المربع
الصفحة الرئيسية
الأحدث
ساخن
رؤى
بث مباشر
الكل
تحليل السوق
أهم المواضيع
سجل Blockchain
آخرون
دردشة
تقويم العملات الرقمية
اخر الأخبار
مدونة
المزيد
دليل المبتدئين
الصفحة الرئيسية
الأحدث
ساخن
رؤى
المنشور

تعرض خبراء الأمن السيبراني لخطر الصيد الدقيق مع تسرب 160 مليار سجل مما أدى إلى أزمة

LiquidationWatchervip

هجوم تصيد معقد كاد أن يقع فيه حتى خبراء الأمن السيبراني

مؤخراً، تم تداول مجموعة ضخمة من البيانات تحتوي على 16 مليار سجل معلومات مستخدم على الإنترنت، بما في ذلك بيانات مسربة سابقة ومعلومات تسجيل دخول مسروقة حديثاً. على الرغم من أن معظمها هو إعادة تنظيم لبيانات قديمة، إلا أن البيانات المحدثة لا تزال مقلقة. يُعتبر هذا أحد أكبر مجموعات تسريبات الحسابات الفردية في التاريخ.

يستخدم القراصنة هذه البيانات لشن أنواع متعددة من الهجمات، وقد أصبحت أحد أهدافهم.

الهجوم الاحتيالي الذي تم استهدافه على أجهزتي وحسابي الشخصي في 19 يونيو هو الأكثر تعقيدًا الذي واجهته في مسيرتي المهنية التي تمتد على عشر سنوات في مجال الأمن السيبراني. بدأ المهاجمون بخلق انطباع زائف بأن حسابي يتعرض لهجمات على منصات متعددة، ثم انتحلوا صفة موظف في منصة تداول معينة لتقديم "المساعدة". لقد جمعوا بين أساليب الهندسة الاجتماعية وتكتيكات التنسيق عبر الرسائل القصيرة، والمكالمات الهاتفية، والبريد الإلكتروني المزيف، حيث كانت جميع التصميمات تهدف إلى خلق شعور زائف بالعجلة، والموثوقية، وتأثير الحجم. كان لهذا الهجوم الزائف نطاق واسع وموثوقية عالية، وهذا هو السبب الرئيسي وراء كون الهجوم خادعًا للغاية.

سأقوم أدناه بإعادة تفاصيل عملية الهجوم، وتحليل الإشارات الخطرة، وكذلك تدابير الحماية التي اتخذتها. كما سأشارك الدروس الرئيسية والنصائح العملية، لمساعدة المستثمرين في ضمان الأمان في ظل بيئة التهديدات المتزايدة.

يمكن استخدام البيانات التاريخية والبيانات المسربة حديثًا من قبل المتسللين لتنفيذ هجمات متعددة القنوات عالية الاستهداف. وهذا يؤكد مرة أخرى على أهمية الحماية الأمنية متعددة الطبقات، وآلية التواصل الواضحة مع المستخدمين، واستراتيجيات الاستجابة الفورية. سواء كانت مؤسسات أو مستخدمين فرديين، يمكنهم الاستفادة من هذه الحالة من خلال أدوات عملية، بما في ذلك بروتوكولات التحقق، وعادات التعرف على النطاقات، وخطوات الاستجابة، التي يمكن أن تساعد في منع الإهمال اللحظي من التحول إلى ثغرات أمنية كبيرة.

​​دليل "صيد الغنائم" من Coinbase: مراجعة للهجمات التي أذهلت حتى الخبراء ودليل لمكافحة الاحتيال​​

اختراق بطاقة SIM

بدأ الهجوم في حوالي الساعة 3:15 بعد الظهر، حيث وردت رسالة نصية مجهولة تفيد بأن شخصًا ما يحاول إغراء مشغل الهاتف المحمول بكشف رقم هاتفي لشخص آخر، وتُعرف هذه الطريقة في الهجوم باسم تبادل SIM.

يجب الانتباه إلى أن هذه الرسالة ليست من رمز قصير، بل هي رقم هاتف عادي مكون من 10 أرقام. الشركات الرسمية ترسل الرسائل النصية دائمًا باستخدام رموز قصيرة. إذا تلقيت رسالة نصية من رقم طويل غير معروف يدعي أنه من شركة، فمن المحتمل أن تكون عملية احتيال أو محاولة تصيد.

تحتوي هذه المعلومات أيضًا على محتوى متناقض. تظهر الرسالة النصية الأولى أن التسريب حدث في منطقة خليج سان فرانسيسكو، بينما تقول الرسائل اللاحقة إنه حدث في أمستردام.

إن تبادل بطاقة SIM الناجح سيكون خطيرًا للغاية، حيث يمكن للمهاجمين الحصول على رموز التحقق لمرة واحدة التي تستخدمها معظم الشركات لإعادة تعيين كلمات المرور أو للوصول إلى الحسابات. ومع ذلك، هذه المرة ليست تبادل SIM حقيقي، بل إن القراصنة يقومون بإعداد تمهيد للاحتيال الأكثر تعقيدًا في المستقبل.

رمز التحقق لمرة واحدة وإعادة تعيين كلمة المرور

ت escalated الهجوم بعد ذلك، وبدأت أتلقى رموز التحقق لمرة واحدة يُزعم أنها من منصة دفع معينة، تم إرسالها عبر الرسائل النصية ووسائل التواصل الفوري. هذا جعلني أعتقد أن هناك من يحاول تسجيل الدخول إلى حساباتي على مختلف المنصات المالية. على عكس الرسائل النصية من مشغلين مشبوهين، فإن هذه الرموز كانت بالفعل من رموز قصيرة تبدو قانونية.

مكالمات الاحتيال

بعد حوالي خمس دقائق من استلام الرسالة النصية، تلقيت مكالمة من رقم كاليفورنيا. المتصل الذي يعرف نفسه بـ "ماسون" كان يتحدث بلكنة أمريكية خالصة، وادعى أنه من فريق التحقيق في منصة تداول معينة. قال إنه في الثلاثين دقيقة الماضية، حدثت أكثر من 30 محاولة لإعادة تعيين كلمة المرور واختراق الحساب من خلال نافذة الدردشة على المنصة. ووفقًا لوصف "ماسون"، فإن ما يسمى بالهجوم قد اجتاز المرحلة الأولى من التحقق الأمني لإعادة تعيين كلمة المرور، لكنه فشل في المرحلة الثانية من التحقق.

قال لي إنه يمكن للطرف الآخر تقديم آخر أربعة أرقام من بطاقة الهوية الخاصة بي، ورقم رخصة القيادة الكامل، وعنوان المنزل، والاسم الكامل، لكنه لم يتمكن من إعطائي رقم الهوية الكامل أو آخر أربعة أرقام من بطاقة البنك المرتبطة بالحساب. أوضح ميسون أن هذا التناقض هو الذي أدى إلى تنبيه فريق الأمان في المنصة، مما دفعهم للتواصل معي للتحقق من صحة المعلومات.

لن تتصل الشركات مثل البورصات الرسمية بالمستخدمين بشكل نشط، إلا إذا قمت ببدء طلب الخدمة من خلال الموقع الرسمي.

​​دليل الاحتيال "الأكثر شهرة" على Coinbase: تحليل هجوم أثار ذعر الخبراء ودليل لمكافحة الاحتيال​​

فحص الأمان

بعد إبلاغي بهذا "الخبر السيئ"، اقترح ميسون حماية حسابي من خلال حظر قنوات الهجوم الإضافية. بدأ بالتركيز على الاتصالات عبر API والمحافظ المرتبطة، مدعيًا أنه سيقوم بإلغاء صلاحيات الوصول إليها لتقليل المخاطر. ذكر العديد من الكائنات المتصلة، بما في ذلك بعض منصات التداول وأدوات التحليل والمحافظ، وبعضها لم أتعرف عليه، لكنني أفترض أنه قد يكون قد تم إعداده مسبقًا ونسيته.

في هذا الوقت، انخفضت حذري حتى أنني أشعر بالراحة بسبب "الحماية النشطة" من المنصة.

حتى الآن، لم يطلب Mason أي معلومات شخصية أو عنوان محفظة أو رمز تحقق مزدوج أو كلمة مرور لمرة واحدة، حيث أن هذه عادة ما تكون المعلومات الشائعة التي يطلبها المحتالون، وعملية التفاعل بأكملها آمنة للغاية ووقائية.

أساليب الضغط غير المباشر

بعد ذلك، حدثت المحاولة الأولى للضغط، من خلال خلق إحساس بالعجلة والضعف. بعد الانتهاء مما يُسمى "الفحص الأمني"، زعم ميسون أنه بسبب تصنيف حسابي على أنه عالي المخاطر، تم إنهاء حماية حسابات المنصة المتميزة. وهذا يعني أن أصول محفظتي على المنصة لم تعد مغطاة بالتأمين، وإذا نجح المهاجمون في سرقة الأموال، فلن أتمكن من الحصول على أي تعويض.

الآن عند التفكير في الأمر، كان ينبغي أن تكون هذه الحجة نقطة ضعف واضحة. على عكس الودائع البنكية، لا يتم تأمين الأصول المشفرة أبداً، على الرغم من أن البورصات قد تحتفظ بأموال العملاء بالدولار في بنوك مؤمنة، إلا أن البورصة نفسها ليست مؤسسة مؤمنة.

ماسون حذر أيضًا أن العد التنازلي لمدة 24 ساعة قد بدأ، وسيتم قفل الحسابات المتأخرة. سيتطلب فك القفل عملية معقدة وطويلة. والأكثر رعبًا، أنه ادعى أنه إذا حصل المهاجمون على رقم الضمان الاجتماعي الكامل الخاص بي خلال هذه الفترة، يمكنهم حتى سرقة الأموال في حالة تجميد الحساب.

في وقت لاحق، استشرت فريق خدمة العملاء الحقيقي للمنصة وعلمت أن تأمين الحساب هو بالفعل إجراء أمان مقترح منهم. عملية فك القفل بسيطة وآمنة: تقديم صورة للهوية وصورة سيلفي، وبعد أن تتحقق المنصة من الهوية، يمكن استعادة الوصول بسرعة.

ثم تلقيت رسالتين عبر البريد الإلكتروني. الرسالة الأولى كانت تأكيد الاشتراك في أخبار المنصة، وكانت هذه مجرد رسالة عادية تم إرسالها من قبل المهاجم بعد أن قدم بريدي الإلكتروني من خلال نموذج الموقع الرسمي. من الواضح أن الهدف هو استخدام البريد الرسمي لإرباك حكمي، مما يزيد من مصداقية الاحتيال.

الرسالة الثانية الأكثر إزعاجًا جاءت من عنوان يبدو أنه من نطاق رسمي للمنصة، حيث أعلن أن حماية حسابي المميز قد تم إلغاؤها. هذه الرسالة التي تبدو وكأنها من نطاق رسمي مضللة للغاية - فإذا كانت تأتي من نطاق مشبوه لكان من السهل اكتشافها، ولكن بسبب عرضها على أنها عنوان رسمي، تبدو موثوقة.

التدابير المقترحة

ثم اقترح ميسون نقل أصولي إلى محفظة متعددة التوقيعات تسمى "Vault" لضمان الأمان. حتى أنه أ让我 أبحث في الوثائق الرسمية لإثبات أن هذه هي خدمة شرعية للمنصة على مدار السنوات.

أعبر عن عدم رغبتي في إجراء مثل هذا التغيير الكبير قبل التحقيق الكامل. وقد أبدى فهمه وشجعني على إجراء بحث دقيق، كما دعم أن أتصل بمشغل الشبكة لتجنب تبادل بطاقة SIM. وقال إنه سيتصل بي مرة أخرى بعد 30 دقيقة لمتابعة الخطوات التالية. بعد إنهاء المكالمة، تلقيت على الفور رسالة نصية تؤكد هذه المكالمة والتعيين.

استرجاع الاتصال و"Vault"

بعد التأكد من عدم وجود محاولات نقل SIM من شركة الاتصالات، قمت على الفور بتغيير جميع كلمات مرور الحسابات. اتصل ماسون كما هو مقرر، وبدأنا مناقشة الخطوة التالية.

في هذه المرحلة، لقد تأكدت أن "Vault" هو بالفعل خدمة حقيقية مقدمة من هذه المنصة، وهي خطة وصاية تعزز الأمان من خلال تفويض متعدد التوقيعات وتأخير السحب لمدة 24 ساعة، لكنها ليست محفظة باردة ذاتية الحفظ.

ثم أرسل ميسون رابط اسم نطاق يبدو ذا صلة، مدعياً أنه يمكن مراجعة إعدادات الأمان التي تم مناقشتها في المكالمة الأولى. بعد اكتمال المراجعة، يمكن نقل الأصول إلى Vault، وهنا بدأت مهاراتي في الأمن السيبراني تؤتي ثمارها.

بعد إدخال رقم الحالة الذي قدمه، تظهر الصفحة المفتوحة ما يسمى "تم إزالة اتصال API" وزر "إنشاء Vault". قمت على الفور بالتحقق من شهادة SSL الخاصة بالموقع، ووجدت أن اسم النطاق الذي تم تسجيله منذ شهر واحد فقط ليس له أي علاقة بالمنصة. على الرغم من أن شهادة SSL يمكن أن تخلق عادةً وهم الشرعية، إلا أن شهادات الشركات الرسمية لها ملكية واضحة، مما جعلني أوقف العملية على الفور.

المنصات الرسمية توضح بوضوح أنها لن تستخدم أبدًا أسماء نطاق غير رسمية. حتى عند استخدام خدمات الطرف الثالث، يجب أن تكون بشكل نطاق فرعي. يجب أن تتم أي عمليات تتعلق بالحساب من خلال التطبيق الرسمي أو الموقع.

أعربت عن مخاوفي لميسون، وأكدت أنني أرغب فقط في التعامل من خلال التطبيق الرسمي. وقد جادل بأن التعامل عبر التطبيق سيؤدي إلى تأخير لمدة 48 ساعة، في حين أن الحساب سيتم قفله بعد 24 ساعة. رفضت مرة أخرى اتخاذ قرار متسرع، فذكر أنه سيقوم بترقية الحالة إلى "فريق الدعم من المستوى الثالث" لمحاولة استعادة حماية حسابي المتميز.

بعد إنهاء المكالمة، واصلت التحقق من أمان حسابات أخرى، وشعرت بقلق متزايد.

​​دليل "كتاب المدرسة" للاحتيال على Coinbase: تحليل الهجوم الذي أذهل حتى الخبراء ودليل مكافحة الاحتيال​​

"فريق الدعم من المستوى الثالث" يتصل

بعد حوالي نصف ساعة، تلقيت مكالمة من رقم تكساس. شخص آخر يتحدث بلكنة أمريكية ادعى أنه محقق من المستوى الثالث، وهو يعالج طلب استعادة حسابي. وادعى أنه يحتاج إلى فترة مراجعة لمدة 7 أيام، وخلال هذه الفترة، سيكون الحساب بدون تأمين. كما "اقترح بلطف" فتح عدة خزائن لأصول مختلفة على السلسلة، مما يبدو احترافياً، ولكنه لم يذكر أي أصول محددة، بل أشار بشكل غامض إلى "الإيثيريوم، والبيتكوين، وغيرها".

ذكر أنه سيتقدم بطلب إلى قسم الشؤون القانونية لإرسال سجلات الدردشة، ثم بدأ في الترويج لـ Vault. كبديل، أوصى بمحفظة طرف ثالث تُدعى SafePal، على الرغم من أن SafePal هي بالفعل محفظة أجهزة شرعية، إلا أن هذا يبدو بوضوح تمهيدًا لكسب الثقة.

عندما سألت مرة أخرى عن اسم النطاق المشبوه، حاول الطرف الآخر لا يزال إزالة الشكوك. حتى هذه النقطة، قد يدرك المهاجم أنه من الصعب النجاح، وفي النهاية تخلى عن هجوم التصيد هذا.

الاتصال بخدمة العملاء الحقيقية للمنصة

بعد إنهاء المكالمة مع موظف الدعم المزيف الثاني، قمت بتقديم الطلب على الفور من خلال القنوات الرسمية. وقد أكد ممثل خدمة العملاء الحقيقي بسرعة أن حسابي ليس به أي تسجيل دخول غير عادي أو طلب إعادة تعيين كلمة المرور.

لقد اقترح قفل الحساب على الفور وجمع تفاصيل الهجوم لتقديمها لفريق التحقيق. لقد قدمت جميع أسماء النطاقات الاحتيالية وأرقام الهواتف وطرق الهجوم، وخاصة سألت عن مشكلة صلاحيات إرسال البريد الإلكتروني التي تبدو رسمية. اعترف خدمة العملاء أن هذا أمر خطير للغاية، وتعهدت بأن يقوم فريق الأمان بالتحقيق بشكل كامل.

عند الاتصال بخدمة العملاء للبورصة أو الوصي، يجب عليك استخدام القنوات الرسمية. الشركات الشرعية لن تتواصل مع المستخدمين بشكل استباقي.

ملخص الخبرة

على الرغم من أنني لم أتعرض للخداع محظوظًا، إلا أنني كمتخصص سابق في الأمن السيبراني، فإن هذه التجربة التي كادت أن تجعلني ضحية تثير قلقي بشدة. لولا التدريب المهني، لكان من الممكن أن أكون قد تعرضت للخداع. لو كانت مجرد مكالمة من شخص غريب، كنت سأقطع الاتصال على الفور. إنما كانت سلسلة من العمليات التي صممها المهاجم بعناية، والتي خلقت شعورًا بالإلحاح والسلطة، هي التي جعلت هذه العملية الاحتيالية خطيرة جدًا.

لقد قمت بتلخيص إشارات الخطر التالية ونصائح الحماية، آملاً أن تساعد المستثمرين في ضمان أمان الأموال في البيئة الشبكية الحالية.

إشارة خطر

خلق الفوضى والإلحاح من خلال تحذيرات كاذبة

يبدأ المهاجمون أولاً عن طريق تبادل سلسلة من بطاقات SIM وإرسال تنبيهات وطلبات رموز تحقق لمرة واحدة من عدة خدمات (، في نفس الوقت عبر الرسائل القصيرة وبرامج المراسلة الفورية )، مما يخلق عمدًا انطباعًا بأن عدة منصات تتعرض لهجوم في نفس الوقت. من المحتمل أن هذه المعلومات تحتاج فقط إلى الحصول على رقم هاتفي المحمول وبريدي الإلكتروني لتفعيلها، وهذه المعلومات يسهل الحصول عليها. في هذه المرحلة، أعتقد أن المهاجمين لم يتمكنوا بعد من الحصول على بيانات حسابات أعمق.

استخدام الرموز القصيرة مع أرقام الهواتف العادية

تستخدم معلومات الصيد مزيجًا من الرموز القصيرة للرسائل القصيرة وأرقام الهواتف العادية للإرسال. على الرغم من أن الشركات تستخدم عادةً الرموز القصيرة للتواصل الرسمي، إلا أن المهاجمين يمكنهم تزوير أو إعادة استخدام هذه الرموز القصيرة. ومع ذلك، يجب ملاحظة أن الخدمات الشرعية لن تستخدم أبدًا أرقام الهواتف العادية لإرسال تنبيهات أمان. يجب دائمًا التعامل مع المعلومات الواردة من أرقام ذات طول قياسي بشك.

يتطلب إجراء عمليات عبر أسماء نطاقات غير رسمية أو غير مألوفة

المهاجم يطلب مني الوصول

شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • أعجبني
  • 6
  • مشاركة
تعليق
0/400
BrokenDAOvip
· منذ 27 د
أوه، خبير عادي آخر يتحول إلى حالة، يثبت أن تكلفة الثقة موجودة دائمًا.
شاهد النسخة الأصليةرد0
PrivacyMaximalistvip
· منذ 14 س
إنه تناقض في أمان المعلومات~ مهما تعلمت، لن تستطيع التحمل
شاهد النسخة الأصليةرد0
SnapshotDayLaborervip
· 07-13 01:14
لم يعد الإنترنت آمناً على الإطلاق، الجميع في حالة من الذعر.
شاهد النسخة الأصليةرد0
GateUser-a606bf0cvip
· 07-13 01:14
أُعجبت، احترافي أيضاً يمكن أن يتعرض للفشل؟
شاهد النسخة الأصليةرد0
LiquidationWatchervip
· 07-13 01:14
كان الأمر شديدًا، حتى الخبراء وقعوا في الفخ.
شاهد النسخة الأصليةرد0
RektButSmilingvip
· 07-13 01:00
لا يمكن لأحد أن يوقف هاكر الكبير.
شاهد النسخة الأصليةرد0
  • تثبيت
خريطة الموقع