كشف النقاب عن صناعة هجمات التصيد في عالم التشفير

منذ يونيو 2024، رصد فريق الأمان عددًا كبيرًا من المعاملات الاحتيالية المشابهة، حيث تجاوزت المبالغ المعنية 55 مليون دولار فقط في يونيو. مع دخول شهري أغسطس وسبتمبر، أصبحت الأنشطة الاحتيالية ذات الصلة أكثر تواترًا، مما يدل على تصاعدها. خلال الربع الثالث من عام 2024، أصبحت هجمات التصيد الوسيلة الأكثر تسببًا في الخسائر الاقتصادية، حيث حصلت على أكثر من 243 مليون دولار من 65 عملية هجوم. تظهر التحليلات أن الهجمات المتكررة مؤخرًا قد تكون مرتبطة بفريق أدوات تصيد سيء السمعة. وقد أعلن هذا الفريق "تقاعد" في نهاية عام 2023، لكنه يبدو الآن نشطًا مرة أخرى، حيث نفذ سلسلة من الهجمات واسعة النطاق.

ستحلل هذه المقالة أساليب تنفيذ عصابات هجمات التصيد الاحتيالي النموذجية، وستسرد بالتفصيل خصائص سلوكها، بهدف مساعدة المستخدمين على تعزيز قدرتهم على التعرف على عمليات الاحتيال عبر الإنترنت والوقاية منها.

ما هو الاحتيال كخدمة

في عالم التشفير، ابتكرت بعض فرق الصيد أسلوبًا جديدًا خبيثًا يسمى "Scam-as-a-Service" (احتيال كخدمة). هذا الأسلوب يجمع أدوات وخدمات الاحتيال ويقدمها بطريقة تجارية لمجرمين آخرين. تعتبر إحدى فرق أدوات الصيد المعروفة مثالًا نموذجيًا في هذا المجال، حيث تجاوزت قيمة احتيالاتهم 80 مليون دولار خلال فترة إعلانهم الأول عن إغلاق الخدمة من نوفمبر 2022 حتى نوفمبر 2023.

تساعد الفريق من خلال توفير أدوات الصيد والبنية التحتية الجاهزة للمشترين، بما في ذلك المواقع الأمامية والخلفية للصيد، والعقود الذكية، وحسابات وسائل التواصل الاجتماعي، على إطلاق الهجمات بسرعة. يمكن للصائدين الذين يشترون الخدمات الاحتفاظ بمعظم الأموال المسروقة، بينما يتقاضى مزود الخدمة عمولة تتراوح بين 10%-20%. لقد خفض هذا النموذج بشكل كبير من عتبة التقنية للاحتيال، مما جعل الجرائم الإلكترونية أكثر كفاءة وتوسعاً، مما أدى إلى انتشار هجمات الصيد في صناعة التشفير، وخاصة أن المستخدمين الذين يفتقرون إلى الوعي الأمني يكونون أكثر عرضة لأن يصبحوا أهدافاً للهجمات.

كيفية عمل خدمة الاحتيال كخدمة

قبل تقديم SaaS، دعونا نفهم سير العمل للبرامج اللامركزية (DApp) النموذجية. يتكون DApp النموذجي عادةً من واجهة أمامية (مثل صفحة ويب أو تطبيق موبايل) وعقد ذكي على سلسلة الكتل. يتصل المستخدم بواجهة DApp الأمامية من خلال محفظة سلسلة الكتل، وتقوم الصفحة الأمامية بإنشاء معاملة سلسلة الكتل المناسبة وإرسالها إلى محفظة المستخدم. ثم يقوم المستخدم بالتوقيع على هذه المعاملة باستخدام محفظة سلسلة الكتل، وبعد الانتهاء من التوقيع، يتم إرسال المعاملة إلى شبكة سلسلة الكتل، ويتم استدعاء العقد الذكي المناسب لتنفيذ الوظائف المطلوبة.

يستخدم مهاجموا التصيد هجمات التصيد الاحتيالي من خلال تصميم واجهات أمامية وعقود ذكية خبيثة، ليقوموا بخداع المستخدمين لأداء عمليات غير آمنة. عادةً ما يقوم المهاجمون بتوجيه المستخدمين للنقر على روابط أو أزرار خبيثة، مما يخدعهم للموافقة على بعض المعاملات الخبيثة المخفية، وحتى في بعض الحالات، يقومون بخداع المستخدمين للكشف عن مفاتيحهم الخاصة. بمجرد أن يوقع المستخدمون على هذه المعاملات الخبيثة أو يكشفون عن مفاتيحهم الخاصة، يمكن للمهاجمين بسهولة نقل أصول المستخدمين إلى حساباتهم الخاصة.

以下 هي بعض الوسائل الأكثر شيوعًا:

1. واجهة أمامية مزورة لمشاريع معروفة: يقوم المهاجمون بتقليد الموقع الرسمي لمشاريع معروفة بعناية، وإنشاء واجهة أمامية تبدو شرعية، مما يجعل المستخدمين يعتقدون أنهم يتفاعلون مع مشروع موثوق، وبالتالي يتراخون في الحذر، ويتصلون بمحفظتهم ويقومون بتنفيذ عمليات غير آمنة.

2. خدعة إيرادات الرموز: يروجون لمواقع التصيد على وسائل التواصل الاجتماعي، مدعين وجود فرص جذابة مثل "إيرادات مجانية"، "البيع المبكر"، "سك NFT مجاناً"، لجذب الضحايا للنقر على الروابط. وعندما يتم جذب الضحايا إلى مواقع التصيد، فإنهم غالباً ما يتصلون بمحفظتهم دون وعي ويوافقون على معاملات خبيثة.

3. أحداث قرصنة مزيفة وعمليات احتيال على الجوائز: يدعي مجرمو الإنترنت أن مشروعًا معروفًا تعرض لهجوم من قراصنة أو تم تجميد أصوله، وأنهم يقومون الآن بتوزيع تعويضات أو جوائز على المستخدمين. إنهم يجذبون المستخدمين إلى مواقع التصيد من خلال هذه الحالات الطارئة المزيفة، مما يخدعهم لربط محافظهم، وفي النهاية يسرقون أموال المستخدمين.

احتيال التصيد ليس وسيلة جديدة، لكن نموذج SaaS كان إلى حد كبير المحرك الرئيسي لزيادة احتيال التصيد في السنوات الأخيرة. لقد أزال مقدمو أدوات SaaS بالكامل عائق التكنولوجيا للاحتيال، حيث قدموا خدمات إنشاء واستضافة مواقع التصيد للمشترين الذين يفتقرون إلى التكنولوجيا المناسبة، واستخراج الأرباح من العائدات الاحتيالية.

طريقة تقاسم الغنائم بين مزودي SaaS والمشترين

في 21 مايو 2024، أعلن مزود أدوات الصيد الشهير عن عودته من خلال نشر رسالة تحقق من التوقيع على etherscan، وأنشأ قناة جديدة على Discord.

لقد وجدنا أن عنوانًا ما قد قام بالكثير من المعاملات ذات الأنماط المتشابهة، وبعد التحليل والتحقيق، نعتقد أن هذه المعاملات هي تلك التي يقوم بها مزود الأداة لنقل الأموال وتقسيم الغنائم بعد اكتشاف أن الضحية قد تم اصطيادها. على سبيل المثال، واحدة من المعاملات التي تمت من خلال هذا العنوان:

1. مزود الأدوات ينشئ عقدًا من خلال CREATE2. CREATE2 هو أمر في آلة الإيثيريوم الافتراضية لإنشاء العقود الذكية. استغل مزود الأدوات طبيعة أمر CREATE2، حيث قام مسبقًا بحساب عنوان عقد الغنائم للمشترين في خدمة الصيد، وعندما يقع الضحية في الفخ، يقوم بإنشاء عقد الغنائم، وينتهي الأمر بعملية نقل الرموز والغنائم.

2. استدعاء العقد الذي تم إنشاؤه، ومن ثم منح موافقة على رموز الضحية إلى عنوان التصيد (المشتري للخدمة) وعنوان تقسيم الأرباح. يقوم المهاجم باستخدام أساليب تصيد مختلفة لتوجيه الضحية لتوقيع رسالة Permit2 الخبيثة دون قصد. يسمح Permit2 للمستخدمين بتفويض نقل الرموز من خلال التوقيع، دون الحاجة للتفاعل مباشرة مع المحفظة.

3. تحويل كمية معينة من الرموز إلى عنواني التوزيع بالتتابع، وتحويل الرموز المتبقية إلى المشتري، وإتمام التوزيع.

من الجدير بالذكر أن العديد من محافظ التشفير قد نفذت وظائف لمكافحة التصيد أو وظائف مشابهة، ولكن العديد من وظائف مكافحة التصيد في المحافظ يتم تنفيذها من خلال قوائم سوداء لأسماء النطاقات أو عناوين التشفير. يمكن لمقدمي الأدوات من خلال إنشاء عقود قبل تقاسم الغنائم أن يتجاوزوا إلى حد ما هذه الوظائف لمكافحة التصيد، مما يقلل بشكل أكبر من حذر الضحايا. في هذه الصفقة، حصل المشتري الذي اشترى خدمات التصيد على 82.5% من الأموال المسروقة، بينما احتفظ مزود الأدوات بـ 17.5%.

خطوات بسيطة لإنشاء موقع تصيد

بمساعدة SaaS، أصبح من السهل للغاية على المهاجمين إنشاء موقع تصيد.

1. بعد دخول قناة الاتصال لمزود الأدوات، يكفي أمر بسيط لإنشاء اسم نطاق مجاني وعنوان IP المقابل.

2. اختر واحدة من المئات من القوالب المتاحة، وابدأ عملية التثبيت، وبعد بضع دقائق يمكنك إنشاء موقع تصيد يبدو احترافيًا.

3. البحث عن الضحايا. بمجرد دخول الضحايا إلى الموقع، واعتقادهم بالمعلومات الاحتيالية الموجودة على الصفحة، وربط محفظتهم للموافقة على الصفقة الخبيثة، سيتم تحويل أصول الضحايا.

يمكن للمهاجمين، بمساعدة SaaS، إكمال هذه الخطوات الثلاث وإنشاء موقع تصيد في غضون بضع دقائق.

ملخص ورؤى

إن عودة أحد مزودي أدوات الصيد المشهورين لا شك أنها جلبت مخاطر أمان كبيرة لمستخدمي الصناعة. بفضل وظائفه القوية وأساليب الهجوم الخفية، بالإضافة إلى التكلفة الإجرامية المنخفضة للغاية، أصبح واحدًا من الأدوات المفضلة للمجرمين الإلكترونيين في تنفيذ هجمات التصيد وسرقة الأموال.

يحتاج المستخدمون عند المشاركة في تداول العملات الرقمية إلى البقاء يقظين في جميع الأوقات وتذكر النقاط التالية:

• لا يوجد غداء مجاني في العالم: لا تصدق أي دعاية "فطائر تتساقط من السماء"، مثل عمليات الإطلاق المجانية المشبوهة أو التعويضات، وثق فقط بالمواقع الرسمية أو المشاريع التي خضعت لخدمات تدقيق احترافية.
• تحقق من رابط الشبكة في كل الأوقات: قبل ربط المحفظة بأي موقع، تحقق بعناية من عنوان URL، إذا كان يقلد مشاريع معروفة، وحاول استخدام أدوات WHOIS للتحقق من اسم النطاق، حيث أن المواقع التي تم تسجيلها لفترة قصيرة جداً من المحتمل أن تكون مشاريع احتيالية.
• حماية المعلومات الشخصية: لا تقدم كلمات المرور أو المفاتيح الخاصة الخاصة بك لأي مواقع أو تطبيقات مشبوهة، تحقق بعناية مما إذا كانت المعاملة قد تكون معاملات Permit أو Approve التي قد تؤدي إلى فقدان الأموال قبل أن يطلب المحفظة توقيع أي رسالة أو الموافقة على المعاملة.
• متابعة تحديثات معلومات الاحتيال: متابعة الحسابات الرسمية على وسائل التواصل الاجتماعي التي تنشر تحذيرات دورية، وإذا اكتشفت أنك منحت عن غير قصد عنوان الاحتيال إذنًا للرموز، قم بإلغاء الإذن على الفور أو نقل الأصول المتبقية إلى عنوان آمن آخر.