Cum să îți protejezi criptomonedele de ingineria socială în 2026

Majoritatea exploatărilor crypto din anul viitor nu vor fi cauzate de un bug zero-day în protocolul tău preferat, spun experții în securitate crypto. Va fi cauzată de tine. 

Asta pentru că 2025 a arătat că majoritatea hack-urilor nu încep cu cod malițios; ele încep cu o conversație, a spus Nick Percoco, director de securitate al exchange-ului crypto Kraken, pentru Cointelegraph. 

Din ianuarie până la începutul lui decembrie 2025, datele de la Chainalysis arată că industria crypto a fost martoră la furturi de peste 3,4 miliarde de dolari, compromiterea Bybit din februarie reprezentând aproape jumătate din acest total. 

În timpul atacului, actorii răi au obținut acces prin inginerie socială, au injectat o sarcină malițioasă JavaScript care le-a permis să modifice detaliile tranzacțiilor și să deturneze fonduri.

Ce este ingineria socială? 

Ingineria socială este o metodă de atac cibernetic care manipulează oamenii pentru a dezvălui informații confidențiale sau a efectua acțiuni care compromit securitatea. 

Percoco a spus că câmpul de luptă pentru securitatea crypto va fi în minte, nu în spațiul cibernetic. 

Sfat 1: Utilizați automatizarea acolo unde este posibil 

Compromiterile lanțului de aprovizionare s-au dovedit de asemenea a fi o provocare cheie în acest an, conform lui Percoco, deoarece o breșă aparent minoră poate dovedi a fi devastatoare mai târziu, pentru că "este un turn digital Jenga, și integritatea fiecărui bloc contează." 

În anul viitor, Percoco recomandă reducerea punctelor de încredere umană prin acțiuni precum automatizarea apărărilor acolo unde este posibil și verificarea fiecărei interacțiuni digitale prin autentificare într-o "trecere de la apărare reactivă la prevenire proactivă."

"În crypto în special, veriga cea mai slabă rămâne încrederea umană, amplificată de lăcomie și FOMO. Aceasta este fisura pe care atacatorii o exploatează de fiecare dată. Dar nicio tehnologie nu înlocuiește obiceiurile bune," a adăugat el.

Sfat 2: Izolați infrastructura

Lisa, șefa operațiunilor de securitate de la SlowMist, a spus că actorii răi au vizat din ce în ce mai mult ecosistemele dezvoltatorilor în acest an, care, combinate cu scurgeri de credențiale cloud, au creat oportunități de a injecta cod malițios, a fura secrete și a otrăvi actualizările software. 

"Dezvoltatorii pot atenua aceste riscuri prin fixarea versiunilor de dependențe, verificarea integrității pachetelor, izolarea mediilor de build și revizuirea actualizărilor înainte de implementare," a spus ea. 

Intrând în 2026, Lisa prezice că cele mai semnificative amenințări vor proveni probabil din operațiuni din ce în ce mai sofisticate de furt de credențiale și inginerie socială. 

"Actorii de amenințare deja valorifică deepfake-uri generate de AI, phishing personalizat și chiar teste false de angajare a dezvoltatorilor pentru a obține chei de portofel, credențiale cloud și token-uri de semnare. Aceste atacuri devin din ce în ce mai automatizate și convingătoare, și ne așteptăm ca această tendință să continue," a spus ea. 

Pentru a rămâne în siguranță, sfatul Lisei pentru organizații este să implementeze control puternic al accesului, rotația cheilor, autentificare susținută de hardware, segmentarea infrastructurii și detectarea și monitorizarea anomaliilor. 

Indivizii ar trebui să se bazeze pe portofele hardware, să evite interacțiunea cu fișiere neverificate, să verifice identitățile prin canale independente și să trateze cu precauție link-urile sau descărcările nesolicitate.

Sfat 3: Dovada personalității pentru a combate deepfake-urile AI

Steven Walbroehl, co-fondator și director tehnologic al firmei de securitate cibernetică blockchain Halborn, prezice că ingineria socială îmbunătățită de AI va juca un rol semnificativ în manualele hackerilor crypto.

În martie, cel puțin trei fondatori crypto au raportat dejucarea unei încercări din partea presupușilor hackeri nord-coreeni de a fura date sensibile prin apeluri Zoom false care utilizau deepfake-uri.

Walbroehl avertizează că hackerii folosesc AI pentru a crea atacuri extrem de personalizate, contextuale, care ocolesc trainingul tradițional de conștientizare a securității.

Pentru a combate acest lucru, el sugerează implementarea dovezii criptografice a personalității pentru toate comunicările critice, autentificarea bazată pe hardware cu legare biometrică, sisteme de detectare a anomaliilor care stabilesc modele normale de tranzacții și stabilirea protocoalelor de verificare folosind secrete sau fraze pre-partajate. 

Sfat 4: Păstrează-ți crypto-ul pentru tine

Atacurile cu cheie fixă, sau atacurile fizice asupra deținătorilor de crypto, au fost de asemenea o temă proeminentă în 2025, cu cel puțin 65 de cazuri înregistrate, conform listei GitHub a lui Jameson Lopp, OG Bitcoin și cypherpunk. Ultimul vârf al pieței bull din 2021 a fost anterior cel mai rău an înregistrat, cu un total de 36 de atacuri înregistrate 

Un utilizator X cu numele de utilizator Beau, fost ofițer CIA, a spus într-o postare X pe 2 decembrie că atacurile cu cheie fixă sunt încă relativ rare, dar el tot recomandă utilizatorilor crypto să ia precauții prin a nu vorbi despre avere sau a nu dezvălui dețineri crypto sau stiluri de viață extravagante online ca început. 

El sugerează, de asemenea, să devii o "țintă dificilă" prin utilizarea instrumentelor de curățare a datelor pentru a ascunde informații personale private, cum ar fi adresele de domiciliu, și investind în apărări casnice precum camere de securitate și alarme. 

Sfat 5: Nu economisi la sfaturile de securitate încercate și adevărate 

David Schwed, un expert în securitate care a lucrat la Robinhood ca director de securitate informațională, a spus că sfatul său principal este să rămâi la companii de renume care demonstrează practici de securitate vigilente, inclusiv audituri de securitate terțe riguroase și regulate ale întregului lor stack, de la contracte inteligente la infrastructură.

Cu toate acestea, indiferent de tehnologie, Schwed a spus că utilizatorii ar trebui să evite utilizarea aceleiași parole pentru mai multe conturi, să opteze pentru utilizarea unui token hardware ca metodă de autentificare multifactor și să protejeze fraza seed prin criptarea securizată sau stocarea offline într-o locație fizică sigură.

El sfătuiește, de asemenea, utilizarea unui portofel hardware dedicat pentru deținerile semnificative și minimizarea deținerilor în exchange-uri.

Conex: Phishing-ul țintit este tactica principală a hackerilor nord-coreeni: Cum să rămâi în siguranță

"Securitatea depinde de stratul de interacțiune. Utilizatorii trebuie să rămână extrem de vigilenți atunci când conectează un portofel hardware la o nouă aplicație web și trebuie să valideze temeinic datele tranzacției afișate pe ecranul dispozitivului hardware înainte de semnare. Acest lucru previne 'semnarea oarbă' a contractelor malițioase," a adăugat Schwed.

Lisa a spus că cele mai bune sfaturi ale ei sunt să folosești doar software oficial, să eviți interacțiunea cu URL-uri neverificate și să separi fondurile în configurații hot, warm și cold. 

Pentru a contracara sofisticarea crescândă a înșelătoriilor precum ingineria socială și phishing-ul, Percoco de la Kraken recomandă "scepticism radical" în orice moment, prin verificarea autenticității și presupunerea că fiecare mesaj este un test de conștientizare.

"Și un adevăr universal rămâne: nicio companie legitimă, serviciu sau oportunitate nu va cere vreodată fraza ta seed sau credențialele de autentificare. În momentul în care o fac, vorbești cu un escroc," a adăugat Percoco. 

Între timp, Walbroehl recomandă generarea cheilor folosind generatoare de numere aleatoare sigure criptografic, segregare strictă între mediile de dezvoltare și producție, audituri de securitate regulate și planificarea răspunsului la incidente cu exerciții regulate. 

Revistă: Când legile privind confidențialitatea și AML intră în conflict: Alegerea imposibilă a proiectelor crypto