هک حساب توییتر بنیانگذار یونی سواپ؛ مدیرعامل بایننس به کاربران هشدار داد

به دنبال هک شدن حساب توییتر هایدن آدامز، بنیانگذار یونی سواپ، مدیر عامل بایننس نسبت به کلاهبرداری‌های فیشینگ و حملات مهندسی اجتماعی هشدار داد. با توجه به افزایش حملات تعویض سیمکارت، وی در توییتی از کاربران صرافی‌های ارز دیجیتال خواست تا برای در امان ماندن از کلاهبرداری‌ها برای احراز هویت دو مرحله‌ای (2FA) به جای استفاده از اپراتور تلفن همراه از دستگاه‌های سخت‌افزاری استفاده کنند.

به نقل از کوین تلگراف، CZ در ۲۱ جولای (۳۰ تیر) در توییتر به دنبال‌کنندگان خود در مورد فیشینگ و سایر کلاهبرداری‌های مهندسی اجتماعی هشدار داد. او همچنین به کاربران صرافی ارزهای دیجیتال توصیه کرد که برای احراز هویت دو مرحله‌ای به جای استفاده از 2FA مبتنی بر اپراتور تلفن همراه، از دستگاه‌های سخت‌افزاری استفاده کنند.

مدیر عامل بایننس در توییت خود نوشت:

بهتر است 2FA را برای همه صرافی‌های ارز دیجیتال با یک دستگاه سخت‌افزاری (Yubikey) فعال کنید.

هشدار ژائو مدت کوتاهی پس از آن بود که حساب توییتر هیدن آدامز (Hayden Adams)، بنیانگذار یونی سواپ (Uniswap)، در ۲۰ جولای (۲۹ تیر) هک شد. مهاجم پس از آنکه کنترل حساب آدامز را به دست گرفت، از طریق لینک مخربی که در صفحه او پست کرده بود، سعی کرد از دنبال‌کنندگان او کلاهبرداری کند. در این توییت به دروغ ادعا شده بود که قرارداد Permit2 این پلتفرم «تحت یک حمله اکسپلویت ناشناخته قرار گرفته و توکن‌های کاربران در معرض خطر هستند و آن‌ها را تشویق می‌کرد تا روی لینک مخرب کلیک کنند. اعضای توییتر کریپتو به سرعت این کلاهبرداری را شناسایی کردند و به دیگران نیز در مورد آن هشدار دادند.

آدامز متعاقبا در عرض چند ساعت مجددا توانست دسترسی به حساب خود را در اختیار بگیرد. او همچنین قول داد که از به‌روزرسانی‌ها استفاده کند.

افزایش تعداد حملات مهندسی اجتماعی در صنعت ارزهای دیجیتال

در اوایل جولای، برایان پلگرینو (Bryan Pellegrino)، مدیر عامل لیر زیرو (LayerZero) نیز قربانی یک حمله تعویض سیم‌کارت (SIM Swap Attack) شد که طی آن هکرها توانستند برای مدت کوتاهی کنترل حساب توییتر او را به دست بگیرند. این مدیر اجرایی در این مورد اظهار داشت مهاجمان از برچسب بلندگوی او در کنفرانس Collision استفاده کرده بودند که از قضا وی آن را در سطل زباله انداخته بود.

به گفته مدیر ارشد امنیت اطلاعات اسلو میست (SlowMist) با نام مستعار «23pds»، تعویض سیم کارت به مهارت‌های فنی سطح بالایی نیاز ندارد. پس از آنکه آدامز از یونی سواپ گزارش داد که دوباره به توییتر بازگشته است، 23pds نیز به حملات تعویض سیم کارت اشاره کرد.

وی در توییتی نوشت:

هفته گذشته در حال انجام مصاحبه‌ای در مورد وضعیت فعلی حملات تعویض سیم کارت بودم و متوجه نشدم که به این زودی چندین حمله صورت گرفته است.

23pds و دیگر کارشناسان امنیت سایبری در مقاله‌ای روش‌هایی را برای جلوگیری از هک‌های مهندسی اجتماعی مانند فیشینگ ارائه کردند.

یکی از اقدامات اصلی حفاظتی که در برابر هک تعویض سیم‌کارت توصیه می‌شود، محدود کردن استفاده از روش‌های مبتنی بر سیم کارت برای تایید 2FA است. در مقابل، استفاده از اپلیکیشن‌هایی مانند گوگل آتنتیکیتور (Google Authenticator) یا اوثی (Authy) امن‌تر هستند.