محافظ العملات المشفرة تحت الهجوم: كشف عمليات الاحتيال على مواقع التواصل الاجتماعي

يواجه مستخدمو العملات المشفرة مجددًا حملة جرائم إلكترونية متزايدة التعقيد. ووفقًا لنتائج جديدة لشركة Darktrace، يستغلّ المخربون منصات التواصل الاجتماعي والشركات الناشئة الوهمية والمنصات القانونية لخداع المستخدمين وحثّهم على تنزيل برمجيات خبيثة تُستنزف محفظتهم.

هذا المخطط الهندسي الاجتماعي المُعقد، الذي ظهر للعلن أواخر عام ٢٠٢٤، تحول إلى شبكة واسعة النطاق من الهويات المزيفة، وشركات التكنولوجيا المُقلدة، وقنوات الاتصال المُسلحة، وكلها مُصممة لسرقة الأصول الرقمية. من خلال محاكاة جماليات وسلوكيات الذكاء الاصطناعي الحقيقي، والألعاب، و... Web3 تمكنت الشركات والمحتالون من اختراق دفاعات مئات المستخدمين غير المنتبهين.

تهديد مألوف ولكنه متطور

منذ ما يقرب من عام، قامت شركة Cado Security Labs للأمن السيبراني تم الكشف عن حملة استهداف Web3 الموظفين باستخدام منصات اجتماعات احتيالية. عُرفت هذه الحملة باسم "Meeten"، واستخدمت برنامجًا مزيفًا لمؤتمرات الفيديو لنشر برمجية خبيثة تُسمى Realst. دُعي الضحايا للانضمام إلى اجتماعات مُفبركة تحت ستار مناقشات شراكة أو استثمار. وبمجرد تنزيلهم للبرنامج، تُخترق أجهزتهم.

أكدت شركة Darktrace الآن أن هذه الحملة ستظل نشطة في عام 2025. وقد توسعت التكتيكات إلى ما هو أبعد من تطبيقات الفيديو لتشمل شركات الذكاء الاصطناعي والألعاب ووسائل التواصل الاجتماعي المزيفة. 

تارا جولد، باحثة في Darktrace، ذكر أن هذه العمليات الخبيثة "تنتحل شخصية الذكاء الاصطناعي والألعاب و Web3 "الشركات" التي تستخدم حسابات التواصل الاجتماعي المزيفة ووثائق المشاريع المستضافة على منصات شرعية.

شركات ناشئة خيالية وعواقب حقيقية

خطة العمل مفصلة بشكل مثير للقلق. يُنشئ مجرمو الإنترنت شركات وهمية بالكامل، تتضمن مواقع ويب ومنشورات مدونات مقنعة. whitepapers، وحتى ملفات تعريف الموظفين المزيفة. يتم استخدام X (المعروف سابقًا باسم Twitter)، وMedium، وGitHub، وNotion بشكل روتيني لاستضافة محتوى المشروع، والوثائق الفنية، وخرائط الطريق.

تعتمد بعض عمليات الاحتيال الأكثر إقناعًا على حسابات X مُوثّقة ومُخترقة، تعود لأفراد أو شركات حقيقية. هذه الحسابات، التي تضم آلاف المتابعين وسنوات من النشاط، تُضفي على المحتالين مصداقية. 

بمجرد إنشاء شركة وهمية، يُطلق المهاجمون حملات تسويقية واسعة النطاق. تمتلئ خلاصاتهم بمنشورات حول إنجازات تطوير البرمجيات، وحضور الفعاليات، ومتاجر البضائع، لتعزيز مصداقيتهم.

ومن الأمثلة البارزة على ذلك استوديو ألعاب بلوكتشين خيالي يسمى " الاضمحلال الأبدي استخدمت الشركة المزيفة صورًا مُعدّلة للإيحاء بأنها ستُقدّم عروضًا في مؤتمرات كبرى، رغم عدم وجود مثل هذه اللعبة. تضمّن حسابها على GitHub مشاريعَ مُستنسخة مفتوحة المصدر مُموّهة على أنها شيفرة أصلية. حتى أن قائمةً من سجل الشركات البريطاني زُوّرت بربطها بشركة حقيقية تحمل اسمًا مشابهًا.

كيف يتم استهداف الضحايا

يبدأ الهجوم عادةً على منصات مثل X وDiscord وTelegram. يتواصل موظف مُفترض مع الهدف، ويعرض عليه فرصة اختبار برامج أولية مقابل عملة مشفرة. 

يُوجَّه الضحية إلى صفحة تنزيل، مُزوَّدة برمز تسجيل، ويُطلَب منه تثبيت التطبيق. وحسب النظام، يُنزِّل إما ملف DMG لنظام macOS أو تطبيق Windows Electron. تحتوي هذه الملفات الثنائية على برنامج Realst أو برنامج سرقة برمجيات خبيثة مشابه.

من هناك، يتسلل البرنامج الخبيث إلى النظام بهدوء. يستخرج بيانات المتصفح، ورموز المصادقة، وكلمات المرور، والأهم من ذلك، المفاتيح الخاصة لمحافظ العملات المشفرة. غالبًا ما لا يدرك المستخدمون تعرض محافظهم للاختراق إلا بعد فقدان أموالهم.

متغير GrassCall

لم يبق متجه الهجوم ثابتًا. حملة مماثلة أُطلق عليها اسم " جراس كول "ظهرت مؤخرًا، مستهدفة الباحثين عن عمل في Web3 تم تضمين البرنامج الخبيث في تطبيق اجتماعات احتيالي، يُروَّج له من خلال إعلانات وظائف ومقابلات عمل مزيفة. سمح الضحايا الذين نزّلوا البرنامج، دون علمهم، للبرامج الخبيثة بالوصول إلى بيانات حساسة على أجهزتهم.

اعتمد هذا الاختلاف، المنسوب إلى "فريق تهريب" ناطق بالروسية يُعرف باسم "كريزي إيفل"، على شخصيات شركات وهمية مُعقدة. في إحدى الحالات، انتحل المحتالون اسم "ChainSeeker.io"، وأنشأوا مجموعة كاملة من حسابات التواصل الاجتماعي والمواقع المهنية المزيفة. حتى أنهم دفعوا مقابل إعلانات مميزة على مواقع التوظيف مثل LinkedIn وWellFound وCryptoJobsList لجذب... Web3 المهنيين في فخهم.

سرعان ما وجد الضحايا الذين شاركوا في هذه المقابلات المزيفة أن أموالهم قد نفدت. شكّل المتضررون مجموعة دعم على تيليجرام، لتقديم نصائح حول إزالة البرامج الضارة واستعادة النظام.

نداء استيقاظ بقيمة 650 مليون دولار

لا يقتصر الخطر على الأفراد فحسب، فقد شنت السلطات الفيدرالية أيضًا حملةً صارمةً على عمليات الاحتيال واسعة النطاق التي تستغل مجال العملات المشفرة. في وقت سابق من هذا العام، كشفت وزارة العدل الأمريكية عن لوائح اتهام ضد مايكل شانون سيمز وخوان كارلوس رينوسو، العقلين المدبرين المزعومين وراء أوميغا برو. مخطط هرمي عالمي للعملات المشفرة .

عملت شركة أوميغا برو بين عامي 2019 و2023، ووعدت بتحقيق عوائد بنسبة 300% على مدار 16 شهرًا من خلال تداول العملات الأجنبية. وقد جذبت منصات التواصل الاجتماعي المستثمرين، حيث استعرض سيمز ورينوسو أنماط حياتهما الفاخرة، بل وعرضا شعار الشركة على برج خليفة لإضفاء الشرعية عليها.

صرح جاي فيكو، رئيس قسم التحقيقات الجنائية في مصلحة الضرائب الأمريكية، بأن عملية الاحتيال "وعدت بالحرية المالية، لكنها أدت إلى دمار مالي". ويواجه الرجلان الآن تهمًا بالتآمر لارتكاب عمليات احتيال إلكتروني وغسيل أموال، تصل عقوبتها إلى السجن عشرين عامًا لكل منهما.

بعد ادعائها أنها تعرضت للاختراق، قامت OmegaPro بتوجيه الضحايا إلى منصة جديدة، Broker Group، والتي لم يتمكن المستخدمون من سحب أموالهم منها أيضًا.

دور وسائل التواصل الاجتماعي في الجرائم المالية

يُبرز استمرار هذه الاحتيالات وفعاليتها الإمكانات الخفية لمنصات التواصل الاجتماعي في تسهيل الجرائم المالية. فمن خلال الجمع بين الحسابات الموثقة، والمحتوى المُولّد بالذكاء الاصطناعي، والمواقع الإلكترونية المُستنسخة، والبرمجيات المسروقة، يُنشئ هؤلاء المحتالون أنظمةً تُحاكي الشركات الحقيقية عن كثب. ويُضفي استخدام منصات مثل GitHub وNotion شرعيةً تقنيةً على هذه الخدعة.

في الوقت نفسه، تتيح منصات مثل X وDiscord التواصل المباشر مع الضحايا المحتملين. الطبيعة غير الرسمية لهذه المنصات غالبًا ما تُخفف من الشكوك، لا سيما في مجال العملات المشفرة. Web3 المجتمعات حيث يعتبر التواصل والتعاون أمرًا شائعًا.

التحذيرات والتدابير الدفاعية

ينصح خبراء الأمن السيبراني المستخدمين بتوخي الحذر عند التواصل معهم لاختبار النسخة التجريبية أو عند تلقي عروض عمل تتعلق بمشاريع العملات المشفرة. حتى لو بدا المشروع مشروعًا، يجب على المستخدمين التحقق جيدًا من سجلات الشركة، وتسجيلات النطاقات، وسجلات حسابات التواصل الاجتماعي. يجب تجنب تنزيل البرامج من مصادر غير معروفة تمامًا إلا بعد التحقق منها عبر قنوات موثوقة.

حذّر جواو ويدسون، الرئيس التنفيذي لشركة ألفراكتال، المستخدمين من أن "الهجمات الصغيرة كهذه قد تمر مرور الكرام"، لكنها لا تزال تُشكّل تهديدًا كبيرًا. فمن خلال محاكاة شركات برمجيات حقيقية، لا تستغل هذه الحملات الثغرات التقنية فحسب، بل تستغل أيضًا ثقة المستخدمين.

باختصار

إن استنزاف محافظ العملات المشفرة عبر عمليات احتيال متطورة على مواقع التواصل الاجتماعي ليس ظاهرة جديدة، ولكنه يزداد خطورةً واتساعًا. وقد أدى صعود الذكاء الاصطناعي والتمويل اللامركزي إلى توسيع نطاق هجمات الجهات الخبيثة، مما مكّنها من بناء أكاذيب معقدة عبر منصات متعددة.

تكشف أحدث نتائج دارك تريس أن التهديد ليس مستمرًا فحسب، بل يتطور أيضًا، مع تزايد تعقيد الشركات الوهمية وآليات نشر البرامج الضارة. ومع ظهور مقابلات العمل الوهمية، وتنزيلات البرامج الاحتيالية، ومنصات العملات المشفرة الوهمية، يجب على المستخدمين التعامل مع عالم العملات المشفرة بحذر متزايد.

إلى أن تُعزز المنصات عمليات التحقق من الحسابات والمصادقة عليها، ويعتمد المستخدمون إجراءات أمنية أكثر صرامة، فمن المرجح أن تستمر هذه المخططات المُعقدة في إيقاع الضحايا. وكما هو الحال دائمًا، إذا بدا شيء ما مُبالغًا فيه في عالم العملات المشفرة، فهو على الأرجح كذلك.