Ilmoitus
Tässä esitetyt näkemykset ja mielipiteet kuuluvat yksinomaan kirjoittajalle eivätkä edusta crypto.news -julkaisun toimituksen näkemyksiä.
Kryptovaluuttojen hyökkäykset
Viimeisen vuoden aikana suurimmilla kryptovaluuttojen hyökkäyksillä on ollut sama perussyynsä: ihmiset. Pelkästään viimeisten kuukausien aikana:
- Ledger kehotti käyttäjiä keskeyttämään on-chain-toiminnan sen jälkeen, kun npm:n ylläpitäjät huijattiin ja haitalliset paketit levisivät;
- Workday paljasti sosiaalisen manipuloinnin kampanjan, joka pääsi käsiksi kolmannen osapuolen CRM-tietoihin;
- Pohjois-Koreaan liittyvät toimijat jatkoivat vale-työtarjouksia kryptotiimeille levittääkseen haittaohjelmia.
Huolimatta miljardeista, jotka on käytetty kyberturvallisuuteen, yritykset häviävät edelleen yksinkertaisille sosiaalisen manipuloinnin hyökkäyksille.
Operatiivinen turvallisuus
Tiimit investoivat rahaa teknisiin turvatoimiin, auditointeihin ja koodikatselmuksiin samalla kun he laiminlyövät operatiivisen turvallisuuden, laitteiden hygienian ja perusinhimilliset tekijät. Kun yhä enemmän taloudellista toimintaa siirtyy on-chain, tämä sokea kohta muuttuu systeemiseksi riskiksi digitaaliseen infrastruktuuriin.
Ainoa tapa hidastaa sosiaalisen manipuloinnin hyökkäysten lisääntymistä on laaja, kestävä investointi operatiiviseen turvallisuuteen, joka vähentää näiden taktiikoiden tuottoa.
Inhimillinen elementti
Verizonin vuoden 2025 tietomurtojen tutkimusraportti yhdistää kyberturvallisuuden ”inhimillisen elementin” (phishing, varastetut tunnistetiedot ja arkipäiväiset virheet) noin 60 %:iin tietomurroista. Sosiaalinen manipulointi toimii, koska se kohdistuu ihmisiin, ei koodiin, hyödyntäen luottamusta, kiireellisyyttä, tuttavuutta ja rutiinia.
Tällaisia hyökkäyksiä ei voida eliminoida koodin auditoinnilla, ja niitä on vaikea puolustaa automatisoiduilla kyberturvallisuustyökaluilla. Koodikatselmukset ja muut yleiset kyberturvallisuuskäytännöt eivät voi estää työntekijää hyväksymästä petollista pyyntöä, joka näyttää tulleen esimieheltä.
Web3:n riskit
Ohjelmoitava raha keskittyy riskiin. Web3:ssa siemenlauseen tai API-tokenin vaarantaminen voi olla verrattavissa pankkiholvin murtamiseen. Kryptovaluuttatransaktioiden peruuttamaton luonne voimistaa virheitä: kun varat liikkuvat, usein ei ole tapaa peruuttaa transaktiota.
Yksi laitteistoturvallisuuden tai avainten käsittelyn virhe voi pyyhkiä pois varat. Web3:n hajautettu muoto tarkoittaa, että usein ei ole apupalvelua, johon ottaa yhteyttä, jättäen käyttäjät selviytymään itse.
Hyökkäysten tehokkuus
Hakkerit, mukaan lukien valtion tukemat palkkasoturit, ovat huomanneet sosiaalisen manipuloinnin hyökkäysten tehokkuuden ja mukauttaneet toimintansa sen mukaiseksi. Pohjois-Korean Lazarus-ryhmälle liitetyt toimet nojaavat voimakkaasti sosiaaliseen manipulointiin: vale-työtarjoukset, myrkytetyt PDF-tiedostot, haitalliset paketit ja räätälöity phishing.
Nämä hyökkäykset ovat hämmästyttävän tehokkaita ja helppoja toteuttaa, ja teknologiayritykset näyttävät olevan kykenemättömiä puolustautumaan niitä vastaan.
Tarve investoida
On kriittistä investoida operatiiviseen turvallisuuteen nyt, koska hyökkäysten määrä kasvaa eksponentiaalisesti. Generatiivinen AI on muuttanut petoksen taloutta. Hyökkääjät voivat nyt personoida, lokalisoida ja automatisoida phishing-hyökkäyksiä teollisessa mittakaavassa.
Organisaatioiden on sopeuduttava puolustavampaan asenteeseen ja (oikein) oletettava, että ne ovat jatkuvasti sosiaalisen manipuloinnin hyökkäyksen uhka. Tiimien tulisi omaksua nollaluottamusperiaatteet päivittäisessä toiminnassaan ja sisällyttää operatiivisen turvallisuuden periaatteet koko yritykseen.
Yhteenveto
Sosiaalinen manipulointi ei katoa, mutta voimme tehdä siitä paljon vähemmän tehokasta ja paljon vähemmän katastrofaalista, kun hyökkäykset tapahtuvat. Kun ala koventaa itseään näitä hyökkäyksiä vastaan, sosiaalinen manipulointi tulee vähemmän kannattavaksi hakkerille, ja hyökkäysten määrä laskee, tuoden lopulta todellisen lopun tälle hengästyttävälle hyökkäyskiertokululle.
