فخ العملات المشفرة للطامعين، أو كيف تسرق من لص

أمضينا عدة أشهر في البحث عن عملية احتيال جديدة وذكية للغاية في مجال العملات المشفرة، حيث يتم تشجيع الضحايا ببطء وبمكر على تثبيت تطبيق ضار لإدارة العملات المشفرة. ومع ذلك، فإن الأشخاص الذين تعرضوا للاحتيال كانوا ضحايا شكليًا فقط، لأن المشغلين، مثل بعض اللصوص الشرفاء الرقميين، استهدفوا لصوصًا آخرين. تفضل بإلقاء نظرة متعمقة على هذا الاحتيال معنا وتعلم كيفية حماية عملاتك المشفرة.

الطُعم الأولي

بدأ كل شيء بتلقي رسالة Telegram تافهة إلى حد ما عن العملات المشفرة. وربما تجاهلها آخرون، لكن بصفتي قائد فريق محللي محتوى الويب في Kaspersky، شككت في الأمر وقررتُ البحث فيه. ولتجنب الاكتشاف، تم تقديم الرسالة في شكل مقطع فيديو مدته خمس ثوانٍ، يحتوي على لقطة شاشة تُظهر عملية بيع متسرعة ومنخفضة بشدة لمشروعين مربحين للعملات المشفرة مع رابطين لهما. وعلى الأرجح كان الرابط الأول مصممًا لإعطاء المتلقي إحساسًا زائفًا بالأمان، وأدى إلى بورصة عملات مشفرة حقيقية من الدرجة الثانية – وإن كانت صغيرة. وكان الطُعم الحقيقي يختبئ خلف الرابط الآخر.

لقطة شاشة إعلان بيع لمشروع عملات مشفرة مدسوس داخل مقطع فيديو مدته خمس ثوانٍ. هذه علامة تحذير!

عطل في خادم مناسب

على عكس ما يمكن توقعه، فإن اتباع الرابط الآخر لم يُظهر أي محتوى ضار. وكانت الأمور الأكثر إثارة للاهتمام: إذا أدخلت العنوان متوقعًا رؤية صفحة رئيسية، فسيعرض المستعرض قائمة دليل تحتوي على بعض أسماء الملفات الجذابة. وبدا الأمر كما لو أن الخادم قد تم تكوينه بشكل خاطئ، أو أن الصفحة الرئيسية قد حُذفت عن طريق الخطأ، مما أدى إلى كشف جميع بيانات مالك النطاق غير المرتاب. ويمكنك النقر على أي ملف في القائمة وعرض محتوياته مباشرةً في المستعرض، لأن جميع الملفات كانت تحتوي على تنسيقات شائعة وسهلة الاستخدام، مثل TXT أو PDF أو PNG أو JPG.

يرى الزائر قائمة بالملفات في مجلد الجذر. ولا يوجد ملف HTML واحد

جعل هذا الزائر يشعر وكأنه قد هبط داخل مجلد البيانات الشخصية لمالك ثري لكنه ضعيف لأحد مشاريع العملات المشفرة. واحتوت الملفات النصية على تفاصيل المحفظة كاملة مع عبارات الاسترداد، وكانت الصور عبارة عن لقطات شاشة تعرض دليلاً على إرسال مبلغ كبير من العملات المشفرة بنجاح، وأرصدة محفظة كبيرة، ونمط حياة المالك الباذخ.

يحتوي الملف النصي على عناوين تم جمعها بعناية، وأسماء تسجيل الدخول، وكلمات المرور، وعبارات الاسترداد، ومفاتيح الاسترداد، وأرقام التعريف الشخصية والمفاتيح الخاصة

كانت إحدى لقطات الشاشة تحتوي على مقطع فيديو على YouTube في الخلفية، يشرح كيفية شراء اليخوت وسيارات فيراري بستخدام بيتكوين. ويمكن العثور بسهولة على كتالوج PDF لهذه اليخوت في الدليل نفسه. كان هذا باختصار طُعمًا مثيرًا للغاية.

تعرض الشاشة لقطة من حياة الثري المتكاسل. إذن ماهي الطريقة الصحيحة لشراء سيارة فيراري ويخت باستخدام بيتكوين؟

المحافظ والأموال الحقيقية

الأمر الذكي في عملية الاحتيال هذه هو أن تفاصيل المحفظة حقيقية، ويمكن للمرء بالفعل الوصول إلى المحافظ والاطلاع على سجل معاملات Exodus أو الأصول الموجودة في المحافظ الأخرى، التي تبلغ قيمتها حوالي 150,000 دولار أمريكي، وفقًا لـ DeBank.

محفظة Exodus فارغة، لكنها حقيقية، وقد استخدمها شخص ما مؤخرًا

على الرغم من ذلك، لن تكون قادرًا على سحب أي شيء، لأن الأموال مرهونة – أي مقيدة بشكل أساسي في الحساب. ومع ذلك، يجعل هذا الزائر أقل تشككًا بكثير: يبدو أن الأمر برمته أن شخصًا سرب بيانات حقيقية بلا مبالاة، وليس رسائل غير مرغوب فيها أو تصيدًا احتياليًا. علاوة على ذلك، لا توجد روابط خارجية أو ملفات ضارة يمكن رؤيتها في أي مكان – لا يوجد شيء يدعو للريبة!

المبالغ في المحافظ الأخرى ضخمة. ومن المؤسف للغاية أن الأموال مرهونة (مقفلة)

راقبنا الموقع لمدة شهرين، ولم نشهد أي تغييرات على الإطلاق. ويبدو أن المحتالين كانوا ينتظرون تراكم عدد كبير من المستخدمين المهتمين أثناء تتبع سلوكهم باستخدام تحليلات خادم الويب. ولم ينتقلوا إلى المرحلة التالية من الهجوم إلا بعد فترة الإحماء الطويلة هذه.

أمل جديد

انتهت أخيرًا فترة التوقف الدراماتيكي التي استمرت لمدة شهرين بتحديث: لقطة شاشة جديدة على Telegram يُزعم أنها تُظهر عملية دفع ناجحة باستخدام عملة مونيرو. وإذا ألقينا نظرة فاحصة على لقطة الشاشة، سنلاحظ وجود تطبيق محفظة “Electrum-XMR” مع سجل معاملات ورصيد كبير يبلغ حوالي 6000 عملة مونيرو (XMR)، والتي كانت قيمتها حوالي مليون دولار في وقت نشر هذا المقال.

تبدأ المرحلة النشطة: محفظة تحتوي على ما يبدو على حوالي مليون دولار

من قبيل الصدفة المحظوظة، ظهر ملف نصي جديد يحتوي على عبارة الاسترداد الخاصة بالمحفظة بجوار لقطة الشاشة مباشرة.

كانت عبارة الاسترداد الخاصة بالمحفظة هي الطُعم

عند هذه النقطة، سارع أي شخص غير أمين بما يكفي لتنزيل محفظة Electrum لتسجيل الدخول إلى حساب الشخص المغفل المهمل والاستيلاء على الأموال المتبقية. حظ سيء: تدعم Electrum عملات بيتكوين فقط، وليس عملات مونيرو، ويتطلب الأمر مفتاحًا خاصًا (وليس عبارة استرداد) لاستعادة الوصول إلى الحساب. وعند محاولة استعادة المفتاح من عبارة الاسترداد، كان كل محول شرعي يقول إن تنسيق عبارة الاسترداد غير صالح.

مع ذلك، كان الجشع يشوش على حكم المستخدمين: في نهاية المطاف، كانت هناك مليون دولار على المحك، وكان عليه الإسراع قبل أن يسرقها شخص آخر. ذهب الفنانون سريعو الثراء إلى البحث في غوغل عن “Electrum XMR” أو ببساطة “Electrum Monero”. وأيًا كانت النتيجة، كانت النتيجة الأولى موقع ويب يتعلق ظاهريًا بفرع Electrum الذي يدعم عملة مونيرو.

تظهر النسخة “الصحيحة” من المحفظة في أعلى نتائج البحث

ويشبه تصميمها تصميم الموقع الويب الأصلي لمحظفة Electrum، وبطريقة المصادر المفتوحة التقليدية، وتضمن جميع أنواع الأوصاف، وروابط إلى GitHub (مستودع Electrum الأصلي، وليس Electrum-XMR)، وملاحظة تقول صراحةً إن هذا كان فرعًا لدعم عملات مونيرو، وروابط مباشرة سهلة الاستخدام إلى المثبتات لأنظمة التشغيل macOS وWindows وLinux.

تم تصميم موقع الويب لتطبيق المحفظة المزيفة بشكل جيد للغاية

هذا عندما يصبح الصياد فريسة عن غير قصد. يؤدي تنزيل Electrum-XMR وتثبيته إلى إصابة الكمبيوتر ببرامج ضارة حددتها Kaspersky على أنها برامج Backdoor.OLE2.RA-Based.a، والتي توفر للمهاجمين وصولاً سريًا عن بُعد. وما سيفعلونه بعد ذلك على الأرجح هو مسح محتويات الجهاز وسرقة بيانات محفظة العملات المشفرة وأي معلومات أخرى ذات قيمة.

كان حلنا الأمني سيحظر موقع الويب الضارة، ناهيك عن محاولة تثبيت فيروس حصان طروادة، لكن صائدي العملات المشفرة المتحمسين لوضع أيديهم على أموال الآخرين ليسوا من بين مستخدمينا.

ويحظر نظام الحماية الخاص بنا الموقع الضار، ناهيك عن محاولة تثبيت فيروس حصان طروادة

فجأةً، ظهر التكرار الثاني

بعد مرور بعض الوقت، عندما انتهينا من التحقيق في هذا العمل الفذ من الهندسة الاجتماعية، تلقينا طُعمًا آخر لم يكن مفاجئًا. وهذه المرة، تحول المحتالون من التبخير البطيء إلى الحرق. أظهرت لقطة الشاشة محفظة مزيفة تحتوي على رصيد كبير بجانب ملف نصي مفتوح يحتوي على كم كبير من المعلومات الشخصية ورابط مضاف بعناية إلى موقع ضار. وعلى ما يبدو فقد أثبتت عملية الاحتيال هذه فعاليتها، ونتعرض للعديد من الهجمات المماثلة.

شهد الإصدار الثاني وصول المحتالين إليه عن طريق جمع كل المعلومات ذات الصلة في لقطة شاشة واحدة

التعرف على الهجوم

لا يثير ضحايا عملية الاحتيال التي ناقشناها أعلاه أي تعاطف على الإطلاق، لأنهم ابتلعوا الطعم بمحاولة سرقة أموال الآخرين. ومع ذلك، يستمر المحتالون في ابتكار حيل جديدة، وفي المرة القادمة، قد يتم تقديم طريقة أخلاقية ظاهريًا لكسب المال. على سبيل المثال، قد تحصل عن طريق الخطأ على لقطة شاشة تعلن عن عرض إنزال مربح، مع وجود الرابط في شريط العنوان مباشرةً…

لذا، ابق متيقظًا، وخذ أي معلومات بحذر شديد. وكانت كل مرحلة من مراحل الهجوم مشبوهة بطريقتها الخاصة. تم تقديم إعلان البيع على موقع الويب في شكل مقطع فيديو مع لقطة شاشة، وكان ذلك من الواضح للالتفاف على خوارزميات مكافحة البريد الإلكتروني العشوائي. يبدو موقع الويب الذي لا يحتوي على شيء سوى ملفات نصية غير مشفرة تحتوي على بيانات محفظة العملات المشفرة في هذه الأشياء جيدًا بدرجة يصعب تصديقها. وتم تسجيل المجال الذي يُزعم أنه يستضيف فرع المحفظة المشفرة قبل شهرين فقط من الهجوم. والأهم من ذلك، أن مشهد العملات المشفرة المليء بالاحتيال يجعل استخدام تطبيقات المحفظة غير المعروفة خطرًا غير مقبول. لذا، اتبع هذه الخطوات:

• استخدم فقط تطبيقات محفظة العملات المشفرة الرئيسية المجربة والصحيحة ومواقع البورصة المجرب والصحيح.
• تحقق بعناية من أنك تسجل الدخول فقط من خلال المواقع الرسمية وتقوم بتنزيل التطبيقات من المصادر الصحيحة.
• اقرأ نصائحنا لاكتشاف المحتالين عبر الإنترنت.
• استخدم الحماية الشاملة للكمبيوتر والهاتف الذكي التي ستمنعك من الانتقال إلى مواقع التصيد الاحتيالي أو تشغيل البرامج الضارة.
• اشترك في مدونتنا و/أو قناة Telegram لتكون أول من يتعرف على التهديدات الجديدة