ในเดือนมกราคม ค.ศ. 2026 ความเสียหายจากการฟิชชิ่งบนเครือข่ายกระเป๋าเงินคริปโตเคอเรนซีพุ่งสูงขึ้นเป็น 6.3 ล้านดอลลาร์สหรัฐ เพิ่มขึ้น 207% จากเดือนธันวาคม ข้อมูลจาก Scam Sniffer แสดงให้เห็นว่า ผู้โจมตีได้เปลี่ยนกลยุทธ์ไปใช้ “การล่าเพชร” โดยมีเหยื่อเพียงสองรายเท่านั้นที่ครอบคลุมถึง 65% ของความเสียหายทั้งหมด และยอดความเสียหายสูงสุดต่อรายอยู่ที่ 3.02 ล้านดอลลาร์สหรัฐ อีกกรณีหนึ่งของ “การปนเปื้อนที่อยู่” ทำให้เหยื่อรายเดียวสูญเสีย 12.25 ล้านดอลลาร์สหรัฐ
ความเสียหายจากการฟิชชิ่งแบบลงลายเซ็นพุ่งขึ้น 207% จำนวนเหยื่อลดลง
อ้างอิงรายงานจาก Scam Sniffer ในเดือนแรกของปีนี้ การโจมตีฟิชชิ่งแบบลงลายเซ็นจากผู้ใช้กระเป๋าเงินคริปโตเคอเรนซีถูกขโมยประมาณ 6.3 ล้านดอลลาร์สหรัฐ กลยุทธ์นี้ใช้การชักชวนให้ผู้ใช้เซ็นอนุญาต (Permit) หรือเพิ่มสิทธิ์ (IncreaseAllowance) ให้กับสัญญาอัจฉริยะของบุคคลที่สาม ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงและขโมยเงินโดยไม่ต้องได้รับการอนุมัติจากผู้ใช้ในแต่ละธุรกรรม
สิ่งที่น่าตกใจคือแนวโน้มความเสียหายและจำนวนเหยื่อที่แตกต่างกันอย่างชัดเจน แม้ว่าจำนวนเหยื่อจะลดลง 11% เมื่อเทียบกับเดือนธันวาคม แต่ยอดความเสียหายรวมกลับพุ่งขึ้น 207% ความแตกต่างนี้สะท้อนให้เห็นถึงการเปลี่ยนแปลงเชิงกลยุทธ์ของอาชญากรไซเบอร์ ซึ่งเปลี่ยนจากการโจมตีแบบ “การจับปลาแบบกว้าง” ไปเป็นการโจมตีแบบ “การล่าเพชร” ที่เน้นเป้าหมายเฉพาะกลุ่มที่ถือครองสินทรัพย์จำนวนมาก ซึ่งแตกต่างจากการโจมตีจำนวนมากของบัญชีรายย่อยในอดีต
การเปลี่ยนแปลงกลยุทธ์นี้สร้างความท้าทายใหม่ให้กับความปลอดภัยของกระเป๋าเงินคริปโตเคอเรนซี โดยปกติแล้ว การป้องกันฟิชชิ่งบนเครือข่ายมักเน้นการระบุจำนวนการโจมตีและจำนวนเหยื่อ แต่เมื่อผู้โจมตีเปลี่ยนเป้าหมายไปยังกลุ่มเป้าหมายที่มีมูลค่าสูง ตัวชี้วัดเหล่านี้อาจไม่สามารถเตือนล่วงหน้าได้ แม้จำนวนเหยื่อจะลดลง แต่ความเสียหายรวมที่เพิ่มขึ้นอย่างรวดเร็วยังคงแสดงให้เห็นถึงความรุนแรงของภัยคุกคามที่กำลังเพิ่มขึ้น
ความอันตรายของการฟิชชิ่งแบบลงลายเซ็นอยู่ที่การใช้เทคโนโลยีการโต้ตอบบนบล็อกเชน หลายแอปพลิเคชันแบบกระจายศูนย์ (DApp) ต้องการให้ผู้ใช้ให้สิทธิ์เข้าถึงโทเคนแก่สัญญาอัจฉริยะ ซึ่งเป็นกระบวนการปกติ แต่ผู้โจมตีสามารถปลอมแปลงสัญญาอัจฉริยะให้ดูถูกกฎหมายและชักชวนให้ผู้ใช้เซ็นอนุญาต เมื่อเซ็นแล้ว ผู้โจมตีสามารถโอนย้ายทรัพย์สินจากกระเป๋าของเหยื่อได้โดยไม่ต้องขอการยืนยันเพิ่มเติมจากผู้ใช้
กลยุทธ์ล่าเพชรครองสัดส่วน 65% ของความเสียหายรวม 2 ราย สูญเสียสูงสุด 3.02 ล้านดอลลาร์
รายงานจาก Scam Sniffer เปิดเผยความจริงที่น่าตกใจว่า เพียงสองเหยื่อเท่านั้นที่ครอบคลุมเกือบ 65% ของความเสียหายจากการฟิชชิ่งแบบลงลายเซ็นในเดือนมกราคม ในกรณีที่ใหญ่ที่สุด ผู้ใช้รายหนึ่งสูญเสีย 3.02 ล้านดอลลาร์ หลังจากเซ็นอนุญาตให้สัญญาอัจฉริยะที่เป็นอันตราย ซึ่งความเสียหายที่กระจุกตัวสูงนี้ชี้ให้เห็นกลยุทธ์ใหม่ของผู้โจมตี — การเจาะจงเป้าหมายและโจมตีเฉพาะกลุ่มที่ถือครองสินทรัพย์จำนวนมากของกระเป๋าเงินคริปโตเคอเรนซี
กลยุทธ์ล่าเพชรแตกต่างจากการฟิชชิ่งแบบเดิมตรงที่การเก็บข้อมูลก่อนการโจมตี ผู้โจมตีไม่ส่งลิงก์ฟิชชิ่งแบบสุ่ม แต่ใช้การวิเคราะห์ข้อมูลบนเชนเพื่อระบุเป้าหมายที่มีมูลค่าสูง ศึกษารูปแบบการทำธุรกรรมและพฤติกรรม จากนั้นจึงวางแผนโจมตีอย่างแม่นยำ วิธีนี้ต้องใช้เวลาการเตรียมการและความสามารถทางเทคนิคมากขึ้น แต่ผลตอบแทนก็เพิ่มขึ้นเป็นทวีคูณ
สำหรับผู้ที่ถือครองสินทรัพย์จำนวนมาก ความเสี่ยงนี้เป็นภัยคุกคามที่รุนแรงขึ้น โดยปกติแล้ว นักลงทุนที่มีมูลค่าสูงอาจคิดว่าตนเองมีความรู้ในการปกป้องทรัพย์สินมากกว่าผู้ใช้ทั่วไป แต่ในความเป็นจริง ความมีมูลค่าสูงของพวกเขากลับทำให้กลายเป็นเป้าหมายอันดับต้น ๆ ผู้โจมตีเต็มใจลงทุนทรัพยากรเพื่อออกแบบการโจมตีแบบเจาะจง รวมถึงการปลอมเว็บไซต์ที่ดูสมจริง การแอบอ้างเป็นโปรเจกต์ชื่อดัง และสร้างความเชื่อมั่นในระยะยาวผ่านโซเชียลมีเดีย
แนวโน้มนี้สะท้อนให้เห็นในความซับซ้อนของวิธีการโจมตีในปัจจุบัน การฟิชชิ่งในอดีตมักใช้เมลหลอกลวงและเว็บไซต์ปลอมที่ดูไม่เนียน แต่การโจมตีแบบล่าเพชรในยุคปัจจุบันอาจเกี่ยวข้องกับการสร้างอินเทอร์เฟซปลอมที่สมบูรณ์แบบ การปลอมแปลงโดเมน (ใช้ตัวอักษรคล้ายกัน เช่น i กับ l) รวมถึงการออกแบบสถานการณ์ฉุกเฉินเพื่อเร่งให้ผู้ใช้ตัดสินใจภายใต้ความกดดัน
การปนเปื้อนที่อยู่สูญเสีย 12.25 ล้านดอลลาร์ต่อราย เป็นกับดักที่อันตรายจากการคัดลอกวาง
นอกจากการฟิชชิ่งแบบลงลายเซ็นแล้ว อีกหนึ่งภัยคุกคามที่รุนแรงคือ “การปนเปื้อนที่อยู่” ซึ่งเป็นปัญหาที่สร้างความเสียหายให้กับผู้ใช้กระเป๋าเงินคริปโตเคอเรนซี ในเดือนมกราคม มีกรณีตัวอย่างที่ผู้ลงทุนโอนเงินเข้าไปยังที่อยู่ปลอมและสูญเสียไป 12.25 ล้านดอลลาร์ ซึ่งเป็นความเสียหายสูงสุดในเดือนเดียว
การปนเปื้อนที่อยู่ใช้ประโยชน์จากพฤติกรรมของผู้ใช้และลักษณะของที่อยู่บนบล็อกเชน ที่อยู่คริปโตเคอเรนซีมักเป็นสตริงเลขฐาน 16 ยาว 42 ตัว การตรวจสอบความถูกต้องของที่อยู่เหล่านี้เป็นเรื่องที่ยุ่งยาก ผู้ใช้หลายคนมักตรวจสอบเพียงไม่กี่ตัวอักษรที่ต้นและปลายของที่อยู่ ซึ่งเป็นจุดอ่อนที่ผู้โจมตีใช้สร้างที่อยู่ปลอมที่มีลักษณะคล้ายกัน โดยสร้าง “ที่อยู่ปลอม” หรือ “ปลอมแปลง” ที่มีลักษณะตรงกับต้นและปลายของที่อยู่จริงในประวัติธุรกรรมของผู้ใช้
ขั้นตอนการโจมตีแบบปนเปื้อนที่อยู่
การเฝ้าติดตามเป้าหมาย: ผู้โจมตีติดตามประวัติธุรกรรมของกระเป๋าเงินที่มีมูลค่าสูง
สร้างที่อยู่ปลอม: ใช้อัลกอริทึมสร้างที่อยู่ปลอมที่มีตัวอักษรต้นและปลายเหมือนกัน
ส่งเหยื่อล่อ: ส่งโทเคนจำนวนเล็กน้อย (เช่น การโจมตีแบบ Dusting) ไปยังที่อยู่เป้าหมาย
ปนเปื้อนประวัติ: ที่อยู่ปลอมปรากฏในประวัติธุรกรรมของเหยื่อ
รอให้เกิดความผิดพลาด: เมื่อเหยื่อคัดลอกและวางที่อยู่จากประวัติธุรกรรมเพื่อทำธุรกรรมครั้งต่อไป ก็อาจเผลอใช้ที่อยู่ปลอม
ผู้โจมตีหวังให้ผู้ใช้คัดลอกและวางที่อยู่จากประวัติธุรกรรมโดยไม่ตรวจสอบความถูกต้องของตัวอักษรตรงกลาง เมื่อส่งเงินไปยังที่อยู่ปลอมแล้ว เนื่องจากธุรกรรมบนบล็อกเชนไม่สามารถย้อนกลับได้ ทรัพย์สินจะถูกโอนไปยังผู้โจมตีทันทีและถาวร
ความเสียหายสูงสุด 12.25 ล้านดอลลาร์ต่อรายนี้แสดงให้เห็นถึงความรุนแรงของการโจมตีแบบนี้ สำหรับนักลงทุนหรือองค์กรที่บริหารเงินจำนวนมาก การผิดพลาดเพียงครั้งเดียวอาจนำไปสู่ความหายนะ ยิ่งไปกว่านั้น การโจมตีนี้ไม่ต้องอาศัยช่องโหว่ทางเทคนิคซับซ้อน แต่พึ่งพาจิตวิทยาและพฤติกรรมของมนุษย์ ทำให้การป้องกันเป็นเรื่องที่ยากขึ้น
Safe Labs เตือนภัย 5,000 ที่อยู่ปลอมร่วมกันโจมตี
เหตุการณ์เหล่านี้ทำให้ Safe Labs (ซึ่งเคยใช้ชื่อ Gnosis Safe ซึ่งเป็นผู้พัฒนากระเป๋าเงินแบบหลายลายเซ็นยอดนิยม) ออกประกาศเตือนความปลอดภัยฉุกเฉิน บริษัทพบว่ามีองค์กรอาชญากรรมใช้ที่อยู่ปลอมประมาณ 5,000 ราย เพื่อโจมตีกลุ่มผู้ใช้ของตนในรูปแบบการโจมตีแบบร่วมมือกัน
Safe Labs ระบุว่า: “เราได้ค้นพบว่ามีผู้ไม่หวังดีร่วมมือกันสร้างที่อยู่ Safe จำนวนหลายพันที่ดูคล้ายกัน เพื่อหลอกลวงให้ผู้ใช้โอนเงินไปยังปลายทางผิด ซึ่งเป็นการผสมผสานระหว่างการโจมตีแบบสังคมวิทยาและการปนเปื้อนที่อยู่” การโจมตีในระดับนี้แสดงให้เห็นว่า การฟิชชิ่งได้กลายเป็นอุตสาหกรรมที่มีการดำเนินงานเป็นระบบมากขึ้น
การกระจายที่อยู่ปลอมจำนวน 5,000 รายนี้บ่งชี้ว่าผู้โจมตีมีโครงสร้างพื้นฐานและเครื่องมืออัตโนมัติที่แข็งแกร่ง การสร้างที่อยู่ปลอมจำนวนมากที่ตรงกับลักษณะเป้าหมายต้องใช้ทรัพยากรคำนวณและอัลกอริทึมที่ปรับแต่งอย่างดี ความสามารถในการโจมตีในระดับอุตสาหกรรมนี้ชี้ให้เห็นว่า อาจเป็นกลุ่มอาชญากรรมไซเบอร์มืออาชีพ ไม่ใช่แค่แฮกเกอร์เดี่ยว
สำหรับผู้ให้บริการกระเป๋าเงินคริปโต การรับมือกับการโจมตีในระดับนี้เป็นความท้าทายด้านความปลอดภัยใหม่ มาตรการความปลอดภัยแบบเดิม เช่น การยืนยันตัวตนแบบสองชั้น (2FA) และการเก็บรักษาใน cold wallet อาจไม่สามารถป้องกันการโจมตีแบบปนเปื้อนที่อยู่และฟิชชิ่งแบบลงลายเซ็น เนื่องจากการโจมตีเหล่านี้ใช้กลไกการทำธุรกรรมที่ถูกต้องตามกฎหมายและพฤติกรรมของผู้ใช้ การป้องกันจึงต้องครอบคลุมตั้งแต่การออกแบบอินเทอร์เฟซ การยืนยันธุรกรรม ไปจนถึงการให้ความรู้แก่ผู้ใช้ในหลายระดับ
แนวทางป้องกันฟิชชิ่งและการปนเปื้อนที่อยู่
เพื่อรับมือกับภัยคุกคามที่รุนแรงขึ้นนี้ Safe Labs และผู้เชี่ยวชาญด้านความปลอดภัยแนะนำมาตรการป้องกันหลายประการ สิ่งสำคัญที่สุดคือ การตรวจสอบความถูกต้องของที่อยู่ก่อนทำธุรกรรมขนาดใหญ่ โดยต้องตรวจสอบตัวอักษรทั้งหมดของที่อยู่ ไม่ใช่แค่ต้นและปลายเท่านั้น
แนวปฏิบัติด้านความปลอดภัยของกระเป๋าเงินคริปโต
ตรวจสอบความถูกต้องของที่อยู่เต็มรูปแบบ: คัดลอกและเปรียบเทียบตัวอักษรทั้งหมดในที่อยู่ 42 ตัวอย่างละเอียด โดยเฉพาะส่วนกลาง
ใช้สมุดที่อยู่ (Address Book): บันทึกที่อยู่ที่ใช้งานบ่อยเป็นรายชื่อ เพื่อหลีกเลี่ยงการคัดลอกจากประวัติธุรกรรม
ส่งธุรกรรมทดลองขนาดเล็กก่อน: สำหรับธุรกรรมขนาดใหญ่ ควรส่งจำนวนเล็กน้อยเพื่อทดสอบความถูกต้องของที่อยู่
ตรวจสอบสิทธิ์อนุญาต: คอยตรวจสอบและถอนสิทธิ์โทเคนที่ไม่จำเป็นเป็นประจำ
เปิดใช้งานการจำลองธุรกรรม: ใช้กระเป๋าที่รองรับการดูตัวอย่างธุรกรรมก่อนเซ็น เพื่อดูผลลัพธ์ก่อนยืนยัน
ใช้การยืนยันหลายลายเซ็น: สำหรับกระเป๋าที่มีมูลค่าสูง ควรใช้ระบบหลายลายเซ็นเพื่อเพิ่มความปลอดภัย
นอกจากนี้ ผู้ใช้ควรระวังเว็บไซต์ฟิชชิ่ง โดยพิมพ์ URL โดยตรงในเบราว์เซอร์และไม่คลิกลิงก์ในอีเมล และควรอ่านรายละเอียดคำขอสิทธิ์ก่อนเซ็นธุรกรรมอย่างละเอียด สำหรับผู้ดูแลทรัพย์สินจำนวนมาก ควรใช้ฮาร์ดแวร์วอลเล็ตและระบบหลายลายเซ็นเพื่อเสริมความปลอดภัยอย่างมีประสิทธิภาพ
btc.bar.articles
การอนุมัติบางส่วนของ SEC ในคดีบังคับใช้กฎหมายด้านการเข้ารหัสล้มเหลว และค่าปรับ 2.3 พันล้านไม่ช่วยปกป้องนักลงทุน
คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐ (SEC) เมื่อเร็ว ๆ นี้ได้อนุมัติว่าการบังคับใช้กฎหมายเกี่ยวกับสกุลเงินดิจิทัลบางส่วนไม่ได้ก่อให้เกิดความเสียหายต่อผู้ลงทุน และได้ปรับจุดเน้นไปยังการกระทำที่มีอันตรายอย่างแท้จริง เช่น การฉ้อโกงและการปั่นป่วนตลาด ประธาน SEC อา ต์กินส์ เน้นย้ำถึงการจัดสรรทรัพยากรใหม่ ลดจำนวนการบังคับใช้กฎหมายโดยรวม เพื่อเพิ่มประสิทธิภาพในการคุ้มครองผู้ลงทุน
MarketWhisper58 นาที ที่แล้ว
Ripple รายงาน: 8 ประเทศในแอฟริกาผลักดันกฎระเบียบการเข้ารหัสลับ โดยแอฟริกาใต้เป็นผู้นำการแข่งขันในสายงานสเตเบิลคอยน์
บริษัท Ripple รายงานว่า ประมาณ 8 ประเทศในแอฟริกาได้จัดตั้งกรอบการกำกับดูแลสำหรับสกุลเงินดิจิทัลแล้ว โดยมีการขับเคลื่อนให้เกิดการนำคริปโทเคอร์เรซีมาใช้อย่างแพร่หลาย เนื่องจากความต้องการด้านการโอนเงินและโครงสร้างพื้นฐานทางการเงินที่ยังไม่เพียงพอ แอฟริกาใต้และมอริเชียสมีความพร้อมด้านการกำกับดูแลในระดับที่เติบโตแล้ว ขณะที่ไนจีเรียและเคนยากำลังอยู่ระหว่างการพัฒนา เสถียรเหรียญค่อยๆ เปลี่ยนจากการเก็งกำไรไปสู่การประยุกต์ใช้ในเชิงพาณิชย์ ซึ่งช่วยเพิ่มศักยภาพในการบูรณาการเข้าสู่ระบบการเงิน
MarketWhisper1 ชั่วโมง ที่แล้ว
เสริมสร้างปฏิสัมพันธ์ภาษีเงินตรา! จีนสนับสนุนให้ธนาคารนำบล็อกเชนมาใช้ แต่ประชาชนกลับเก็งกำไรคริปโท และทำให้ทุกอย่างเป็นโทเค็น ถือว่าผิดกฎหมายทั้งหมด
รัฐบาลจีนสนับสนุนให้ธนาคารนำเทคโนโลยีบล็อกเชนมาใช้เพื่อเสริมความแข็งแกร่งให้กับ “ปฏิสัมพันธ์การกู้เงิน-ภาษี” เพื่อปรับปรุงสภาพแวดล้อมการระดมทุนสำหรับวิสาหกิจขนาดกลางและขนาดย่อม ในขณะเดียวกันก็ห้ามอย่างเด็ดขาดการซื้อขายและการขุดสกุลเงินดิจิทัลของภาคเอกชนทั้งหมด โดยมองว่าเหรียญเสถียรและโทเค็นไนซ์เป็นการกระทำที่ผิดกฎหมาย ซึ่งแสดงให้เห็นถึงเส้นแบ่งนโยบายที่ชัดเจน พร้อมทั้งย้ำถึงการกำกับดูแลโดยทางการและความปลอดภัยทางการเงิน
CryptoCity1 ชั่วโมง ที่แล้ว
พรรคกลัวการระดมพลแบบลับ? แจ็ก ดอร์ซีย์: จีนเรียกร้องให้ Apple ถอนแอปสื่อสารแบบกระจายศูนย์ Bitchat
แอปเปิลได้ถอดแอปพลิเคชันสื่อสารแบบไร้ศูนย์กลาง Bitchat ออกจากการจำหน่ายในจีนภายใต้ข้อกำหนดด้านการกำกับดูแลของจีน โดยมีการพิจารณาว่ามีความเสี่ยงต่อการระดมการเคลื่อนไหวของสังคม เนื่องจากคุณลักษณะด้านบลูทูธและเครือข่ายแบบตาข่าย (mesh) และละเมิดกฎหมายความปลอดภัยทางไซเบอร์ของจีน โครงสร้างแบบไร้ศูนย์กลางของ Bitchat ทำให้ยากต่อการถูกควบคุมโดยรัฐบาล และเคยมีบทบาทในเหตุการณ์การประท้วง/การต่อต้านในหลายประเทศ แอปนี้ยังสามารถใช้งานได้อยู่นอกประเทศจีน และยอดดาวน์โหลดในช่วงที่ผ่านมาเพิ่มขึ้นอย่างต่อเนื่อง
CryptoCity2 ชั่วโมง ที่แล้ว
FDIC เตรียมควบคุมผู้ออกเหรียญ stablecoin ภายใต้พระราชบัญญัติ GENIUS
FDIC ได้เสนอข้อกำหนดใหม่สำหรับผู้ออกสเตเบิลคอยน์ภายใต้ GENIUS Act โดยกำหนดมาตรฐานสำหรับเงินสำรอง การไถ่ถอน และการบริหารความเสี่ยง แม้ว่าการสนับสนุนสำหรับสเตเบิลคอยน์จะได้รับการประกัน แต่ผู้ถือจะไม่ได้รับการคุ้มครองโดยตรง FDIC เชิญชวนให้ประชาชนแสดงความคิดเห็นสำหรับอีก 60 วันข้างหน้า
Cointelegraph2 ชั่วโมง ที่แล้ว
FDIC สเตเบิลคอยน์เริ่มมีผลบังคับใช้ใหม่อย่างเป็นทางการ ธนาคารกำหนดมาตรฐานเข้มงวดในการควบคุมเงินสำรองและการไถ่ถอน (redemption)
หน่วยงาน FDIC ของสหรัฐฯ ได้อนุมัติข้อเสนอเมื่อวันที่ 7 เมษายน เพื่อจัดตั้งกรอบกำกับดูแลของรัฐบาลกลางสำหรับสกุลเงินดิจิทัลแบบมีเสถียรภาพ โดยครอบคลุมข้อกำหนดด้านการปฏิบัติตามกฎระเบียบหลักสี่ประการ ได้แก่ เงินสำรอง การไถ่ถอน ทุน และการบริหารความเสี่ยง ข้อเสนอมีเป้าหมายเพื่อยกระดับความสอดคล้องด้านกฎระเบียบของสกุลเงินดิจิทัลแบบมีเสถียรภาพ และเพื่อบรรจุไว้ในระบบธนาคาร เพื่อให้มั่นใจว่าผู้ถือสกุลเงินดิจิทัลแบบมีเสถียรภาพสามารถไถ่ถอนตามมูลค่าที่ตราไว้ได้ อย่างไรก็ตาม สกุลเงินดิจิทัลแบบมีเสถียรภาพไม่ได้อยู่ภายใต้การคุ้มครองประกันเงินฝากของรัฐบาลกลาง ขณะนี้ข้อเสนอดังกล่าวได้เข้าสู่ช่วงการรับฟังความคิดเห็นสาธารณะ
MarketWhisper3 ชั่วโมง ที่แล้ว
