ایر دراپ فیشینگ (Air Drop phishing) چیست و نحوه مقابله با آن چگونه است؟

منظور از ایردراپ (Airdrop) در دنیای ارزهای دیجیتالی، ارسال توکن یا کوین رایگان به کاربران است. تاکنون در مقالات متعددی نسبت به این امر که وعده ارسال ارزهای رمزپایه به صورت رایگان غالبا با هدف کلاهبرداری انجام می‌شوند، تذکر داده‌ایم؛ ولی ماجرای ایردراپ‌ها متفاوت بوده و کاربر عموما پس از انجام وظایف خاصی، ارزهای رمزپایه رایگان را دریافت می‌کند. مابین هزاران پروژه رمزارزی که این روزها به جامعه ارزهای دیجیتال اضافه شده‌اند، تعداد معدودی وجود دارند که دارای ارزش صد یا حتی گاها هزاران دلاری هستند؛ اما آیا این به این معناست که ما باید به کلیه ایردراپ‌ها اعتماد داشته باشیم؟

وجود مسئله ایردراپ فیشینگ و کلاهبرداری‌های انجام یافته از طریق آن در سال‌های اخیر سبب شده تا بسیاری از کاربران مارکت ارز دیجیتال موضع افراطی را در برابر ایردراپ‌ها بگیرند و این درحالیست که بخشی از ایردراپ‌ها با اهداف کلاهبرداری منتشر می‌گردند و طبیعتا با شناسایی و مقابله با آن‌ها می‌توان همچنان از این بستر سودآور بهره‌مند شد. با توجه به وجود چنین اهمیتی، ما این مقاله از بلاگ کریپتوباز را به معرفی جامع ایردراپ فیشینگ و نحوه مقابله با آن اختصاص داده‌ایم و اگر شما هم در این زمینه کنجکاو هستید، تا انتهای این مطلب با ما همراه باشید.

مروری بر مفهوم ایردراپ در دنیای کریپتوکارنسی

ایردراپ‌ها در دنیای کریپتوکارنسی به فرآیندی اطلاق دارند که در آن یک استارت‌آپ، رمزارزهایی را به طور کاملا رایگان و در سطح انبوه در کیف پول‌های شخصی دراپ می‌کند و در اصل نوعی استراتژی بازاریابی بوده که اعضای تیم توسعه‌دهنده با انجام آن به دنبال ایجاد یک جامعه وفادار هستند و می‌توان از آن تحت عنوان تبلیغات کم هزینه برای یک پروژه رمزارزی نیز یاد کرد.

در واقع کاربران در کنار روش خرید ارزهای رمزپایه، می‌توانند از طریق شرکت در ایردراپ‌ها نیز مالک ارزهای دیجیتالی شوند که این مالکیت به طور کاملا رایگان به آن‌ها اهدا می‌شود. البته کاربران برای دریافت چنین ایردراپی باید برخی شرایط را فراهم نمایند، مانند آن که در وب‌سایت خاصی ثبت نام کنند یا به عضویت کانالی در تلگرام یا توئیتر درآیند یا حتی در یک کیف پول خاص نسبت به افتتاح حساب کاربری اقدام کنند. ناگفته نماند که در سال‌های اخیر، علاوه بر صرافی‌های ارز دیجیتال، ارائه‌دهندگان کیف پول رمزارزی نیز با هدف جذب مشتری و حفظ محبوبیت خود، ایردراپ‌هایی را انجام می‌دهند. 
شرکت در برخی ایردراپ‌ها بسیار سودآور است. نمونه بارز آن شرکت در ایردراپ پلتفرم پلی‌مث (Polymath) دیده می‌شود که در طول آن کاربران توانستند حدودا 250 توکن پولی MATIC دریافت کنند که ارزش هر واحد از آن مابین 90 الی 200 دلار بود. البته کلیه ایردراپ‌های نیز سودآور نیستند و حتی گاها برخی از توکن‌های هیچ‌گاه ارزش خاصی پیدا نمی‌کنند و دقیقا همین ویژگی‌ سبب شده تا عده از کلاهبرداران به سراغ ایردراپ فیشینگ بیایند و از طریق آن کلاهبرداری‌های خود را پیش ببرند.

علت اجرا شدن ایردارپ جعلی از سوی کلاهبرداران

شاید این سوال را از خودتان بپرسید که چرا عده از کلاهبرداران باید با استفاده از فرآیندی تحت عنوان ایردراپ فیشینگ دست به اجرای ایردراپ‌های جعلی بزنند؟ در پاسخ به این سوال باید بگوئیم که کلاهبرداران چنین عملی را با هدف کسب سود انجام می‌دهند و طبیعتا تا سودی نباشد، هیچ عملی از طرف کلاهبرداران انجام نمی‌گیرد! اما این افراد چگونه از اجرای ایردراپ‌های جعلی به کسب سود می‌رسند؟

در بحث ایردراپ فیشینگ، کلاهبرداران هدف اصلی خود را از اجرای چنین فرآیندی، سرقت اطلاعات شما قرار داده‌اند. البته این سرقت اطلاعات نیز به انواع مختلفی تقسیم می‌شود؛ گاهی برخی از آن‌ها از این اطلاعات در ثبت نام حساب‌های ربات برای مواردی همچون شرکت در ایردراپ‌های دیگر استفاده می‌کنند یا پا را فراتر گذاشته و در فرم و ایمیل ارسالی از شما برای کسب کوین و اعطای سود بیشتر درخواست کمک مالی می‌کنند. شاید تا اینجای کار چندان خطر محسوسی دارایی‌های شما را تهدید نکند و صرفا بخشی از حریم خصوصی شما نقض شده باشد؛ اما مشکل جایی است که در ایردراپ فیشینگ گاها کلاهبرداران از حد معمول تجاوز کرده و با شبیه‌سازی وب‌سایت‌ها، موفق می‌شوند کلید خصوصی (Private Key) را از شما گرفته و با انتقال دارایی‌های شما یک ضربه مالی مهلک به سرمایه شما وارد نمایند.

کلید خصوصی در سیستم رمزگذاری دنیای کریپتوکارنسی همان چیزی است که مالکیت ارزهای دیجیتالی را اثبات می‌کند و زمانی که شما کلید خصوصی و رمزهای عبور خود را در اختیار دیگران قرار می‌دهید، گویی مانند آن است که مالکیت ارزهای رمزپایه خود را به فرد دیگری منتقل کرده‌اید؛ بنابراین، تحت هیچ شرایطی نباید در اختیار فرد دیگری قرار دهید، مگر آن که دیگری تمایلی نداشته باشید که مالک ارزهای دیجیتالی خود باشید!

انواع روش های ایردراپ فیشینگ

برای آن که با انواع روش‌های ایردراپ فیشینگ مقابله کرد، لازم است با روش‌های انجام این نوع خاص از کلاهبرداری در دنیای کریپتوکارنسی آشنا باشید. در ادامه به معرفی رایج‌ترین روش‌هایی که اسکمرها از آن برای اجرای ایردراپ فیشینگ استفاده می‌کنند، می‌پردازیم:

اسکم جمع‌آوری اطلاعات و ترولینگ آن

یکی از مرسوم‌ترین نوع از ایردراپ فیشینگ، اسکم جمع آوری اطلاعات بوده که در آن اسکمرها تلاش می‌کنند تا کلیه اطلاعات شخص در ارتباط با صفحات اجتماعی وی، آدرس کیف پول رمزارزی و ایمیل آن‌ها را مورد هدف قرار داده و به سرقت برند. پس از انجام موفقیت‌آمیز ایردراپ فیشینگ، اطلاعات جمع‌آوری شده یا به فرد دیگری فروخته می‌شود یا از آن برای پیشبرد سایر اهداف فیشینگ کمک گرفته می‌شود. به بیان ساده، در ایردراپ فیشینگ از نوع اسکم جمع‌آوری اطلاعات، هیچگونه پروژه رمزارزی واقعی وجود نداشته و صرفا هدف افراد موجود در پشت صحنه این ایردراپ‌ها، دریافت اطلاعات شخص است. بهترین روشی که می‌توانند تریدرها و سرمایه‌گذاران را از خطر این نوع خاص از ایردراپ فیشینگ مصون نگه دارد، انجام تحقیقات جامع در ارتباط با پروژه مورد نظر بوده و نباید صرفا به بررسی وایت پیپر و حساب‌های کاربری پروژه در شبکه‌های اجتماعی اکتفا کرد. طبیعتا اگر ایردراپی فاقد وایت پیپر، اکانت در شبکه اجتماعی یا وب‌سایت است، آن را می‌توان نمونه بارز ایردراپ فیشینگ به شمار آورد.

اجرای ایردراپ فیشینگ با کمک توئیت‌های افراد مشهور

نباید این واقعیت را کتمان کرد که پوشش اخبار کسب سودهای نجومی از سوی برخی از معامله‌گران رمزارزی، توجه افراد بسیار زیادی را به سمت این دنیای نوظهور جلب کرده است؛ افرادی که غالبا هیچگونه دانش فنی و تخصصی در ارتباط با ترید ندارند! همین مسئله سبب شده تا بسیاری از کلاهبرداران از این ضعف در جهت منافع خود بهره ببرند. مثال بارز این مورد را می‌توان در موردی مشاهده کرد که اسکمرها با منتشر کردن یک تیتر خبری مدعی شدند که چامات پالیهاپیتیا (Chamath Palihapitiya)، مدیرعامل Social Capital، گفته است که می‌خواهد 5 هزار بیت کوین اهدا کند!

فرد کلاهبردار در طراحی این پست که در یوتیوب منتشر گردید، از عکس مصاحبه چامات استفاده کرده و از جانب این فرد صحبت‌هایی را در ارتباط با نقد نظام مالی و اقتصادی سنتی مطرح کرده بود. وی در در ادامه این پست مدعی شده بود که فناوری بلاک‌چین و استفاده از ارزهای رمزپایه بزودی جایگزین اقتصاد سنتی خواهند شد و به همین علت قصد دارد که 5 هزار بیت کوین رایگان اهدا کند! در این ویدئو پیام به همراه آدرس یک کیف پول رمزارزی نشان داده می‌شود و از کاربران درخواست می‌کند که بیت کوینی را به آدرس این کیف پول واریز کنید تا دو برابر آن به شما برگردانده شود! حداقل بیت کوین در نظر گرفته شده از سوی اسکمرها 0.1 قیمت بیت کوین BTC و حداکثر آن 20 بیت کوین بود که در آن زمان این ایردراپ فیشینگ، حواشی و جنجال‌های بسیار زیادی را در میان کاربران دنیای کریپتو ایجاد کرده و موجب متضرر شدن تعداد بسیار زیادی از تریدرها شد.

سابقه استفاده از اکانت افراد مشهور در پیشبرد اهداف ایردراپ فیشینگ بسیار طولانی است و می‌توان نمونه‌های متعددی را برای آن مثال زد. به طوری که در طول جریان هک شدن توئیتر در 26 تیر ماه سال 99 که در طول آن حساب‌های کاربری افرادی ذی‌نفوذی همچون بیل گیتس (مدیرعامل مایکروسافت)، چانگ پنگ ژائو (مدیرعامل صرافی بایننس)، ایلان ماسک (مدیرعامل کمپانی تسلا و اسپیس ایکس)، جاستین سان (مدیرعامل ترون)، باراک اوباما (رئیس جمهور سابق ایالات متحده) و چارلی لی (خالق بیت کوین لایت) مورد حمله قرار گرفت و از جانب آن‌ها توئیت‌هایی با این مضمون که بیت کوین‌های خود را به آدرس زیر بفرستید تا دو برابر آن را پس بگیرید، منتشر گردید. 

روش طعمه و سوئیچ

یکی از روش‌های دیگری که اسکمرها در طول جریان ایردراپ فیشینگ دست به آن می‌زنند، استراتژی طعمه و سوئیچ است. در این نوع خاص از ایردراپ فیشینگ تنها هدف فرد کلاهبردار، زیرمجموعه‌گیری است! او تمام تلاش خود را به کار گرفته تا پروژه‌ای ایجاد نماید که به ظاهر قانونی است؛ اما حقیقتی که پشت ماجراست از این قرار می‌باشد که فرد پس از دریافت اطلاعات شما، از آن برای ثبت یک اکانت جدید در جایی دیگر استفاده کرده و به واسطه زیرمجموعه‌گیری در یک سایت دیگر، سود دریافت می‌کند. 

اگر اسکمر مبتدی باشد، در اجرای طرح ایردراپ فیشینگ خود از شما می‌خواهد که در ایردراپ همکار (Partner) نیز ثبت نام کنید تا کوین‌های رایگان به حساب کیف پول شما ارسال گردد؛ اما واقعیت طور دیگری بوده و عملا هیچگونه بحثی از همکاری در میان نبوده و صرفا با هدف زیرمجموعه‌گیری و کسب سود انجام می‌گیرند. بهترین روش برای آن که طعمه این نوع خاص از روش اجرای ایردراپ فیشینگ نشوید این است که در کانال‌های اجتماعی غیرمرتبط با پروژه ثبت نام نکنید.

ایردراپ‌های دامپ

یکی از سیاه‌ترین انواع روش‌های موجود در اجرای ایردراپ فیشینگ، ایردراپ دامپ است که در آن تیم توسعه دهنده پروژه رمزارزی، اجرای ایردراپ را به منظور ایجاد یک جامعه قدرتمند انجام نمی‌دهد، بلکه می‌خواهد توجهات جامعه کریپتو را برای مدت زمانی کوتاه به سمت خود جلب نماید و با انتشار اخباری مثبت نظیر لیست شدن این ارز رمزپایه در صرافی‌های معتبر، کاربران را به خرید این ارزها تشویق کند. به هنگامی که تعداد قابل توجهی از کاربران نسبت به خرید چنین توکنی اقدام کردند، کلاهبردارن ناگهان کلیه توکن‌های خود را با حداکثر سود ممکن فروخته و با برهم زدن تعادل عرضه موجب دامپ قیمتی توکن و در نهایت سقوط آزاد آن می‌شوند. 

یکی از معروف‌ترین نمونه‌های اجرای ایردراپ دامپ به پروژه رمزارزی EDOGE در سال 2017 مربوط می‌شود که توسعه‌دهندگان آن اعلام نمودند که می‌خواهند دوج کوین اختصاصی را برای اتریوم ETH بسازند. در ادامه چنین ادعایی حدودا 5 میلیون توکن EDOGE به افرادی ارسال شد که در این ایردراپ شرکت کرده بودند. با چنین کاری و با ایجاد حواشی مثبت، اعضای پشت پرده این پروژه رمزارزی توانستند اعتماد اعضای جامعه کریپتو را جلب کرده و در چند صرافی معتبر نیز این ارز را لیست کنند. پس از مدتی خریداران این توکن به هنگامی که قصد فروش و کسب سود از آن را داشتند، متوجه شدند که توکن‌های آن‌ها در سایت قفل شده و در همین حین، صدها میلیون توکن به وسیله تیم توسعه دهنده این پروژه فروخته شده و به همین علت ارزش توکن EDOGE با یک سقوط آزاد قیمتی مواجه شد. 

کلاهبرداری با کلید خصوصی

در این نوع خاص از ایردراپ فیشینگ، کل سرمایه و دارایی موجود در کیف پول‌های رمزارزی شما مورد هدف قرار می‌گیرد. نکته‌ای که همواره باید به آن توجه داشته باشید، این است که هیچ یک از ایردراپ‌های معتبر نیازی به دریافت کلید خصوصی شما ندارند و تنها از کلید عمومی که همان آدرس کیف پول رمزارزی است برای ارسال توکن‌های رایگان استفاده می‌کنند. بنابراین، اگر در یک ایردراپی شرکت کرده‌اید که به صورت مستقیم یا غیرمستقیم از شما اطلاعاتی در ارتباط با رمزعبور کیف پول و کلیدخصوصی‌تان می‌خواهد، مطمئن باشید که با یک ایردراپ فیشینگ مواجه هستید! عموما آن دسته از کاربرانی در دام این کلاهبرداری گرفتار می‌شوند که هیچگونه دانش فنی در ارتباط با نحوه عملکرد ایردراپ‌ها ندارند.

نحوه تشخیص ایردراپ جعلی 

برای این که متوجه شوید که آیا با یک ایردراپ فیشینگ مواجه هستید یا خیر، فقط کافیست نکات گفته شده در زیر را به دقت مورد بررسی قرار دهید:
•    در ارتباط با پروژه مورد نظر تحقیق کنید. وجود هرگونه نقص در اطلاعات تیم توسعه‌دهنده پروژه، خراب بودن لینک‌های وب‌سایت، ارائه اطلاعات ساختگی در ارتباط با حجم معاملات و صرافی‌هایی که این ارز دیجیتال را به لیست خود اضافه کرده‌اند می‌تواند زنگ هشداری برای ایردراپ فیشینگ باشد.
•    ایردراپ‌ها در دنیای کریپتوکارنسی معنایی جز اعطای رایگان کوین به کاربران ندارند و اگر پروژه‌ای تحت عنوان ایردراپ از شما تقاضای کمک مالی و Donate می‌کند، بهتر است از آن فاصله بگیرید.
•    عموما در اجرای فیشینگ ایردراپ از اکانت‌های جدید در شبکه‌های اجتماعی استفاده می‌شود؛ بنابراین اگر با تبلیغ یک ایردراپ مواجه هستید، حتما به سوابق فعالیتی آن در توئیتر، فیسبوک و BitcoinTalk توجه داشته باشید.
•    اگر در تبلیغ ایردراپ به طور قطعی و تضمینی در ارتباط با سود کلان دلاری مشاهده کردید، کمی تحقیقات خود را عمیق‌تر کنید؛ چراکه هیچ تضمین قیمتی در دنیای کریپتوکارنسی وجود ندارد و اگر گفته می‌شود که این توکن جدید حتما به فلان مقدار ارزش دلاری دست پیدا می‌کند، به احتمال زیاد با یک پروژه اسکم مواجه هستید.
•    گاها در طول ایردراپ فیشینگ توکن‌ها به طور کاملا واقعی در میان کاربران توزیع می‌گردد؛ اما سایت به گونه‌ای طراحی شده است که به هنگام برداشت حتما باید مقداری از توکن سایت را خریداری کنید تا امکان برداشت برای شما فراهم گردد.
•    نسبت به غلط‌های املایی در وایت‌پیپرها حساسیت بیشتری به خرج دهید؛ چراکه در وایت پیپر و اطلاعات 100 ارز دیجیتال برتر مارکت رمزارزی هیچگونه غلط املایی مشاهده نمی‌شود! عموما اسکمرهایی که به دنبال اجرای ایردراپ فیشینگ هستند گاها به دلیل عدم تسلط کافی به زبان انگلیسی دارای غلط املایی هستند.

ایردراپ فیشینگ؛ روشی برای سرقت دارایی و اطلاعات در دنیای کریپتوکارنسی

همان طور که در مطالب فوق مشاهده کردید، امروزه به دلیل فراهم بودن بستری برای کسب سود از طریق مارکت ارز دیجیتال، شاهد افزایش روزافزون تعداد تریدرها و سرمایه‌گذاران رمزارزی هستیم؛ افرادی که دانش و تجربه کافی در حوزه سرمایه‌گذاری بر روی این دارایی‌های دیجیتالی را نداشته و به همین علت به یک طعمه جذاب برای اسکمرها و کلاهبرداران فعال در دنیای کریپتوکارنسی تبدیل می‌شوند. یکی از روش‌های رایجی که کلاهبرداران از آن برای سرقت اطلاعات و دارایی افراد از آن استفاده می‌کنند، اجرای ایردراپ فیشینگ است که با وعده اعطای توکن رایگان آمده و دریافت کننده توکن را به خاک سیاه می‌نشاند! برای آن که در دام پروژه‌های ایردراپ فیشینگ گرفتار نشوید حتما باید به سراغ تحلیل فاندامنتال پروژه رفته و تحقیقات جامعی را حول پروژه و تیم توسعه دهنده آن انجام دهید. آیا تاکنون در دام ایرداراپ فیشینگ‌ها گرفتار شده‌اید؟ به نظر شما موثرترین روش مقابله با چنین ایردراپ‌های جعلی کدام است؟