واجه مستخدمو العملات المشفرة ارتفاعًا في الهجمات "ذات الطابع النفسي التلاعبّي" خلال الربع الثاني من العام، وفقًا لتقرير أمني صادر عن شركة SlowMist المتخصصة في أمان البلوكتشين، حيث ابتكر القراصنة أساليب متقدمة ومبدعة لسرقة العملات الرقمية.
وقالت "ليزا"، رئيسة العمليات في SlowMist، في تقرير "تحليل الأموال المسروقة عبر منصة MistTrack للربع الثاني"، إن التقنيات المستخدمة في الاختراق لم تشهد تطورًا ملحوظًا من الناحية التقنية، لكن أساليب الاحتيال أصبحت أكثر تعقيدًا ودهاءً، مع تزايد في إضافات المتصفح المزيفة، ومحافظ الأجهزة المعدلة، وهجمات الهندسة الاجتماعية.
وأضافت:
"عند النظر إلى الربع الثاني، يبرز توجه واضح: أساليب القراصنة قد لا تكون أكثر تقدمًا تقنيًا، لكنها أصبحت أكثر قدرة على التلاعب النفسي".
وتابعت:
"نلاحظ تحولًا واضحًا من الهجمات التي تستهدف البلوكتشين مباشرة إلى نقاط دخول خارجية مثل إضافات المتصفح، وحسابات وسائل التواصل، وواجهات المصادقة، وسلوك المستخدم، التي أصبحت جميعها أهدافًا شائعة للهجمات".
إضافات المتصفح الخبيثة تتظاهر بأنها أدوات أمنية
من المفارقات أن إحدى طرق الهجوم الجديدة تضمنت إضافات لمتصفح Chrome تُقدّم نفسها على أنها أدوات أمنية، مثل إضافة "Osiris" التي ادّعت أنها تكتشف الروابط الاحتيالية والمواقع المشبوهة.
لكن بدلًا من ذلك، كانت الإضافة تعترض كل عمليات تحميل ملفات بصيغ .exe و.dmg و.zip، وتستبدلها ببرمجيات خبيثة.
وقالت ليزا:
"بشكل أكثر خُبثًا، كان القراصنة يوجّهون المستخدمين إلى زيارة مواقع معروفة وشائعة مثل Notion أو Zoom. وعندما يحاول المستخدم تحميل البرنامج من هذه المواقع الرسمية، تكون الملفات قد تم استبدالها بالفعل ومع ذلك، يعرض المتصفح التحميل وكأنه صادر من المصدر الشرعي، ما يجعل اكتشاف الخطر شبه مستحيل".
وتقوم هذه البرامج الخبيثة بجمع معلومات حساسة من جهاز المستخدم، بما في ذلك بيانات متصفح Chrome ومفاتيح Keychain في نظام macOS، ما يمنح المهاجم إمكانية الوصول إلى العبارات السرية والمفاتيح الخاصة وبيانات تسجيل الدخول.
الهجمات تستغل قلق مستخدمي العملات المشفرة
قالت SlowMist إن طريقة أخرى للهجوم تمثلت في إقناع مستخدمي العملات المشفرة باستخدام محافظ أجهزة معدّلة.
في بعض الحالات، يرسل القراصنة إلى الضحية محفظة باردة تم التلاعب بها، مدّعين أنها جائزة مجانية ضمن "سحب عشوائي"، أو يزعمون أن الجهاز الحالي قد تم اختراقه، ويجب نقل الأصول فورًا إلى الجهاز الجديد.
وفي الربع الثاني، خسر أحد الضحايا ما يُقدّر بـ6.5 ملايين دولار بعد أن اشترى محفظة باردة معدلة وجد إعلانها على TikTok، وفقًا لما ذكرته ليزا.
المصدر: Intelligence on Chain
وفي حالة أخرى، قام مهاجم ببيع محفظة أجهزة تم تفعيلها مسبقًا، ما أتاح له سحب الأصول فور قيام المستخدم الجديد بتحويل العملات إليها للتخزين.
هندسة اجتماعية من خلال موقع Revoke مزيف
أشارت SlowMist أيضًا إلى أنها تلقت بلاغًا في الربع الثاني من مستخدم لم يتمكن من إلغاء "تفويض مشبوه" على محفظته.
وبعد التحقيق، تبين أن الموقع الذي استخدمه هذا الشخص لإلغاء صلاحية العقد الذكي كان "نسخة شبه مطابقة" من واجهة موقع Revoke Cash الشهير، لكنه يطلب من المستخدم إدخال المفتاح الخاص لـ"التحقق من التوقيعات الخطرة".
وأكدت SlowMist:
"بعد تحليل كود الواجهة الأمامية، تبين لنا أن هذا الموقع الاحتيالي يستخدم EmailJS لإرسال بيانات المستخدمين بما في ذلك المفاتيح الخاصة والعناوين إلى بريد إلكتروني خاص بالمهاجم".
وقالت ليزا:
"هجمات الهندسة الاجتماعية هذه ليست متقدمة تقنيًا، لكنها بارعة في استغلال مشاعر الإلحاح والثقة".
وأضافت:
"يعلم المهاجمون أن عبارات مثل ‘تم اكتشاف توقيع خطر’ يمكن أن تثير الذعر، مما يدفع المستخدمين إلى اتخاذ قرارات متسرعة. وبمجرد دخول المستخدم في هذه الحالة العاطفية، يصبح من السهل دفعه للقيام بأمور لم يكن ليقوم بها عادةً — مثل الضغط على روابط مشبوهة أو مشاركة معلومات حساسة".
هجمات تستغل ترقية Pectra وأصدقاء WeChat
من بين الهجمات الأخرى، ظهرت تقنيات تصيّد احتيالي استغلت معيار EIP-7702 الجديد في ترقية Ethereum الأخيرة المعروفة بـ"Pectra"، كما استهدفت بعض الهجمات مستخدمي تطبيق WeChat من خلال الاستيلاء على حساباتهم.
ووفقًا لتقرير Cointelegraph Magazine، استغل المهاجمون نظام استعادة الحسابات في WeChat للسيطرة على حسابات المستخدمين، ثم انتحلوا شخصياتهم لخداع جهات الاتصال بعروض زائفة لشراء عملة (USDT) بخصومات.
واستندت بيانات تقرير SlowMist للربع الثاني إلى 429 بلاغًا عن أموال مسروقة تم تقديمها إلى الشركة خلال تلك الفترة.
وقد ذكرت الشركة أنها تمكنت من تجميد واسترداد ما يقرب من 12 مليون دولار لصالح 11 ضحية خلال الربع الثاني.