما را دارد و به یک سفارش واقعی اشاره می‌کند، می‌تواند به‌راحتی به‌عنوان پیام رسمی پشتیبانی یا پیگیری خرید تلقی شود، حتی اگر از سوی یک مجرم ارسال شده باشد. دوم، ارتباط موضوعی. از مشکل در ارسال کالا گرفته تا «نیاز به تأیید حساب» یا «اقدام فوری امنیتی»، داشتن متادیتای سفارش به مهاجم بهانه‌ای منطقی برای تماس می‌دهد.

راهنماهای ضدکلاهبرداری لجر بارها تأکید کرده‌اند که هدف نهایی این روایت‌ها معمولاً سوق‌دادن قربانی به انجام اقداماتی پرریسک (مانند افشای عبارت بازیابی یا ورود به یک مسیر پشتیبانی جعلی) است.

الگوی فیشینگ در کلاهبرداری‌های مرتبط با لجر

طبق هشدارهای امنیتی لجر، الگوی این کلاهبرداری‌ها تقریباً ثابت است. پیام‌هایی که خود را به‌جای لجر، شرکت ارسال‌کننده یا شریک پرداخت جا می‌زنند، ابتدا حس فوریت ایجاد می‌کنند و از یک مشکل امنیتی، مسدود شدن سفارش یا نیاز به به‌روزرسانی می‌گویند. سپس قربانی به صفحه‌ای هدایت می‌شود که هدف آن استخراج عبارت بازیابی ۲۴ کلمه‌ای است.

لجر بارها تأکید کرده که این عبارت هرگز نباید در اختیار کسی قرار گیرد و نباید در هیچ وب‌سایت، فرم یا اپلیکیشنی وارد شود. تنها محل استفاده از آن، خود دستگاه است.

این کمپین‌ها معمولاً به یک کانال محدود نمی‌مانند و از ایمیل، پیامک، تماس تلفنی و حتی نامه فیزیکی استفاده می‌کنند. وقتی مهاجم بتواند به جزئیات واقعی خرید اشاره کند، تشخیص جعلی‌بودن پیام برای کاربر دشوارتر می‌شود.

چگونه ریسک را کاهش دهیم؟

در اغلب موارد، فیشینگ پس از نشت داده از شما می‌خواهد داوطلبانه اطلاعاتی حساس را افشا کنید یا عملی را انجام دهید که خودتان آغازگر آن نبوده‌اید. به همین دلیل، توصیه‌های لجر در همه هشدارهای امنیتی یکسان است: عبارت بازیابی ۲۴ کلمه‌ای هرگز نباید به اشتراک گذاشته شود و هرگز نباید در جایی غیر از خود دستگاه وارد شود.

یک راه ساده برای کاهش ریسک این است که هر پیام «امنیتی فوری» را به‌طور پیش‌فرض غیرقابل‌اعتماد بدانید، به‌ویژه اگر از شما می‌خواهد روی لینکی کلیک کنید یا چیزی را تأیید یا بازیابی کنید. اگر پیام به جزئیات واقعی سفارش اشاره دارد، باید به‌خاطر داشت که دقیقاً همین نوع داده‌ها ممکن است از یک سرویس ثالث افشا شده باشند و این موضوع، نشانه اعتبار پیام نیست.

در صورت تردید، بهتر است مکالمه را ادامه ندهید و از منابع رسمی لجر برای بررسی الگوهای کلاهبرداری و کانال‌های ارتباطی معتبر استفاده کنید.

درس اصلی رخداد گلوبال-ای

حادثه گلوبال-ای یادآور این واقعیت است که خودامانی می‌تواند از نظر فنی سالم باقی بماند، اما کاربر همچنان از مسیر لایه‌های تجاری در معرض خطر قرار گیرد.

شرکای پرداخت، فرایند ارسال یا سیستم‌های پشتیبانی، به‌طور طبیعی اطلاعاتی مانند نام، آدرس و جزئیات سفارش را در اختیار دارند و افشای همین داده‌ها می‌تواند فوراً به ابزار جعل هویت تبدیل شود.

در نهایت، پایدارترین راه محافظت، پایبندی به چند اصل تغییرناپذیر است: هر پیام ورودی پشتیبانی را مشکوک فرض کنید، کانال‌ها را از منابع رسمی تأیید کنید و هرگز عبارت بازیابی ۲۴ کلمه‌ای خود را جایی جز روی دستگاه وارد نکنید.

منبع: Cointelegraph