صحفي مزيف، هاكر حقيقي: الكشف عن خدعة الاحتيال الجديدة الخاصة بالعملات المشفرة على تويتر

في الأشهر الأخيرة، أصبح قادة الرأي المعروفون الأهداف الرئيسية لهجمات الهندسة الاجتماعية، كما تعرض الحساب الرسمي للمشروع على تويتر للسرقة بشكل متكرر.

تأليف: لوسي، عاملة الإيقاع، BlockBeats

وفي دائرة العملات، يعد تويتر، باعتباره وسيلة التواصل الاجتماعي الرئيسية، منصة مهمة لتبادل المعلومات، ولكنه يكشف أيضًا عن العديد من المخاطر الأمنية. في الأشهر الأخيرة، ظهر اتجاه جديد للسرقة: أصبح قادة الرأي المعروفون (KOL) الأهداف الرئيسية لهجمات الهندسة الاجتماعية، وشهدت منصة التواصل الاجتماعي الرسمية للمشروع X (تويتر سابقًا) سرقة حسابات بشكل متكرر.

لا تنتهك هذه الهجمات المخططة جيدًا الخصوصية الشخصية فحسب، بل تهدد أيضًا أمان الأصول الرقمية بأكملها. سوف تستكشف BlockBeats العديد من الحالات الأخيرة لهجمات الهندسة الاجتماعية ضد KOLs المعروفة، وتكشف عن كيفية استخدام المهاجمين لأساليب الاحتيال المصممة بعناية، وكيف يمكن أن يكون KOLs والمستخدمين العاديين أكثر يقظة للحماية من مثل هذه التهديدات المتفشية بشكل متزايد عبر الإنترنت.

المراسلون المزيفون المقنعون، وهجمات الهندسة الاجتماعية على KOLs

وفقًا لإحصائيات غير كاملة من BlockBeats، فإن الشخص الذي تعرض للهجوم في البداية من قبل الأخصائيين الاجتماعيين كان رئيس تحرير وسائل الإعلام الأمريكية الرئيسية "فوربس". بعد التواصل مع Kol@0xmasiwei المشفر حول friends.tech ومشاريع SocialFi المزيفة الأخرى، أرسل له المحتال رابط "التحقق من الهوية" من friends.tech. بعد التحقق من قبل موظفي الأمن SlowMist، الرابط هو رابط التصيد.

بالإضافة إلى ذلك، قرر يو شيان، مؤسس SlowMist، أن أداة التخصيص المتكاملة الخاصة بـ friends.tech FrenTechPro هي عملية احتيال تصيد احتيالي. وبعد أن ينقر المستخدمون على "تنشيط الآن"، سيستمر المتسللون في محاولة سرقة الأصول المتعلقة بالمحفظة.

وبعد شهرين، اكتشفت شركة PeckShield حادثة مماثلة مرة أخرى.

في ١٨ ديسمبر، نشر باحث بيانات العملات المشفرة والمساهم في DeFiLlama Kofi (@0xKofi) على منصة التواصل الاجتماعي أن عقود DefiLama والتطبيقات اللامركزية معرضة لنقاط الضعف، مما يتطلب من المستخدمين النقر على الرابط المرفق بالتغريدة للتحقق من أمان الأصول. وهذا مثال نموذجي لهجوم الهندسة الاجتماعية، حيث استغلت عصابة الاحتيال خوف المستخدمين من نقاط الضعف وجعلتهم يخففون من حذرهم ضد الروابط الاحتيالية.

في الساعة الثانية صباحًا بالأمس، تعرض @0xcryptowizard لهجوم هندسة اجتماعية، مما أثار مرة أخرى المناقشات في دائرة التشفير. استخدم @0xcryptowizard اللغة الصينية "المترجمة آليًا" للترويج لنقش Arbitrum على منصات التواصل الاجتماعي، وأرفق رابطًا بالنعناع. وفقًا لأعضاء المجتمع، تم إفراغ المحفظة بمجرد النقر على الرابط.

ردًا على ذلك، نشر @0xcryptowizard أن المحتال استغل فترة انقطاعه لنشر رابط التصيد الاحتيالي. بعد ذلك، أرفق @0xcryptowizard تذكيرًا في ملفه الشخصي على تويتر، "لن يتم نشر أي روابط في المستقبل؛ يرجى عدم النقر على الروابط الموجودة في التغريدات".

أما عن سبب السرقة، فقال @0xcryptowizard إنها عملية احتيال عبر الإنترنت تم التخطيط لها جيدًا. تظاهر المهاجم @xinchen_eth بأنه مراسل من موقع Cointelegraph الشهير للعملات المشفرة واتصل بالهدف بحجة تحديد موعد للمقابلة. تم خداع المهاجم للنقر على رابط موعد يبدو عاديًا تم إخفاءه كصفحة موعد من Calendly، وهي أداة جدولة شائعة. ومع ذلك، هذه في الواقع صفحة مقنعة هدفها الحقيقي هو إكمال ترخيص حساب @xinchen_eth على تويتر وبالتالي الحصول على أذونات تويتر الخاصة به.

أثناء هذه العملية، حتى لو كان متشككًا في الارتباط، فإن تصميم الصفحة وعرضها جعله يعتقد خطأً أنها واجهة عادية لمواعيد Calendly. في الواقع، لم تعرض الصفحة أي واجهة معتمدة لتويتر، فقط واجهة وقت الموعد، مما أدى إلى سوء فهم. في وقت لاحق، يعتقد @0xcryptowizard أن المتسللين ربما قاموا بإخفاء الصفحة بذكاء.

وأخيرًا، يذكر @0xcryptowizard قادة الرأي المشهورين الآخرين (KOL) بأن يكونوا أكثر حذرًا وعدم النقر على الروابط غير المعروفة بسهولة، حتى لو كانت تبدو كصفحات خدمة عادية. إن الطبيعة المخفية والمخادعة للغاية لهذا الاحتيال تمثل خطرًا أمنيًا خطيرًا.

بعد @0xcryptowizard، تعرض المؤسس المشارك لـ NextDAO @_0xSea_ أيضًا لهجوم هندسة اجتماعية. أرسل محتال يدعي أنه من شركة وسائط التشفير المعروفة Decrypt رسالة خاصة ليطلب منه إجراء مقابلة، بهدف نشر بعض الأفكار للمستخدمين الناطقين باللغة الصينية.

ولكن مع الدروس المستفادة من الماضي، لاحظ @_0xSea_ بعناية أنه في صفحة تفويض Calendly.com التي أرسلها الطرف الآخر، فإن الحرف الموجود في جملة "تفويض Calendlỵ للوصول إلى حسابك" هو "ỵ"، وليس الحرف. "y" هذا مشابه لحالة sats المزيفة في المرة السابقة، الحرف الأخير هو في الواقع "ʦ" بدلاً من "ts". ومن هذا يمكن الحكم على أن هذا الحساب مزيف.

مجموعة قرصنة العملات المشفرة المدربة جيدًا Pink Drainer

في الهجوم على @0xcryptowizard، أشار Slow Mist Cosine إلى عصابة الاحتيال Pink Drainer. يُذكر أن Pink Drainer عبارة عن برنامج ضار كخدمة (MaaS) يسمح للمستخدمين بإنشاء مواقع ويب ضارة بسرعة والحصول على أصول غير قانونية من خلال البرامج الضارة.

وفقًا لشركة Beosin لأمن blockchain، يستخدم عنوان URL للتصيد الاحتيالي أداة لسرقة محفظة العملات المشفرة لخداع المستخدمين لتوقيع الطلب. بمجرد توقيع الطلب، سيتمكن المهاجم من نقل رموز NFT وERC-20 من محفظة الضحية. سيقوم برنامج "Pink Drainer" بتحصيل الأصول المسروقة من المستخدمين كرسوم، والتي قد تصل إلى 30٪ من الأصول المسروقة.

يشتهر فريق Pink Drainer بالهجمات البارزة على منصات مثل Twitter وDiscord، والتي تنطوي على حوادث مثل Evomos وPika Protocol وOrbiter Finance.

في 2 يونيو من العام الماضي، استخدم المتسللون Pink Drainer لاختراق تويتر الخاص بـ Mira Murati، كبير مسؤولي التكنولوجيا في OpenAI، ونشروا أخبارًا كاذبة، زاعمين أن OpenAI كانت على وشك إطلاق "رمز OPENAI" استنادًا إلى نموذج لغة الذكاء الاصطناعي. ونشرت رابطًا لإبلاغ مستخدمي الإنترنت للتحقق مما إذا كان عنوان محفظة Ethereum مؤهلاً لتلقي استثمار قصير. ومن أجل منع الآخرين من كشف الاحتيال في منطقة الرسالة، قام المتسلل أيضًا بتعطيل وظيفة الرد العام للرسالة.

وعلى الرغم من حذف الخبر الكاذب بعد ساعة من نشره، إلا أنه وصل بالفعل إلى أكثر من 80 ألف مستخدم على تويتر. وفقًا للبيانات المقدمة من Scam Sniffer، حصل المتسلل على ما يقرب من 110.000 دولار من الدخل غير القانوني من هذا الحادث.

في أواخر العام الماضي، شاركت Pink Drainer في عملية تصيد احتيالي معقدة للغاية أدت إلى سرقة ما قيمته 4.4 مليون دولار من رموز Chainlink (LINK). واستهدفت السرقة الإلكترونية ضحية واحدة تم خداعها لتوقيع معاملة تتعلق بميزة "زيادة التفويض". يستخدم Pink Drainer ميزة "إضافة ترخيص"، وهو إجراء قياسي في مجال العملات المشفرة، للسماح للمستخدمين بوضع حدود لعدد الرموز المميزة التي يمكن نقلها إلى محافظ أخرى.

أدى هذا الإجراء إلى نقل غير مصرح به لـ 275,700 رمز LINK في معاملتين منفصلتين دون علم الضحايا. تُظهر التفاصيل الواردة من منصة أمان التشفير Scam Sniffer أنه في البداية، تم نقل 68,925 رمزًا مميزًا لـ LINK إلى محفظة تحمل اسم "PinkDrainer: Wallet 2" بواسطة Etherscan؛ وتم إرسال 206,775 رابطًا المتبقي إلى محفظة أخرى تنتهي بعنوان "E70e".

على الرغم من أنه من غير الواضح كيف خدعوا الضحايا للسماح بنقل العملات الرمزية. اكتشف Scam Sniffer أيضًا ما لا يقل عن 10 مواقع ويب احتيالية جديدة تتعلق بـ Pink Drainer خلال الـ 24 ساعة الماضية منذ السرقة.

اليوم، لا تزال أنشطة Pink Drainer في ارتفاع، ووفقًا لبيانات Dune، حتى وقت كتابة هذا التقرير، احتالت Pink Drainer على أكثر من 25 مليون دولار إجمالاً، مع إجمالي عشرات الآلاف من الضحايا.

كثيرًا ما تتم سرقة العروض الترويجية الرسمية للمشروع

ليس هذا فحسب، ففي الشهر الماضي، كانت هناك حوادث متكررة لسرقة التغريدات الرسمية للمشروع:

في 22 ديسمبر، تم الاشتباه في سرقة الحساب الرسمي لمنصة X للعبة ARPG سلسلة الاستيلاء على الكنوز المظلمة "SERAPH: In the Darkness"، ويُنصح المستخدمون بعدم النقر فوق أي روابط ينشرها هذا الحساب في الوقت الحالي.

في 25 ديسمبر، تم الاشتباه في سرقة التغريدة الرسمية للبروتوكول المالي اللامركزي Set Protocol، وتم نشر عدة تغريدات تحتوي على روابط تصيد.

في 30 ديسمبر، تم الاشتباه في أن التغريدة الرسمية لمنصة الإقراض DeFi Compound قد تمت سرقتها، وتم نشر تغريدة تحتوي على رابط تصيد، ولكن لم يتم فتح إذن التعليق. يذكر BlockBeats المستخدمين بضرورة الاهتمام بأمان الأصول وعدم النقر على روابط التصيد الاحتيالي.

حتى شركات الأمن ليست محصنة. في 5 يناير، تم اختراق حساب CertiK على تويتر. تم نشر أخبار كاذبة تدعي أنه تم اكتشاف أن عقد جهاز التوجيه Uniswap عرضة لثغرة إعادة الدخول. الرابط المرفق بـ RevocCash هو رابط تصيد احتيالي. ردًا على السرقة، ذكرت CertiK على منصتها الاجتماعية، "اتصل حساب تم التحقق منه يتعلق بإحدى وسائل الإعلام المعروفة بموظف CertiK، ومع ذلك، يبدو أن الحساب قد تم اختراقه، مما أدى إلى هجوم تصيد احتيالي على موظفينا. CertiK بسرعة واكتشفت الثغرة الأمنية وحذفت التغريدات ذات الصلة خلال دقائق، وكشفت التحقيقات أن هذا كان هجومًا واسع النطاق ومستمرًا، وبحسب التحقيق فإن الحادث لم يسبب أضرارًا كبيرة.

في 6 يناير، وفقًا لتعليقات المجتمع، تم اختراق التغريدة الرسمية لـ Sharky، بروتوكول إقراض NFT البيئي الخاص بـ Solana، وتم نشر رابط تصيد، ويُنصح المستخدمون بعدم النقر فوق أي روابط منشورة في التغريدة الرسمية.