امنیت سایبری

فیشینگ یا به عبارت خیلی ساده: جعل هویت به قصد کلاهبرداری، موضوعی نادر نیست. برخی از تحلیلگران ادعا می‌کنند که روزانه حدود ۱۵ میلیارد ایمیل هرزنامه یا تقلبی ارسال می‌شود. به این معنی که تقریباً ۱٪ از تمام ایمیل‌ها به عنوان حملات فیشینگ طبقه‌بندی می‌شوند. در حالی که این عدد بسیار بزرگ است اما ایمیل تنها راهی نیست که مهاجمان سایبری از آن طریق، کلاهبرداری‌های فیشینگ را راه‌اندازی می‌کنند. مهاجمان از فیشینگ پیامکی (SMS phishing یا Smishing)، فیشینگ صوتی تماس تلفنی (Voice phishing یا Vishing) و سایر استراتژی‌های حمله مانند کلون فیشینگ (Clone phishing) و ربودن صفحه (Page Hijacking) نیز استفاده می‌کنند.

معنی فیشینگ به زبان ساده، جعل هویت اشخاص یا شرکت‌ها از طریق ایمیل‌‌های جعلی یا هرزنامه، تماس تلفنی جعلی یا روش‌های دیگر به قصد کلاهبرداری از اطرافیان یا مشتریان اشخاص یا شرکت‌ها است. صرف نظر از نحوه انجام یک حمله فیشینگ، واضح است که با حجم عظیمی از کلاهبرداری روبرو هستیم. فرض غالب این است که تلاش‌های فیشینگ، ناشیانه هستند، و ما اغلب آن را دیده‌ایم: ایمیل‌های کلاهبرداری عجیب و غریب در پوشه‌های هرزنامه ما، یا تماس‌های تلفنی نامرتب از طرف شخصی که به خوبی جعل هویت یک بانک یا کسب‌وکار را نشان می‌دهد. اما این تصور که شناسایی تلاش‌های فیشینگ آسان است، می‌تواند منجر به احساس امنیت کاذب در مورد خطر فیشینگ شود ، زیرا اغلب تکنیک‌های فیشینگ پیچیده‌تر و تشخیص آن‌ها سخت‌تر است .

برای محافظت از خود، فیشینگ را بشناسید

هر شخص یا کسب‌وکار، بزرگ یا کوچک، باید آگاهی از شاخص‌های رایج فیشینگ را به بخش مرکزی استراتژی پیشگیری از فیشینگ خود تبدیل کند. این استراتژی، همراه با نرم‌افزار قویِ ضد فیشینگ برای کسب‌وکار، ستون‌های مهمی از برنامه امنیت سایبری سازمان شما را فراهم می‌کند. اما آن شاخص‌های رایج کدامند؟ برخی واضح هستند، برخی دیگر بسیار ظریف تر.

در ادامه، رایج‌ترین نشانه‌های حمله فیشینگ را مورد بحث قرار می‌دهیم.

به یک لحن یا نحو ناآشنا، اشتباهات در املا و دستور زبان توجه کنید

مسلماً رایج‌ترین نشانه‌های ارتباطات فیشینگ در نحوه ارائه آنها ظاهر می‌شود. واضح تر از همه، اشتباهات املایی و استفاده عجیب از دستور زبان است. همه ما ممکن است در نگارش یک ایمیل، اشتباه تایپی داشته باشیم. اما یک ایمیل پر از غلط املایی باید ما را برای احتیاط و تحقیقات بیشتر آماده کند. نحوه انتقال پیام نیز بسیار مهم است. اغلب، کلاهبرداران سعی می‌کنند با حروف بزرگ، اضافه کردن علامت تعجب و استفاده از زبان دستوری، احساس فوریت را در ایمیل‌های فیشینگ جعلی ایجاد کنند. اکثریت قریب به اتفاق ارتباطات تجاری سالم و اصیل، حتی آن‌هایی که درخواست پرداخت می‌کنند، از زبان مثبت و تجاری استفاده می‌کنند، بنابراین زمانی که لحن، تهدیدآمیز، اجباری یا بیش از حد فوری می‌شود، زنگ خطر باید به صدا درآید.

ظاهر پیام را بررسی کنید

علاوه بر نشانه‌های کتبی، نشانه‌های ایمیل فیشینگ نیز ممکن است در نحوه ارائه ارتباط مشهود باشد. همانطور که گفته شد، کلاهبرداران اغلب به عنوان شخصی واقعی ظاهر می‌شوند، و تمام تلاش خود را برای جعل هویت یک بانک یا کارمند شرکت، ایجاد وب‌سایت‌های جعلی و تقلید از لوگوها و طراحی کلی وبسایت، انجام می‌دهند. در حالی که این مجرمان سایبری در تقلید از پیامهای سازمان‌ها مهارت بیشتری پیدا می‌کنند، هنوز هم ممکن است چیزی غیر عادی در ظاهر ایمیل از نظر سبک، رنگ، لوگو و غیره وجود داشته باشد. این تفاوت ممکن است ظریف باشد، اما اگر بین آنچه دریافت می‌کنید و آنچه در گذشته دریافت کرده‌اید از نظر فونت، طرح رنگ یا لوگو اختلاف وجود داشته باشد، این ناهماهنگی می‌تواند نشان‌دهنده یک حمله سایبری فیشینگ احتمالی باشد.

شرکت‌ها و سازمان‌ها و وب‌سایت‌ها موظف هستند قبل از ایجاد هرگونه تغییر در آدرس وبسایت یا شبکه‌های اجتماعی، ایمیل خبرنامه، شماره تلفن، لوگو و هرآنچه مرتبط با نحوه ارتباط امن و مؤثر کاربران و مشتریانشان با آنها است، موارد را از کانالهای رسمی و فعال جاری، اطلاع رسانی نمایند.مهدی بیک محمد لو

مراقب لینک‌های جعلی، نام‌های دامنه، آدرس‌ها و پیوست‌ها باشید

«قبل از کلیک کردن، نشانگر ماوس را روی لینک بیاورید (هاور کنید)» و «قبل از کلیک کردن فکر کنید» دو مورد از اصول اساسی استراتژی‌های پیشگیری از فیشینگ هستند. به عبارت ساده‌تر، قبل از کلیک بر روی لینک‌های جعلی احتمالی در یک ایمیل یا پیام، یک لحظه فکر کنید. تکنیک هاوِر (Hover) به این معنی است که از مکان نمای ماوس خود برای مکث کردن روی پیوند برای مشاهده آدرس یا URL کامل قبل از کلیک کردن استفاده کنید. انجام این کار هرگونه تفاوت بین آدرس واقعیِ پیوند و فرستندۀ ادعاییِ ایمیل را آشکار می‌کند. در آدرس وب‌سایت‌ها، باید به دنبال HTTPS باشید که بیانگر وجود یک گواهی امنیتی SSL است. شرکت‌های قانونی به احتمال زیاد نام‌های دامنه و آدرس‌های ایمیل «تمیز» خواهند داشت، مانند:

no_reply@email.apple.com

بنابراین زمانی که احساس می‌کنید آدرس، کاملاً متناسب با فرستنده نیست، احتیاط کنید.

با این حال، باید توجه داشته باشید که تکنیک‌های پیچیده فیشینگ می‌توانند افراد را با لینک‌ها و آدرس‌هایی که به نظر مشروع به نظر می‌رسند فریب دهند. به عنوان مثال، در نظر بگیرید که حرف کوچکِ اِل (L) که اینگونه نوشته می‌شود: «l» و حرفِ بزرگِ آی: «I» می‌توانند در صفحه کامپیوتر بسیار شبیه به هم به نظر برسند.

آیا می‌توانید تفاوت بین AppIe و Apple را تشخیص دهید؟

اولی با استفاده از حروف بزرگِ آی «i» اشتباه نوشته شده است. در صورت شک کردن، به وب‌سایت واقعی بروید (روی پیوند ارائه شده کلیک نکنید) و نگرانی‌های خود را بررسی کنید. و در مورد دانلود پیوست‌ها یا ضمیمه‌ها چطور؟ پاسخ ساده است: هرگز نباید پیوستی را دانلود کنید که مشکوک به نظر می‌رسد یا از فرستنده ناشناس رسیده است.

در مورد ارتباطات ناخواسته و احتمالاً شرکت‌های جعلی کوشا باشید

در سال ۲۰۱۹، مردی به دلیل کلاهبرداری بیش از ۱۰۰ میلیون دلار از گوگل و فیس بوک با استفاده از یکی از پیچیده ترین طرح‌های فیشینگ که تاکنون ثبت شده است، محکوم شد. در اصل، کلاهبردار یک شرکت جعلی با آدرس‌های ایمیل و فاکتورهای جعلی راه‌اندازی کرد. در واقع، ما می‌توانیم به نمونه‌های دیگری از کلاهبرداری فیشینگ اشاره کنیم که در آن کلاهبرداران با جعل هویت مدیران شرکت مورد نظر، خود را به عنوان کارمندان عالی رتبه معرفی می‌کنند.

برای درخواست‌های غیرمعمول، درخواست‌های پرداخت یا اطلاعات شخصی، کمی مکث کنید

فراتر از اینکه یک درخواست چگونه ارائه می‌شود، حاوی چه چیزی است و چه کسی آن را ارسال می‌کند، گیرندگان باید همیشه این سوال را از خود بپرسند که از آنها خواسته می‌شود چه کاری انجام دهند. نکته کلیدی این است که شک داشته باشید، به ویژه زمانی که شما – به عنوان گیرنده درخواست یا پیام – ارتباط را آغاز نکرده‌اید و به خصوص وقتی در مورد شرکتی که از آن با شما تماس گرفته یا به شما پیام داده شده است، تا به حال چیزی نشنیده‌اید. بعید است که هیچ مدیر اجرایی، مدیر یا مدیر عاملی ناراحت شود اگر یک کارمند سخت کوش بررسی کند که چه کسی ارسال‌کننده واقعی ایمیل است، به ویژه اگر آن ایمیل یا پیام یا تماس خواستار پرداخت یا داده‌های مربوط به شرکت یا اطلاعات شخصی باشد. چه در شرح وضایف جایگاه شغلی شما باشد چه نباشد، ترویج فرهنگ پیشگیری از فیشینگ در کسب‌وکار شما اقدامی هوشمندانه است.

تقاضا برای اطلاعات حساس، از جمله پین ​​کدها و رمزهای عبور، همیشه باید یک پرچم قرمز و یک هشدار در ذهن شما ایجاد کند. به طور مشابه، اگر فرستنده، اطلاعات شخصی مانند تاریخ تولد، آدرس و حتی چیزهای ساده‌ای مانند نام را بخواهد، تحقیقات بیشتر را ایجاب می‌کند. به یاد داشته باشید، فیشینگ نوعی مهندسی اجتماعی است و کلاهبرداران می‌توانند با صبر و حوصله پروفایلی به ظاهر مشروع از کارمندان ایجاد کنند و از اطلاعات به‌دست‌آمده برای فریب دادن افراد، استفاده کنند. در واقع، گفته می‌شود که حدود ۹۶ درصد از حملات فیشینگ برای جمع آوری اطلاعات ایجاد شده‌اند!

برای محافظت از خود، علائم رایج فیشینگ را بدانید

نتیجه این است که در حالی که تلاش‌های فیشینگ گاهی اوقات ممکن است ناشیانه به نظر برسند (ایمیل‌های عجیب و غریب مملو از اشتباهات یا ارتباطات کسب‌وکارهایی که هرگز درباره آن‌ها نشنیده‌اید)، اما مجرمان سایبری امروزی دقیق‌تر هستند و تلاش‌هایشان اغلب هوشمندانه‌تر از آنچه ما انتظار داریم. کلاهبرداران می‌توانند به ویژه در القای حس فوریت (حتی وحشت) از طریق استفاده از زبان و تظاهر به بزرگانِ شرکت که خواستار اقدام سریع و فوری هستند، مهارت داشته باشند. علیرغم پیچیدگی جدید آنها، اقداماتی وجود دارد که همه می‌توانند برای محافظت از خود در برابر تلاش‌های فیشینگ انجام دهند.

بررسی دقیق خطاهای ناشیانه و نشانه‌های آشکار ایمیل‌های غیر معتبر باید اولین قدم واضح باشد. صرف دقایقی برای تأیید صحت فرستنده (بررسی آدرس لینک یا URL)، درخواست اطلاعات بیشتر، تماس با شرکت در صورت لزوم، یک لایه حفاظتی اضافی در برابر کلاهبرداری‌های فیشینگ ایجاد می‌کند. تعهد عمیق تر برای شناسایی و توقف فیشینگ، در گِرویِ آموزش خود و تیمتان است. البته، برای بهترین محافظت در برابر طیف وسیعی از کلاهبرداری‌ها، برای جلوگیری از حملات سایبری و همچنین طعمه فیشینگ، آموزش مداوم باید در کنار استفاده از نرم‌افزار یا سخت‌افزار امنیتی برای سازمان شما پیاده‌سازی شود. اما در هر حال، از تحویل داده‌های حیاتی و درخواست‌های پرداخت خودداری کنید، به‌ویژه اگر از ارتباطات ناخواسته ناشی می‌شوند.

حمله به نهنگ

اگر ۲۱ گام آموزش ارز دیجیتال را در وبسایت کریپتومنتور مطالعه کرده باشید، می‌دانید که در دنیای کریپتو، نهنگ به چه معناست. در کسب‌وکار و امور مالی و مخصوصاً بازار ارزهای دیجیتال، نهنگ یک بازیگر بزرگ، یک فرد یا موسسه با ارزش خالص بالا است که می‌تواند بازارها را در یک لحظه به حرکت درآورد. با این حال، در امنیت سایبری، نهنگ و حمله نهنگ معنای دیگری دارند. حمله به نهنگ، هدف قرار دادن یکی از آن بازیگران بزرگ است، خواه یک شرکت تراشه‌آبی (شرکت بزرگ)، میلیاردر، افراد مشهور یا مؤسسه‌های مشهور باشد. هدف مجرمان سایبری از حمله به نهنگ این است که از توانایی قربانی برای پرداخت مقادیر زیادی باج استفاده کنند، زیرا می‌دانند که ممکن است این کار را برای محافظت از شهرت خود یا برندهایی که نمایندگی می‌کنند انجام دهند.

در حالی که امروزه حمله به نهنگ به مشاغل بزرگ و کوچک آسیب وارد می‌کند، اما دلیل برای این همه خسارت وجود ندارد! یادگیری تشخیص شاخص های اصلی فیشینگ و آموزش کارمندان توسط صاحبان و مدیران شرکت‌ها برای پیشگیری از چنین روزهای دشواری است . مدیران عاقل می‌توانند شیوه های پیشگیری از فیشینگ را در شرکت‌های خود اجرا کنند تا از حملات و کابوس روابط عمومی و دردسرهای گسترده جلوگیری کنند – و به طور بالقوه باعث صرفه‌جویی عظیمی در سازمان‌ها شوند. با آموزش و پیشگیری، حمله به نهنگ می‌تواند به یک کار بیهوده تبدیل شود، در حد یک هک ساده.

همه انواع حملات جرم است و ضمناً فرقی نمی‌کند این حملات متوجه مدیران ارشد، صاحبان مشاغل کوچک یا فقط پرسنل رده‌پایین شرکت شما باشد، افرادی هستند که حمله به نهنگ را موضوعی بحث‌برانگیز می‌دانند. به این دلیل که در بسیاری از موارد، حملات نهنگ کمتر گزارش می‌شود. در نگاه اول، ممکن است عجیب به نظر برسد که کسب‌وکارها حمله به نهنگ را فوراً گزارش نمی‌کنند، اما منطقی در آن وجود دارد: برخی از این افراد و شرکت‌های قربانی ممکن است معتقد باشند که بهتر است به جای اعتراف به اینکه در معرض خطر قرار گرفته اند، سکوت کنند و تسلیم خواسته‌های هکرها شوند.

چرا معمولا حمله به نهنگ گزارش نمی‌شود؟

اگر شهرت یا وجه عمومی مدیران یا شرکت‌های بزرگ، لکه دار شود، چیزهای زیادی برای از دست دادن دارند. تیم روابط عمومی آنها و هیئت مدیره شرکت آنها ممکن است احساس کنند که پرداخت باج به باندهای تبهکار می‌تواند هزینه کمتری نسبت به آسیب رساندن به برند شرکت یا ایجاد افت ارزش سهام پس از اعلامِ قربانی‌شدن توسط یک حمله سایبری جدی داشته باشد. در حالی که هر کسی ممکن است قربانی یک حمله سایبری شود، ۵۰۰ شرکتِ فورچون و سایر کسب‌وکارهای بزرگ ممکن است معتقد باشند که بالاتر از چنین کلاهبرداری‌هایی هستند. آنها ممکن است احساس کنند برای تسلیم شدن در برابر چنین رویدادهایی بیش از حد باهوش، بسیار زرنگ و یا بسیار ایمن هستند.

بنابراین در حالی که برخی از شرکت‌ها و افراد سعی می‌کنند قربانی شدن را پنهان کنند، حقیقت اغلب آشکار می‌شود. شرکت‌ها ممکن است نیاز به پذیرش عمومی داشته باشند، شاید به دلیل ترس از نشت اطلاعات در رسانه‌ها ممکن است آنها را مجبور کند که در نهایت به هر حال شفاف شوند. در موارد دیگر، ممکن است شرکت ها موظف به گزارش تخلفات امنیتی یا سایر موارد باشند. در واقع، اکثر شرکت‌های فورچون ۵۰۰ و شرکت های سهامی عام طبق قانون ملزم به گزارش حوادث امنیت سایبری هستند. دولت بایدن با صدور فرمان اجرایی در سال ۲۰۲۱ این رویه را تمدید کرد. این فرمان بیان می کند که هر شرکتی که با دولت فدرال در رابطه‌ای تجاری است باید فوراً نقض امنیتی را گزارش کند. این علاوه بر مقررات SEC مربوط به سال ۲۰۱۲ است که شرکت‌های دولتی را مجبور می‌کند حملات سایبری را به تنظیم‌کننده‌ها گزارش دهند و تغییراتی را که برای محافظت از خود و مشتریانشان در آینده انجام خواهند داد، تعیین کنند. کسب‌وکارهایی که در کشورهای امضاکننده GDPR اروپا هستند نیز طبق قانون ملزم به گزارش برخی موارد نقض داده‌ها هستند. امتناع از گزارش چنین تخلفاتی می‌تواند جریمه‌ای ۱۰ میلیون یورویی (تقریباً ۱۰.۵ میلیون دلار) یا ۲ درصد از گردش مالی سالانه شرکت را به همراه داشته باشد.

اما این سوال باقی می‌ماند: اگر قوانینی وجود دارد که گزارش حملات سایبری و تخلفات را الزامی می‌کند، چرا شرکت ها سعی می‌کنند آن را پنهان کنند؟ پاسخ ساده نیست. از یک طرف، ممکن است شرکت یا فرد از وظیفه گزارش‌دهی آگاه نباشد، اگرچه این امر به طور آشکاری بعید به نظر می‌رسد. از سوی دیگر، این احتمال وجود دارد که امتناع از گزارش حملات سایبری یک تصمیم اعتباری یا مالی باشد. قیمت سهام معمولاً زمانی کاهش می‌یابد که اخباری مبنی بر نقض اطلاعات در یک شرکت بزرگ وجود داشته باشد. به عنوان مثال، نقض داده‌های Capital One در سال ۲۰۱۹ دلیل کاهش ۶ درصدی سهام شرکت خدمات مالی بود که این نقض به طور عمومی گزارش شد و این رقم در هفته‌های پس از آن بیش از دو برابر شد و به تقریباً ۱۴ درصد رسید. همچنین مطالعات نشان داده است که آسیب مالی به اعتبار شرکت می‌تواند طولانی مدت باشد.

با این حال، زمانی که شرکت ها گزارش نمی‌دهند، در حقیقت با آتش بازی می‌کنند. در سال ۲۰۱۷، مشخص شد که اوبر یک نقض گسترده داده‌ها را که میلیون‌ها مشتری را در سراسر جهان تحت تأثیر قرار داده بود، پنهان کرده است. همچنین مشخص شد که شرکت ride-share مبلغ ۱۰۰۰۰۰ دلار به هکرها پرداخت کرده است تا اطلاعات را حذف کنند و در مورد حمله سکوت کنند. این پذیرش باعث شد تا جو سالیوان، مدیر ارشد امنیت اوبر، کارش را از دست بدهد و دارا خسروشاهی، مدیر عامل شرکت اوبر را مجبور کرد تا از مشتریان و سرمایه گذاران عذرخواهی کند. بنابراین، سوال نباید این باشد که چرا شرکت‌ها حمله سایبریِ حمله‌به‌نهنگ را گزارش نمی‌کنند. سوال باید این باشد: چگونه شرکت‌ها و افراد می‌توانند از وقوع حملات نهنگ در وهله اول جلوگیری کنند.

هک و نقض داده‌ها می‌تواند برای مدیران شرم آور باشد

کلاهبرداری می‌تواند برای مدیران و سازمان‌ها شرم‌آور باشد، به‌ویژه زمانی که سهل‌انگاری مدیر عامل یا سایر اعضای c-suite (مدیران ارشد) منجر به این حادثه شده است. به عنوان مثال، صندوق پوشش ریسک (Hedge Fund) استرالیایی در سال ۲۰۲۰ را در نظر بگیرید، که ۸.۷ میلیون دلار در یک حمله فیشینگ از دست داد. هکرها توانستند با ارسال یک لینک دعوت جعلی از طریق Zoom – یک تاکتیک فیشینگ معمولی در طول همه‌گیری کرونا، صندوق را به خطر بیندازند. این لینک توسط یک کارمند رده‌پایینِ بی‌دقت باز نشد، بلکه توسط یکی از بنیانگذاران صندوق باز شد. دعوت جعلی به هکرها اجازه می داد تا نرم افزار مخرب را نصب کنند، که به نوبه خود آنها را قادر می‌ساخت یک سری فاکتورهای جعلی را در سیستم ایمیل صندوق ایجاد کنند. علاوه بر این، هیچ زنگ خطری وجود نداشت: مدیران اجرایی در صندوقِ پوششی تنها پس از بررسی حساب بانکیِ صندوق و آگاه شدن از گم شدن میلیون‌ها دلار، متوجه شدند که سیستم‌های آنها مورد حمله قرار گرفته است.

این یک هشدار جدی است که تمام آن چیزی که هکرها برای شروع یک حمله پیچیده به آن نیار دارند این است که دَربی کمی باز بماند! و حتی چیزی به ظاهر ناچیز مانند لینک Zoom می تواند به عنوان یک درِ ورود عمل کند.

اغلب اوقات، هنگامی که یک رویداد جدی حمله‌به‌نهنگ رخ می‌دهد، کاسه‌ها و کوزه‌ها، سرِ بالاترین اشخاص مسئول، مانند مدیر عامل یا سایر مدیران اجرایی مانند CTO یا CXO، می‌شکند. این مورد در اتریش در سال ۲۰۱۶ اتفاق افتاد، زمانی که هکرها از نوعی کلاهبرداری، معروف به حادثه رئیس جمهور جعلی استفاده کردند و در یک سری ایمیل، خود را به عنوان مدیر عامل شرکت هوافضا (FACC) جا زدند. کلاهبرداران توانستند با استفاده از تکنیک های پیچیده فیشینگ، حدود ۴۷ میلیون دلار از FACC کلاهبرداری کنند. پس از علنی شدن این حادثه، هیئت مدیره به اخراج والتر استفان، مدیر عامل شرکت رای داد.

هدف قرار دادن ماهی‌های کوچکتر

تنها شرکت های بزرگ در معرض خطر حملات نهنگ قرار ندارند. بلکه داستان یک فرد ناشناس هم در سال ۲۰۱۹ در رادیو NPR منتشر شد. مارک (نام واقعی شخصِ مورد نظر، این نیست) با درخواست برای پنهان کردن هویت خود، از شرمساری ناشی از فریب خوردن توسط هکرها در کلاهبرداری‌های فیشینگ صحبت کرد و اینکه چگونه معتقد بود افشای حقیقت به او و کسب‌وکارش در حوزه املاک و مستغلات در سیاتل آسیب می‌رساند. این داستان نشان می‌دهد که هکرها چگونه با صبر و حوصله مکاتبات و مکالمات بین مارک و همکار او را تماشا می‌کردند و گوش می‌دادند و در فرصت مناسب ۵۰۰۰۰ دلار را به حساب خود هدایت کردند. این نمونه‌ای از روند رو به رشد BEC (در معرض خطر قرار گرفتنِ ایمیلِ کاری business email compromise) است که از تاکتیک‌های حمله‌به‌نهنگ برای هدف قرار دادن مشاغل و افراد سرشناس به حساب می‌آید.

بازپس‌گرفتن پول – نادر پس از حمله به نهنگ

مسئله برخورد مستقیم با هکرها یا مطلع کردنِ مقامات بارها و بارها مطرح می‌شود. جالب توجه اینکه مطالعات نشان داده است که کسانی که پس از حملهٔ باج‌افزار، مبالغی به مجرمان پرداخت می کنند، احتمالاً توسط حمله مجدد دیگری مورد حمله قرار می گیرند! موارد نادری وجود دارد که بخت با قربانی یار باشد و پول خود را پس بگیرد. این موضوع در مورد شرکت اسباب بازی ماتل اتفاق افتاده بود. ۳ میلیون دلار در یک حادثه رئیس جمهور جعلی به سرقت رفت، این بار از طریق یک عملیات پیچیده از چین. اما با کمی شانس، متل توانست با FBI و مقامات چینی برای مسدود کردن حساب‌های هکرها و پس گرفتن پول همکاری کند.

چرخیدن در بزرگان

اما مورد ماتل، متأسفانه، یک امر استثنا است. حتی برندها و افرادِ با دانش فنی می‌توانند مقادیر هنگفتی پول را از طریق حملات حمله‌به‌نهنگ در معرض خطر قرار دهند. این سرنوشت شرکت فناوری شبکه Ubiquiti Networks Inc بود که به دلیل فیشینگِ ارتباطات مدیران، ۴۶.۷ میلیون دلار از دست داد. همانطور که قبلا ذکر شد، بسیاری از شرکت ها مجبور به گزارش هک‌ها هستند و Ubiquiti یکی از آنها بود. در این مورد، شرکت مجبور شد در پرونده های فصلی خود در تابستان ۲۰۱۵، حمله به نهنگ را به SEC گزارش دهد.

امنیت ایمیل همیشه باید یکی از اولویت‌های سازمان‌هایی باشد که مانند شرکت های Fortune 500 مبالغ هنگفتی انتقال می‌دهند. همانطور که تا کنون نشان داده‌ایم، کمپین‌های فیشینگ نهنگ معمولاً پیچیده، به‌خوبی‌تعریف‌شده و با حوصله اجرا می‌شوند. این در سال ۲۰۱۵ در مورد معامله‌گر کالا Scoular آشکار بود که پس از فریب یک مدیر اجرایی توسط یک سری ایمیل‌های پیچیده که ادعا می‌کرد در حال اجرای یک معامله M&A (ادغام و تصاحب) هستند، ۱۷ میلیون دلار از دست داد. این پول سپس ناپدید شد، زیرا این باند متفکر تبهکار از یک سری آدرس ایمیل جعلی در سراسر اروپا و خاورمیانه، سرورهای روسیه و یک آدرس بانک جعلی در شانگهای استفاده کرد.

حملات نهنگ می‌تواند داده‌ها را بر پول نقد اولویت دهد

به دلایل مختلف، هکرها ممکن است همیشه پول نقد را هدف اصلی خود قرار ندهند، حداقل نه مستقیم. زمانی که اسنپ‌چت در سال ۲۰۱۶ با نقض اطلاعات مواجه شد، هکرهای حمله‌به‌نهنگ زمانی که به دنبال دسترسی به داده‌های حقوق و دستمزد بسیاری از کارمندان آن بودند، اطلاعات را هدف قرار دادند نه پول نقد. این بار نیز هکرها خود را جای مدیر عامل جا زدند. هکرها در تبادل ایمیل با بخش منابع انسانی وانمود می کردند که اوان اشپیگل (مدیرعامل) هستند. این اتفاق، که برای یک شرکت ظاهراً متبحر در فناوری مانند Snapchat شرم آور بود، آن را مجبور کرد برای همه کارکنان آسیب‌دیده دو سال بیمه سرقت هویت رایگان ارائه دهد.

به طور مشابه، در همان سال، داده‌های کارگران در سیگیت، یک شرکت بزرگ فناوری S&P500، پس از اینکه یکی از کارمندان در معرض کلاهبرداری ایمیلی قرار گرفت، توسط مجرمان سایبری به سرقت رفت. آن کارمند، ناخواسته سوابق همکاران (گذشته و حال) را ارسال کرد که برای اهداف مالیاتی استفاده می‌شود. در آن زمان، کارشناسان ادعا کردند که افراد آسیب‌دیده ممکن است در سال‌های آینده بخاطر تقلب در بازپرداخت مالیات آسیب ببینند.

اهداف بزرگ برای سودهای بزرگ – چرا حمله به نهنگ جواب می‌دهد

هکرها هر چیزی هستند جز احمق. در واقع، درک آنها از روانشناسی، اغلب می‌تواند به موفقیت حملات آنها کمک کند. برای مثال، آن‌ها می‌دانند که کلاهبرداری‌های جسورانه مانند تظاهر به مدیرعاملیِ یک شرکتِ فورچون‌۵۰۰ می‌تواند به خوبی عمل کند. زیرا اگر کارمندان درخواست‌های عجیب و غریب از طریق ایمیل یا سایر ارتباطات را از مقامی بالاتر از خود دریافت کنند، کمتر احتمال دارد که «رئیس» را زیر سوال ببرند یا به چالش بکشند. علاوه بر این، هکرها می‌دانند که این شرکت‌ها اغلب پول نقد هستند! و عادت دارند با فشار دادن یک دکمه مقادیر زیادی پول برای مشتریان و شرکا ارسال کنند. این یکی از دلایل رایج بودن حملات نهنگ است و به همین دلیل است که برخی از جسورانه ترین کلاهبرداری ها با موفقیت انجام می‌شوند.

شما برای شرکت، سازمان یا حتی کسب‌وکار کوچک خود چه نکات امنیتی‌ای را رعایت می‌کنید؟

کلاهبرداری با استفاده از قرارداد هوشمند توکن

اِتِریوم Ethereum این امکان را برای افراد و شرکت‌ها و نرم‌افزارها و حتی بازی‌های موبایلی و کامپیوتری فراهم می‌نماید که بر بستر بلاکچینِ اتریوم، برای خود یک ارز دیجیتال بسازند! یعنی علاوه بر اینکه افراد می‌توانند اتریوم را به عنوان یک رمزارز بر بستر بلاکچین اتریوم جابجا نمایند، رمزارزهای دیگری نیز بر روی بلاکچین اتریوم قابلیت طراحی و ساخت و نقل و انتقال دارند.

اتریوم چگونه این امکان را فراهم کرده است؟

اتریوم با توسعه و طراحیِ یک زبان سادۀ برنامه نویسی به نام سالیدیتی Solidity، اشخاص را قادر ساخته است که رمزارزی با نام و نماد دلخواه خود را خیلی ساده و سریع (ظرف چند دقیقه به شرط آشنایی کلی با زبان سالیدیتی) برنامه نویسی نمایند. به این کُد‌های برنامه نویسی شده توسط اشخاص قرارداد هوشمند یا اِسمارْت کانتِرَکْت Smart Contract گفته می‌شود. چون در این کدها یا قراردادها، هر شخصی برای انجام تراکنش یا تایید آن یا نحوه یا میزان پرداخت کارمزد توسط کاربران (و خیلی موارد متنوع و دلخواه دیگر) شرایطی را قرار داده (همانند یک قرارداد) که به شکل خودکار و اتوماتیک (هوشمند) بین دو طرفِ یک تراکنش (فرستنده رمزارز و گیرنده رمزارز) اجرا می‌گردد. یعنی اشخاصی که این نوع رمزارزها را بین همدیگر جابجا می‌کنند تابعِ شرایطِ قراردادِ هوشمندِ همان رمزارزها هستند.

ضمناً به خاطر بسپارید که در بازار رمزارزها به چنین رمزارزهایی که با این روش ساخته می‌شوند، «توکِن Token» گفته می‌شود. در حقیقت، توکن یک نوع رمزارز است که بلاکچین اختصاصی ندارد و روی یک بلاکچین موجود، ساخته و میزبانی می‌گردد و به عبارت دیگر، میهمانهای بلاکچین‌های موجود هستند. از طرف دیگر، به رمزارزهایی که بلاکچین مخصوص به خود دارند نیز «کویْن Coin» می‌گویند. پس رمزارزهای بیتکوین (BTC) و لایتکوین (LTC) و اتریوم (ETH) همگی کوین به حساب می‌آیند.

چند نمونه از رمزارزهای معروفی که به شکل یک توکن بر بستر بلاکچین اتریوم طراحی و متولد شده‌اند عبارت است از:

• یونی‌سوآپ Uniswap با نماد UNI
• شیبا اینو Shiba Inu با نماد SHIB
• دیسِنْتْرالَند Decentraland با نماد MANA
• سَنْدباکْس Sandbox با نماد SAND

توجه داشته باشید که تقریباً تمام بلاکچین‌های دیگری که بعد از اتریوم متولد شده‌اند، همانند اتریوم امکان قراردادهای هوشمند را دارند و اشخاص، پروژه‌ها و شرکت‌ها می‌توانند توکن‌های مورد نظر خود را به جای اتریوم، روی یکی از بلاکچین‌های دیگر بسازند. چند نمونه از این بلاکچین‌ها به قرار زیر است:

• سولانا که به قاتل اترویم معروف است
• اپتوس، تازه واردی که به قاتل سولانا معروف شده است!
• آوالانچ
• بایننس اسمارت چین
• بایننس بیکن چین

آگاه باشید که هر شخصی این امکان را دارد که به کمک قراردادهای هوشمند برای خودش یک توکن بسازد. در این میان افرادی سودجو برخی توکن‌ها را طوری برنامه نویسی می‌نمایند که سوءاستفاده از قرارداد هوشمند برایشان ممکن باشد. متاسفانه امروزه اغلب افراد بدون توجه به مفاد قراردادهای توکن‌ها (قراردادهای هوشمند)، «بعضی» از این توکن‌ها را می‌خرند و هیچ وقت نمی‌توانند بفروشند!، زیرا در شرایط آن قرارداد هوشمند چنین بندی برنامه نویسی و کدنویسی نشده است! درست است که معمولاً افراد توانایی خواندن کدهای برنامه نویسی شده و درکِ ساز و کارِ دقیقِ قراردادهای هوشمندِ هر یک از توکن‌ها را ندارند اما با کمی جستجو و مطالعه در مورد هر توکن می‌توانید متوجه شوید که سرمایه‌گذاری در هر توکن چه میزان ریسک به همراه دارد. ضمناً در این خصوص می‌توانید از یک متخصص نیز راهنمایی بگیرید.

در مبحث امنیت سایبری، توجه به این نکته مهم است که اگر برنامه‌های افزودنی مرورگر (Add-Ons, Extensions, Plugins) به درستی بررسی نشوند، می‌توانند خطرات امنیتی قابل توجهی را به همراه داشته باشند. این به این دلیل است که برنامه‌های افزودنی به داده‌های حساس مانند سابقه یا تاریخچه مرور وب (وبسایت‌هایی که بازدید کرده‌اید)، اطلاعات محرمانه ورود به سایت‌ها و اطلاعات شخصی دسترسی دارند. از افزونه‌های مخرب می‌توان برای سرقت این داده‌ها یا تزریق کد مخرب به وب‌سایت‌ها استفاده کرد.

بسیاری از افزونه‌های استخراج ارز دیجیتال سعی می‌کنند کاربران را مجبور به دانلود یا بارگیری ماینر یا نرم‌افزارهای استخراج ارز دیجیتال کنند. این ماینرها در پس زمینه موبایل یا کامپیوترِ قربانی کار می‌کنند و استفاده از CPU آنها را بالا می‌برند. یک حمله موفق می‌تواند منجر به افت شدید عملکرد دستگاه قربانی شود.

علاوه بر این، بسیاری از پلاگین‌ها (اَدآن، یا افزونه ها)، کدگذاری ضعیفی دارند و دارای آسیب پذیری‌هایی هستند که می‌توانند توسط مهاجمان مورد سوء استفاده قرار گیرند. این می‌تواند منجر به انواع مسائل امنیتی، از جمله اجرای کد از راه دور، کی لاگینگ، استخراج داده‌ها و دسترسی غیرمجاز به حساب‌های کاربری شود. برای به حداقل رساندن خطر نقض امنیتی، توصیه می‌شود که کاربران فقط افزونه‌ها را از منابع معتبر دانلود کنند و مجوزهای درخواستی هر افزونه را به دقت بررسی کنند.

همچنین کاربران باید به طور مرتب لیست افزونه‌های نصب شده خود را بررسی کنند و هر کدام را که دیگر مورد نیاز نیستند یا مدت طولانی به روز نشده‌اند را حذف کنند. علاوه بر این، کسب‌وکارها باید خط‌مشی‌ها و رویه‌های روشنی برای استفاده از برنامه‌های افزودنی مرورگر داشته باشند، از جمله دستورالعمل‌هایی که نشان دهند کدام افزونه‌ها مجاز هستند و چگونه باید بررسی شوند. این کار می‌تواند تضمین کند که تمام برنامه‌های افزودنی مورد استفاده توسط کارکنان، ایمن هستند و حداقل خطر را برای سازمان به همراه دارند. در غیر اینصورت ممکن است بر اساس خبری که در ارزاخبار منتشر شده، مشکلاتی که برای برخی از حساب‌های تجاری فیسبوک پیش آمد، برای آنها نیز اتفاق بیفتد.

پس از راه‌اندازی یک سازمان خودگردان غیرمتمرکز یا دائو، تغییر کدِ آن دشوار است، از جمله رفع اشکال (Debugging). اصلاحات یک DAO مستلزم نوشتن کد جدید و توافق برای انتقال همه وجوه است. اگرچه کد برای همه قابل مشاهده است، اما رفع اشکال آن دشوار است، بنابراین راه برای سوئاستفاده از حفره‌های امنیتی شناخته شده  باز می‌ماند، مگر آنکه برای امکان پذیریِ رفع اشکال، پروژه دائو برای مدتی به شکل کامل متوقف شود.

در سال ۲۰۱۶، یک دائو به نام «The DAO» رکوردی را برای بزرگترین کمپین تامین مالی جمعی تا به آن روز ثبت کرد. محققان مشکلات متعددی را در مورد کد DAO شناسایی کردند. رویه عملیاتی DAO به سرمایه‌گذاران این امکان را می‌داد که هر پولی را که هنوز به پروژه‌ای تعهد نکرده بودند، به میل خود برداشت کنند. بنابراین وجوه می‌توانست به سرعت تخلیه شود. مجموع مشکلات فنی The DAO باعث شد تا در اواسط ژوئن ۲۰۱۶، تلاش‌های گسترده‌ای برای برداشت وجوه از آن آغاز شود. در ۲۰ ژوئیه ۲۰۱۶، بلاک‌چین اتریوم مجبور شد قرارداد اصلی خود را از طریق یک هارد فورک نجات دهد زیرا The DAO بر بستر بلاکچین اتریوم ساخته شده بود و قسمت بزرگی از ایراد فنی مذکور مربوط به کدهای بلاکچین اتریوم بود!

DAO‌ها می‌توانند در معرض کودتاها یا تصرفات خصمانه‌ای قرار گیرند که ساختار رأی دهی آن را تغییر می‌دهد، به خصوص اگر قدرت رأی گیری بر اساس تعداد توکن‌هایی باشد که شخص در اختیار دارد. نمونه‌ای از این در سال ۲۰۲۲ رخ داد، زمانی که یک فرد به اندازه کافی توکن جمع آوری کرد تا به خود کنترل رای بر Build Finance DAO بدهد و سپس از آن برای تخلیه تمام پول DAO استفاده کرد.

rug pull نوعی از کلاهبرداری ارزدیجیتال است که زمانی اتفاق می‌افتد که یک تیم قیمتِ توکن پروژه خود را قبل از ناپدید شدن و بردنِ وجوه، بالا می‌برد و سرمایه‌گذاران خود را با یک دارایی بی‌ارزش رها می‌کنند.

کشیدن فرش زمانی اتفاق می‌افتد که توسعه‌دهندگان متقلب، یک توکن رمزنگاری جدید ایجاد می‌کنند، قیمت را بالا می‌برند و سپس قبل از اینکه قیمت آن‌ به صفر برسد، ارزش بیشتری را از آن خارج کنند. کشیدن فرش نوعی کلاهبرداری خروج از بازار و یک سوء استفاده از امور مالی غیرمتمرکز (DeFi) است.

قبل از اینکه یاد بگیرید چگونه یک راگ پول را در بازار رمزارزها تشخیص دهید و چرا کشیدن فرش رخ می‌دهد، درک سه نوع مختلف فرش کشی به یادگیری این موضوع کمک می‌کند.

انواع راگ پول یا قالی کشی چیست؟

سه نوع اصلی فرش کشی در کریپتو وجود دارد: سرقت نقدینگی، محدود کردن سفارش‌های فروش و دامپینگ.

سرقت نقدینگی زمانی اتفاق می‌افتد که سازندگان توکن تمام کوین‌ها را از استخر نقدینگی خارج کنند. انجام این کار تمامِ ارزش تزریق شده توسط سرمایه‌گذاران به آن رمزارز را حذف می‌کند و قیمت آن را به صفر می‌رساند. این «بیرون کشیدن نقدینگی» معمولا در محیط‌های DeFi اتفاق می‌افتد. فرش کشی در DeFi رایج ترین کلاهبرداری خروج از بازار است.

محدود کردن سفارشات فروش یک راه ظریف برای یک توسعه‌دهنده مخرب برای کلاهبرداری از سرمایه‌گذاران است. در این شرایط، توسعه‌دهنده توکن‌ها را کدگذاری می‌کند تا تنها طرفی باشد که می‌تواند آنها را بفروشد. سپس توسعه‌دهندگان منتظر می‌مانند تا سرمایه‌گذاران خرد با استفاده از جفت ارزهای مختلف، کریپتویِ جدید خود را خریداری کنند. ارزهای جفت شده دو ارزی هستند که برای معامله جفت شده‌اند، یکی در برابر دیگری. هنگامی که به اندازه کافی روند مثبت قیمت وجود دارد، کلاهبرداران معاملات خود را رها می‌کنند و یک توکن بی ارزش پشت سر خود باقی می‌گذارند. کلاهبرداری Squid Token نمونه‌ای از فرش کشی از این نوع است.

دامپینگ زمانی اتفاق می‌افتد که توسعه‌دهندگان به سرعت ذخایر بزرگ توکن‌های خود را بفروشند. انجام این کار قیمت ارز دیجیتال را پایین می‌آورد و سرمایه‌گذاران باقی مانده را با در دست داشتن توکن‌های بی ارزش تنها می‌گذارد. «دامپینگ» معمولاً پس از تبلیغ شدید در شبکه‌های اجتماعی رخ می‌دهد. افزایش ناگهانی قیمت و فروش ناشی از آن به عنوان «پامپ و دامپ» شناخته می‌شود. اصطلاحاتی که معمولاً در مورد «افزایش ناگهانی قیمت» به کار برده می‌شود عبارت است از:

• پامپ Pump
• اسپایک Spike
• هایک Hike
• هایپ Hype

به طور کلی، خرید و فروش رمزارز توسط خودِ توسعه دهندگان آن رمزارز، غیراخلاقی نیست. اما اینکه چه مقدار و ظرف چه مدت این فروش انجام شود تا دامپینگ اتفاق نیافتد مهم است.

کشیدن سخت در مقابل کشیدن نرم

کشیدن فرش به دو صورت سخت و نرم وجود دارد. کدهای مخرب و سرقت نقدینگی کشیدن‌های سختی هستند، در حالی که کشیدن‌های نرم به تخلیه دارایی اشاره دارد.

کشیدن فرش می‌تواند “سخت” یا “نرم” باشد. زمانی که توسعه‌دهندگان پروژه، درهای پشتی مخرب (Backdoors) را در توکن خود کد می‌کنند، کشیدن سخت رخ می‌دهد. درهای پشتی مخرب، سوء استفاده‌های پنهانی هستند که توسط توسعه دهندگان در قرارداد هوشمند پروژه کدگذاری شده‌اند. قصد ارتکاب کلاهبرداری از همان ابتدا مشخص است. سرقت نقدینگی نیز کشیدن سخت در نظر گرفته می‌شود.

کشیدن نرم به توسعه دهندگان توکن اشاره دارد که دارایی‌های رمزنگاری خود را به سرعت تخلیه می‌کنند. انجام این کار، یک توکن به شدت بی ارزش شده را در دست بقیه سرمایه‌گذاران ارزهای دیجیتال باقی می‌گذارد. در حالی که دامپینگ هم غیراخلاقی است، اما ممکن است به اندازه کشیدن‌های سخت، یک عمل مجرمانه به حساب نیاید.

آیا راگ پول در بازار کریپتو غیرقانونی است؟

قالی کشی همیشه غیرقانونی نیست، اما همیشه غیراخلاقی است.

قالی کشی سخت غیرقانونی است. قالی کشی نرم غیراخلاقی است، اما همیشه غیرقانونی نیست. به عنوان مثال، اگر یک پروژه رمزنگاری وعده اهدای خیرخواهانه وجوه را بدهد اما در عوض، وجوه را برای خود نگه دارد، غیراخلاقی است اما غیرقانونی نیست. در هر صورت، مانند بیشتر فعالیت‌های کلاهبرداری در صنعت کریپتو، ردیابی و پیگرد قانونی هر دو نوع آن می‌تواند چالش برانگیز باشد.

فروپاشی صرافی ارزهای دیجیتال Thodex در ترکیه نمونه‌ای بارز از قالی کشی در بازار کریپتو است. سرقت ۲ میلیارد دلاری یکی از بزرگ‌ترین سرقت‌های قالی کشی در سال ۲۰۲۱ بود. همچنین یکی از بزرگ‌ترین کلاهبرداری‌های خروج از بازار در امور مالی متمرکز (CeFi) در تاریخ است.

اگرچه پلیس ترکیه ۶۲ نفر را در جریان تحقیقات خود در مورد این کلاهبرداری بزرگ بازداشت کرد، اما محل اختفای عامل اصلی هنوز مشخص نیست.

دیگر نمونه‌های اخیر پروتکل‌هایی که از این نوع قالی کشی رنج می‌برند عبارتند از Meerkat Finance، AnubisDAO، Compounder Finance و Uranium Finance.

چگونه از قالی کشی در بازار کریپتو جلوگیری کنیم؟

چندین نشانه واضح وجود دارد که سرمایه‌گذاران می‌توانند برای محافظت از خود در برابر این کلاهبرداری استفاده نمایند. عدم قفل شدن نقدینگی و عدم انجام حسابرسی خارجی دو مورد از زاههای تشخیص اشت.

در زیر شش نشانه وجود دارد که کاربران باید برای محافظت از دارایی‌های خود در برابر آسیب‌های فرش کریپتو مراقب آن باشند.

۱- توسعه دهندگان ناشناس یا گمنام

سرمایه‌گذاران باید اعتبار افراد پشت پروژه‌های جدید ارز دیجیتال را در نظر بگیرند. آیا توسعه دهندگان و مروجین در جامعه کریپتو شناخته شده‌اند؟ سابقه آنها چیست؟ اگر تیم توسعه‌دهنده مورد تایید قرار گرفته است اما به خوبی شناخته شده نیست، آیا هنوز موجه به نظر می‌رسند و می‌توانند به وعده‌های خود عمل کنند؟

سرمایه‌گذاران باید نسبت به حساب‌ها و پروفایل‌های رسانه‌های اجتماعی جدید و جعلی شک کنند. کیفیت وایت پیپر، وب‌سایت و سایر رسانه‌های پروژه باید سرنخ‌هایی درباره مشروعیت کلی پروژه ارائه دهد.

توسعه دهندگان ناشناسِ یک پروژه می‌توانند یک پرچم قرمز باشند. درست است که ارز دیجیتال اصلی و بزرگ جهان توسط ساتوشی ناکاموتو، که تا به امروز ناشناس باقی مانده است، ساخته شده است، اما زمان در حال تغییر است.

۲- هیچ نقدینگی قفل نشده است

یکی از ساده‌ترین راه‌ها برای تشخیص یک ارز دیجیتال کلاهبرداری از یک ارز دیجیتال موجه این است که بررسی کنید آیا نقدینگی آن رمزارز قفل شده است یا خیر. بدون قفل نقدینگی در عرضه توکن، هیچ چیز مانع از پایان یافتنِ کل نقدینگی خالقان پروژه نمی‌شود.

نقدینگی از طریق قراردادهای هوشمندِ قفل شده با زمان تضمین می‌شود، که به طور ایده‌آل سه تا پنج سال از عرضه اولیه توکن طول می‌کشد. در حالی که توسعه‌دهندگان می‌توانند قفل‌های زمان خود را به صورت سفارشی تنظیم کنند، قفل‌های شخص ثالث می‌توانند آرامش بیشتری را فراهم کنند.

سرمایه‌گذاران همچنین باید درصدِ قفل شده از استخر نقدینگی را بررسی کنند. قفلِ نقدینگی فقط به نسبت مقدار نقدینگی‌ای که تضمین می‌کند مفید است. این رقم که به عنوان مقدار کل قفل شده (TVL) شناخته می‌شود، باید بین ۸۰ تا ۱۰۰ درصد باشد.

۳- محدودیت در سفارشات فروش

یک بازیگر بد می‌تواند کدی را برای محدود کردن توانایی فروش سرمایه‌گذاران در نرم‌افزار آن رمزارز بنویسد. این محدودیت‌های فروش نشانه‌های بارز یک پروژه کلاهبرداری هستند.

از آنجایی که محدودیت‌های فروش در کد دفن شده‌اند، تشخیص اینکه آیا فعالیت تقلبی وجود دارد یا خیر، دشوار است. یکی از راه‌های آزمایش این است که مقدار کمی از کوین جدید را خریداری کنید و بلافاصله اقدام به فروش آن کنید. اگر مشکلی در فروش کوین خریداری شده وجود داشته باشد، احتمالاً پروژه یک کلاهبرداری است.

۴- حرکت سرسام آور قیمت با تعداد کمِ دارندگان توکن (Holders)

نوسانات شدید ناگهانی قیمت یک ارز دیجیتال جدید را باید با احتیاط بررسی کرد. متأسفانه اگر توکن نقدینگی، قفل نشده باشد، این موضوع صادق است. افزایش قابل توجه قیمت در رمزارزهای‌های DeFi جدید اغلب نشانه‌هایی از “پامپ” قبل از “دامپ” است.

سرمایه‌گذارانی که در مورد حرکت قیمت رمزارز تردید دارند، می‌توانند از یک مرورگر بلاک (مثلا bscscan.com) برای بررسی تعداد دارندگان رمزارز استفاده کنند. تعداد کمِ دارندگان، توکن را مستعدِ دستکاری قیمت می‌کند. تعداد کمِ دارندگان توکن همچنین می‌تواند به این معنی باشد که چند نهنگ می‌توانند معاملات خود را رها کرده و به ارزش کوین آسیب جدی و فوری وارد کنند.

۵- بازدهی مشکوک بالا

اگر چیزی خیلی خوبتر از آنچه هست به نظر می‌رسد، احتمالاً همینطور است. اگر بازده یک کوین جدید به طور مشکوکی بالا به نظر می‌رسد، اما به نظر نمی رسد که یک قالی کشی باشد، احتمالاً یک طرح پونزی است.

زمانی که توکن‌ها بازدهی درصدی سالانه (APY) خود را سه رقمی اعلام می‌کنند، اگرچه لزوماً نشان‌دهنده کلاهبرداری نیست، این بازده‌های بالا معمولاً به همان اندازه ریسک بالا معنی می‌شوند.

۶- بدون ممیزی خارجی

در حال حاضر یک روش استاندارد برای ارزهای دیجیتال جدید وجود دارد که در آن فرآیند حسابرسیِ رسمیِ کد توسط یک شخص ثالث معتبر انجام می‌شود. یک مثال بدنام یعنی تتر (USDT)، یک استیبل کوین متمرکز می‌باشد که تیم آن نتوانسته بود دارایی‌های بدون پشتوانه فیات را افشا کند. ممیزی مخصوصاً برای ارزهای غیرمتمرکز کاربرد دارد، جایی که حسابرسی پیش‌فرض برای پروژه‌های DeFi ضروری است.

با این حال، سرمایه‌گذاران بالقوه نباید صرفاً گفته تیم توسعه مبنی بر اینکه حسابرسی انجام شده است را قبول کنند. حسابرسی باید توسط شخص ثالث قابل تأیید باشد و نشان دهد که هیچ چیز مخربی در کد پیدا نشده است.

کشف یک کلاهبرداری از نوع فرش کشی: کمی‌کند و کاو نیاز دارد

در سال ۲۰۲۱، حدود ۷.۷ میلیارد دلار از سرمایه‌گذاران ارزهای دیجیتال کلاهبرداری‌ به سرقت رفت. این سرمایه‌گذاران اعتماد داشتند که در پروژه‌های موجه سرمایه‌گذاری می‌کنند، تا زمانی که فرش از زیر پایشان کشیده شد.

قبل از سرمایه‌گذاری، ارزش آن را دارد که برای تحقیق در مورد ارزهای دیجیتال جدید وقت بگذارید و قبل از سرمایه‌گذاری در یک پروژه جدید، اقدامات لازم را انجام دهید.