تصور کنید نام صرافی غیرمتمرکز مورد علاقهتان را در گوگل جستجو میکنید، روی اولین نتیجه که برچسب «حمایتشده» (Sponsored) دارد کلیک میکنید و تراکنش خود را انجام میدهید؛ اما دقایقی بعد با وحشت متوجه میشوید تمام موجودی کیف پولتان خالی شده است! این یک کابوس خیالی نیست، بلکه روشی جدید است که هکرها بدون نیاز به هیچ کدنویسی پیچیدهای، از اعتماد بیچونوچرای ما به نتایج موتورهای جستجو سوءاستفاده میکنند.
در این مقاله به این میپردازیم که چگونه یک جستجوی ساده میتواند به هک شدن کیف پول شما منجر شود و کلاهبرداران چگونه از اعتماد ما به گوگل سوءاستفاده میکنند.
نتایج جستجو در حال تبدیل شدن به بخشی از مسیر حملات سایبری در حوزه رمزارزها هستند
نتایج موتورهای جستجو به شکلی خاموش به یکی از دستکمگرفتهشدهترین نقاط ضعف در امنیت ارزهای دیجیتال تبدیل شدهاند.
درک معمول از امنیت رمزارزها معمولاً بر محافظت از کلمات بازیابی (seed phrases)، استفاده از کیف پولهای سختافزاری، فعالسازی احراز هویت چندمرحلهای و احتیاط در برابر لینکهای مشکوک ارسالشده از طریق ایمیل یا پیامهای مستقیم تمرکز دارد. آنچه اغلب نادیده گرفته میشود، نقش موتورهای جستجو به عنوان نقطه ورود حملات است.
سالهاست که پلتفرمهایی مانند گوگل به عنوان دروازههای خنثی به اینترنت دیده میشوند. کاربران عادت کردهاند بانک، صرافی، رستوران مورد علاقه یا پروتکل امور مالی غیرمتمرکز (DeFi) خود را جستجو کنند و فرض را بر این بگذارند که نتایج قابل اعتماد هستند. اکنون کلاهبرداران در فضای رمزارزها در حال سوءاستفاده از این رفتارند.
حوادث اخیر مربوط به تبلیغات جعلی که خود را به جای پلتفرمهای بزرگ رمزارزی جا میزنند، نشان میدهد که موتورهای جستجو دیگر تنها ابزارهای اطلاعاتی خنثی نیستند. کلاهبرداران آنها را به بخشی از سطح حمله (Attack Surface) علیه کاربران رمزارز تبدیل کردهاند.
هک شدن یک کیف پول همیشه زمانی آغاز نمیشود که کاربر به یک سایت مخرب متصل میگردد. این اتفاق ممکن است چند دقیقه قبلتر، با یک جستجوی معمولی و یک کلیک اشتباه شروع شود.
چگونه موتورهای جستجو به یک خطر امنیتی برای رمزارزها تبدیل شدند
حملات سایبری سنتی معمولاً بر نقاط ضعف فنی مانند نقصهای نرمافزاری، اکسپلویتهای سرور و بدافزارها تمرکز داشتند. اما تقلبهای مدرن در حوزه رمزارزها متفاوت عمل میکنند.
مهاجمان به جای هدف قرار دادن سیستمها، رفتار کاربران را هدف میگیرند.
دههها استفاده از اینترنت، کاربران را آموزش داده است تا به نتایج جستجو، بهویژه آنهایی که در بالای صفحه ظاهر میشوند، اعتماد کنند. برچسب حمایتشده (Sponsored) یا همان تبلیغات، همیشه باعث احتیاط بیشتر کاربران نمیشود. حتی برخی ممکن است آن را نشانهای از اعتبار و مشروعیت سایت بدانند و به اشتباه فرض کنند که شرکت پشتیبانِ آن تبلیغ از قبل تأیید شده است.
هیچیک از این فرضیات همیشه امن نیستند.
دامنههای کیف پول با املای غلط
موتورهای جستجو برای سازماندهی اطلاعات و فروش تبلیغات طراحی شدهاند. مجرمان ماهر هر دو سیستم را به خوبی درک میکنند. آنها میتوانند جایگاههای تبلیغاتی بخرند، میزان دیده شدن را دستکاری کنند، هویت برندهای معتبر را کپی کرده و دقیقاً زمانی که کاربران بیشترین احتمال اقدام را دارند، به آنها دسترسی پیدا کنند.
در دنیای رمزارزها، این موضوع میتواند بسیار خطرناک باشد. یک تراکنش واحد میتواند مبالغ هنگفتی را در لحظه جابهجا کند و معمولاً غیرقابل بازگشت است. این یعنی یک کلیک اشتباه میتواند پیامدهای مالی جدی به همراه داشته باشد.
آیا میدانستید؟ گوگل در ابتدا گوگل نام نداشت. بنیانگذاران آن را به عنوان یک پروژه تحقیقاتی به نام “BackRub” توسعه دادند که نام آن برگرفته از توانایی در تحلیل بکلینکها بود. امروزه، همین سیستم جستجو بر تریلیونها دلار فعالیت آنلاین، از جمله تراکنشهای رمزارزی، تأثیر میگذارد.
کمپین جعل هویت یونیسواپ (Uniswap)
یک حادثه اخیر نشان میدهد که این روش تا چه حد میتواند مؤثر باشد. بر اساس گزارشها، مهاجمان حداقل ۴۰۰,۰۰۰ دلار از یک معاملهگر را از طریق تبلیغات جعلی گوگل که خود را به جای صرافی غیرمتمرکز یونیسواپ جا زده بودند، به سرقت بردند.
روش کار ساده بود. کاربری که عبارت “Uniswap” را جستجو میکرد، یک تبلیغ حمایتشده (Sponsored) که کاملاً رسمی به نظر میرسید را در بالای نتایج مشاهده میکرد. نام و نشان تجاری آشنا بود و پیام معتبر به نظر میرسید. این موضوع دلیل چندانی برای شک کردن به کاربر نمیداد.
کلیک روی تبلیغ، کاربران را به یک رابط کاربری شبیهسازیشده میبرد که پلتفرم واقعی یونیسواپ را به دقت کپی کرده بود. از آنجا، تجربه کاربری کاملاً واقعی به نظر میرسید. کاربران کیف پول خود را متصل میکردند، آنچه به نظر تراکنشهای عادی میرسید را آغاز کرده و مجوزهای لازم را صادر میکردند.
عواقب این کار تازه بعداً مشخص شد. کاربران ناآگاهانه مجوزهایی را تأیید کرده بودند که به مهاجمان اجازه میداد وجوه را مستقیماً از کیف پول آنها برداشت کنند.
آنچه این حمله را متمایز میکند، عدم وجود نفوذ فنی است. مهاجمان نیازی به کلمات بازیابی، بدافزار یا شکستن رمزنگاری نداشتند. خود قربانیان تراکنشهایی را امضا کردند که امکان سرقت را فراهم میکرد.
چرا حتی کاربران باتجربه نیز قربانی میشوند
به راحتی میتوان فرض کرد که فقط افراد تازهوارد در دنیای ارزهای دیجیتال فریب چنین نقشههایی را میخورند. اما در واقعیت، حتی کاربران باتجربه نیز در شرایط خاص ممکن است فریب بخورند.
یکی از دلایل این موضوع، سوگیری اقتدار (Authority bias) است. افراد به طور طبیعی به مؤسسات و سیستمهای تثبیتشده اعتماد میکنند. گوگل به طور خاص به عنوان یک راه قابل اعتماد برای یافتن اطلاعات دیده میشود. کاربران اغلب فرض میکنند که نتایج برتر جستجو قبل از نمایش به دقت بررسی میشوند.
عادتها این مشکل را بدتر میکنند.
دهههاست که نوار جستجو روش پیشفرض برای حرکت در اینترنت بوده است. بسیاری از کاربران دیگر آدرس سایتها (URL) را حفظ نمیکنند. آنها صرفاً پلتفرمی را که میخواهند بازدید کنند، جستجو میکنند.
راحتی نیز باعث افزایش سرعت و کاهش دقت میشود.
کاربران دائمی دیفای (DeFi) اغلب به سرعت بین صرافیها، خدمات استیکینگ، پورتالهای حاکمیتی و رابطهای پل (Bridge) جابهجا میشوند. هرچه یک اقدام فوریتر به نظر برسد، احتمال اینکه کاربران تمام جزئیات پیش روی خود را بررسی کنند کاهش مییابد.
مهاجمان این را میدانند. آنها زمان و پول خود را صرف ایجاد کپیهای متقاعدکننده از پلتفرمهای مورد اعتماد میکنند. یک رابط کاربری جعلی که دقیقاً مشابه یک پلتفرم آشنا باشد، میتواند گارد دفاعی حتی یک کاربر باتجربه را پایین بیاورد، بهخصوص زمانی که کاربر حواسپرت یا عجول است.
همچنین سوگیری خوشبینی (Optimism bias) وجود دارد. افراد ممکن است بدانند که یک تهدید وجود دارد اما همچنان باور داشته باشند که بعید است خودشان قربانی شوند. سابقه تاریخی فضای رمزارزها دلیل چندانی برای چنین اعتماد به نفسی باقی نمیگذارد.
محدودیتهای کیف پولهای سختافزاری
کیف پولهای سختافزاری اغلب به عنوان استاندارد طلایی در امنیت ارزهای دیجیتال توصیف میشوند. از بسیاری جهات، این توصیف منصفانه است. با آفلاین نگه داشتن کلیدهای خصوصی، آنها محافظت قدرتمندی در برابر بسیاری از انواع بدافزارها و تلاشهای دسترسی غیرمجاز ارائه میدهند.
با این حال، آنها یک محدودیت بزرگ دارند.
یک کیف پول سختافزاری نمیتواند با قطعیت تشخیص دهد که آیا یک تراکنش به نفع کاربر است یا خیر. اگر کاربری یک درخواست مخرب را از طریق یک رابط فیشینگ تأیید کند، دستگاه معمولاً دستور را دقیقاً همانطور که ثبت شده اجرا میکند.
کیف پول سختافزاری از کلیدها محافظت میکند، اما نمیتواند همیشه از قضاوت شخصی که از آنها استفاده میکند محافظت کند.
این تفاوت اکنون اهمیت بیشتری پیدا کرده است. تهدید اصلی همیشه مهاجمی نیست که اطلاعات هویتی را با زور سرقت کند. گاهی اوقات، مهاجم صرفاً هدف را متقاعد میکند تا از آن اطلاعات در یک پلتفرم در معرض خطر استفاده کند.
آیا میدانستید؟ اولین حملات فیشینگ دههها قبل از بیتکوین رخ دادهاند. در اواسط دهه ۱۹۹۰، مهاجمان، کاربران پلتفرم AOL را با جا زدن خود به عنوان کارمند و درخواست رمز عبور هدف قرار میدادند. تکنیکها تغییر کردهاند، اما ایده اصلی همچنان مشابه است: سوءاستفاده از اعتماد به جای فناوری.
چرا تبلیغات جستجو برای مجرمان جذاب است
تبلیغات جستجو ترکیبی از مزایا را به مجرمان میدهند که کمتر کانال دیگری میتواند با آن رقابت کند. برای کلاهبرداران رمزارز، این موضوع آنها را به طور ویژهای جذاب میکند.
- اول، آنها دسترسی به مخاطبان عظیمی را فراهم میکنند. میلیونها کاربر هر روز کلماتی مرتبط با کیف پولهای رمزارزی، صرافیها و پروتکلهای دیفای را جستجو میکنند.
- این کاربران همچنین قصد مشخصی دارند. فردی که عبارت “Uniswap”، “دانلود MetaMask” یا “دانلود Ledger Live” را جستجو میکند، از قبل قصد انجام کاری را دارد. مهاجم نیازی به ایجاد انگیزه ندارد؛ قربانی احتمالی از قبل آماده تعامل است.
- مانع ورود نیز نسبتاً پایین است. ایمیلهای فیشینگ ممکن است توسط فیلترهای هرزنامه (Spam) مسدود شوند یا توسط گیرندگان نادیده گرفته شوند. اما تبلیغات جستجو دقیقاً در لحظهای که کاربران به دنبال یک مقصد هستند، به آنها میرسند.
- کمپینهای کلاهبرداری را نیز میتوان به سرعت بازسازی کرد. زمانی که تبلیغات جعلی حذف میشوند، مهاجمان اغلب با حسابهای جدید، دامنههای تازه ثبتشده یا نسخههای کمی تغییریافته از همان طرح قبلی بازمیگردند.
برای مجرمان، نادیده گرفتن توجیه اقتصادی این روش دشوار است.
آیا میدانستید؟ نتایج جستجو ممکن است از فردی به فرد دیگر متفاوت باشد. موقعیت مکانی، تاریخچه مرورگر و نوع دستگاه همگی میتوانند بر آنچه کاربران میبینند تأثیر بگذارند. یک تبلیغ کلاهبرداری که توسط یک کاربر رمزارز دیده میشود ممکن است برای کاربر دیگری که همان جستجو را انجام میدهد ظاهر نشود.
مشکلی فراتر از گوگل
کلاهبرداری مبتنی بر جستجو بخشی از مشکل بسیار گستردهتری است که پلتفرمهای آنلاین با آن روبرو هستند و تنها به موتورهای جستجو محدود نمیشود.
کاربران ردیت (Reddit) بارها گزارش دادهاند که تبلیغات جعلی رمزارزی را در کنار بحثهای معتبر جامعه مشاهده کردهاند (اشاره به تبلیغات کلاهبرداری در ردیت). یوتیوب با کلاهبرداریهای جعل هویت شامل پخشهای زنده (لایواستریم) جعلی که وعده اهدای جوایز (Giveaway) میدهند، دست و پنجه نرم کرده است.
پلتفرمهای شبکههای اجتماعی به برخورد با حسابهای کلاهبرداری که پروفایل پروژههای رسمی را در بخش نظرات (Threads) کپی میکنند، ادامه میدهند. کانالهای تلگرام نیز اغلب توسط افرادی که خود را نماینده پشتیبانی جا میزنند، هدف قرار میگیرند.
در تمام این موارد، الگو یکسان است. همان سیستمهایی که برای انتشار محتوای قانونی و معتبر ساخته شدهاند، میتوانند برای گسترش کلاهبرداری نیز مورد استفاده قرار گیرند. سیستمهای تبلیغاتی برای بهینهسازی تعامل و مرتبط بودن طراحی شدهاند. کلاهبرداران سعی میکنند با تضعیف اعتماد کاربران، از این سیستمها سوءاستفاده کنند.
مسمومیت سئو (SEO Poisoning) و چگونگی تغییر این تهدید
اجتناب از تبلیغات حمایتشده ممکن است یک راهحل واضح به نظر برسد. متأسفانه، کلاهبرداران خود را با این شرایط وفق دادهاند.
مسمومیت سئو (SEO Poisoning) دستکاری عمدی رتبهبندیهای جستجوی ارگانیک (طبیعی) است تا صفحات مخرب بدون نیاز به پرداخت هزینه تبلیغاتی، در بالای نتایج ظاهر شوند. مهاجمان ممکن است محتوای آموزشی جعلی منتشر کنند که برای رتبهگرفتن با عبارات جستجوی محبوب طراحی شده است. آنها همچنین ممکن است دامنههای منقضیشدهای را بخرند که از قبل دارای اعتبار جستجو (Search Authority) هستند.
گروهی دیگر از روش ثبت دامنههای مشابه (Typosquatting) استفاده میکنند که به معنای ثبت دامنههایی با تغییرات املایی جزئی است که در یک نگاه سریع به راحتی نادیده گرفته میشوند. کلاهبرداریهای پیشرفتهتر از کاراکترهای مشابه (Lookalike) از الفبای سایر زبانها استفاده میکنند تا آدرسهای جعلی را کاملاً قانونی جلوه دهند.
برای یک کاربر معمولی، تشخیص این تفاوتها تقریباً غیرممکن است. در نتیجه، حتی افرادی که از کلیک روی تبلیغات پولی اجتناب میکنند، ممکن است از طریق نتایج جستجوی عادی به صفحات فیشینگ هدایت شوند.
امنیت رمزارز به عنوان یک چالش تجربه کاربری
توصیههای امنیتی در دنیای ارزهای دیجیتال به طور سنتی بر محافظت از اطلاعات حساس تمرکز داشته است: حفاظت از کلمات بازیابی، استفاده از رمزهای عبور قوی، فعالسازی احراز هویت دومرحلهای و ذخیره دقیق نسخههای پشتیبان. این توصیهها همچنان اهمیت دارند.
با این حال، این موارد دیگر به تنهایی کافی نیستند.
امروزه بسیاری از خسارات از طریق سرقت اطلاعات رخ نمیدهند؛ بلکه از طریق تجربیات فریبندهای اتفاق میافتند که طوری طراحی شدهاند تا تقریباً مشابه نمونههای قانونی به نظر برسند. در این موارد، نقاط ضعف اغلب اقدامات ساده کاربر هستند: جستجو کردن، کلیک کردن، تأیید کردن و اعتماد به رابطهای کاربری آشنا.
در نتیجه، امنیت رمزارزها همانقدر که یک مشکل فنی است، در حال تبدیل شدن به یک مشکل تجربه کاربری است. حفاظت واقعی نیازمند کاهش سردرگمی و فریب در هر مرحله از سفر کاربر است، نه فقط تقویت صفحه نهایی تراکنش.
اقدامات عملی برای کاهش خطرات
اقدامات احتیاطی ساده میتوانند تا حد زیادی قرار گرفتن کاربر در معرض حملات مبتنی بر جستجو را کاهش دهند. این اقدامات همچنین احتمال گرفتن تصمیمات عجولانه را کم میکنند.
- ذخیره مستقیم (Bookmarking) وبسایتهای رسمی: انجام این کار به جای جستجوی هر باره آنها، یک نقطه ضعف اصلی را برطرف میکند. بهتر است به طور کامل از کلیک روی لینکهای تبلیغاتی (Sponsored) برای کیف پولها، صرافیها و برنامههای دیفای اجتناب کنید.
- بررسی دقیق آدرس سایت (URL): پیش از اتصال کیف پول، آدرسها را با دقت و با توجه ویژه به خطاهای املایی و کاراکترهای غیرمعمول بررسی کنید. لینکها باید در صورت امکان از طریق حسابهای تایید شده پروژهها و اسناد رسمی به دست آیند.
- بازبینی دقیق درخواستهای تراکنش: تراکنشها را به جای تأیید سریع، با دقت بررسی کنید. در صورت وجود، کاربران باید از ابزارهای کیف پولی استفاده کنند که میتوانند تراکنشها را شبیهسازی کرده و مجوزهای غیرمعمول را علامتگذاری کنند. مجوزهای مربوط به توکنها (Token approvals) که دیگر نیازی به آنها نیست باید هر از چند گاهی لغو (Revoke) شوند.
فراتر از همه اینها، کمی آرامتر عمل کردن ارزشش را دارد. کلاهبرداران به طور عمدی از حس فوریت سوءاستفاده میکنند. چند ثانیه وقت اضافی برای بررسی جزئیات میتواند تفاوت بین یک تعامل عادی و یک ضرر غیرقابل بازگشت را رقم بزند.














