في الآونة الأخيرة، انتشرت تقارير عن كوارث أمنية في مجتمع العملات المشفرة. قام المهاجمون بجدولة اجتماعات عبر Calendly، وإرسال "روابط Zoom" تبدو طبيعية، مما يجذب الضحايا لتثبيت برنامج خبيث متنكر، وحتى الحصول على السيطرة عن بُعد على أجهزة الكمبيوتر خلال الاجتماعات. بين عشية وضحاها، تم الاستيلاء على جميع المحافظ وحسابات Telegram.
سوف يقوم هذا المقال بتحليل شامل لسلسلة العمليات ونقاط الدفاع لهكذا هجمات، مع تقديم مراجع كاملة، لتسهيل إعادة نشرها من قبل المجتمع، أو استخدامها في التدريب الداخلي أو الفحص الذاتي.
هدفين مزدوجين للمهاجمين
سرقة الأصول الرقمية
استخدام برامج ضارة مثل Lumma Stealer وRedLine أو IcedID لسرقة المفاتيح الخاصة وSeed Phrase من المتصفح أو محفظة سطح المكتب مباشرة، وسرعة تحويل العملات المشفرة مثل TON وBTC.
مرجع:
مدونة مايكروسوفت الرسمية
فلير معلومات التهديد
سرقة هوية
سرقة ملف تعريف الجلسة من تليجرام وجوجل، والتظاهر كأنك الضحية، لزيادة عدد الضحايا بشكل مستمر، مما يؤدي إلى انتشار بشكل متسلسل.
مرجع:
تقرير التحليل d01a
خطوات سلسلة الهجوم الأربعة
① توسيع الثقة
تظاهر بالاستثمار أو وسائل الإعلام أو البودكاست، من خلال إرسال دعوات اجتماعات رسمية عبر Calendly. على سبيل المثال في حالة "ELUSIVE COMET"، قام المهاجمون بالتظاهر كصفحة Bloomberg Crypto للاحتيال.
مرجع:
مدونة تريل أوف بيتس
② إطلاق حصان طروادة
مواقع وهمية مشابهة لموقع Zoom (غير .zoom.us) توجه المستخدمين لتحميل إصدار ضار من ZoomInstaller.exe. تم استخدام هذه الطريقة في عدة أحداث بين 2023-2025 لنشر IcedID أو Lumma.
مرجع:
بيتدفندر
③ الاستيلاء على السلطة خلال الاجتماع
قام المخترق بتغيير اسمه في اجتماع Zoom إلى "Zoom"، وطلب من الضحية "اختبار مشاركة الشاشة" وإرسال طلب التحكم عن بُعد في نفس الوقت. بمجرد أن تضغط الضحية على "السماح"، يتم اختراقها بالكامل.
مرجع:
مساعدة أمان الشبكة
دارك ريدينغ
④ الانتشار وتسييل الأصول
تقوم البرامج الضارة بتحميل المفاتيح الخاصة، وسحب الأموال على الفور، أو الانتظار لعدة أيام قبل سرقة هوية Telegram لخداع الآخرين. تم تصميم RedLine خصيصًا لاستهداف دليل tdata الخاص بـ Telegram.
مرجع:
d01a تقرير التحليل
خطوات الإسعاف الثلاثة بعد الحادث
جهاز العزل الفوري
قم بإزالة كابل الشبكة، وإيقاف تشغيل الواي فاي، واستخدام USB نظيف لبدء الفحص؛ إذا تم اكتشاف RedLine/Lumma، يُنصح بإعادة تهيئة القرص بالكامل.
إزالة جميع الجلسات
نقل العملات المشفرة إلى محفظة الأجهزة الجديدة؛ تسجيل الخروج من جميع الأجهزة في تلغرام وتفعيل التحقق بخطوتين؛ تغيير جميع كلمات مرور البريد الإلكتروني ومنصات التداول.
مراقبة متزامنة لسلسلة الكتل والبورصات
عند اكتشاف تحويل غير عادي، اتصل بالبورصة على الفور لطلب تجميد العنوان المشبوه.
القواعد الستة للدفاع طويل الأمد
أجهزة الاجتماعات المستقلة: الاجتماعات الغريبة تتم فقط باستخدام حاسوب محمول احتياطي أو هاتف محمول بدون مفتاح خاص.
مصادر التنزيل الرسمية: يجب أن تأتي البرامج مثل Zoom و AnyDesk من مواقع الشركات المصنعة الأصلية؛ يُوصى بإيقاف تشغيل "فتح تلقائي بعد التنزيل" في macOS.
تحقق بدقة من عنوان الويب: يجب أن يكون رابط الاجتماع .zoom.us؛ كما يجب أن يتبع عنوان URL المخصص لـ Zoom هذا المعيار (إرشادات رسمية
مبدأ الثلاثة لا: لا تستخدم برامج الغش، لا تعطي بيانات بعيدة، لا تعرض Seed / المفتاح الخاص.
فصل المحفظة الساخنة والباردة: يتم وضع الأصول الرئيسية في المحفظة الباردة مع PIN + عبارة المرور؛ تترك المحفظة الساخنة فقط للمبالغ الصغيرة.
تفعيل 2FA على جميع الحسابات: تفعيل التحقق الثنائي على Telegram وEmail وGitHub وجميع البورصات.
الخاتمة: المخاطر الحقيقية للاجتماعات الزائفة
القراصنة العصريين لا يعتمدون على ثغرات اليوم صفر، بل يتقنون فنونهم. إنهم يصممون اجتماعات Zoom "تبدو طبيعية جدًا"، في انتظار خطأ منك.
طالما أنك اكتسبت عادة: عزل الأجهزة، المصادر الرسمية، التحقق المتعدد الطبقات، فلن تصبح هذه الأساليب قابلة للتطبيق بعد الآن. نأمل أن يبتعد كل مستخدم على السلسلة عن فخاخ الهندسة الاجتماعية، ويحافظ على خزائنه وهويته.
شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
اجتماع مزيف وأزمة حقيقية: تحليل سلسلة العمليات لهجمات التصيد على زووم وكاليندلي ونقاط الدفاع
المؤلف: د. دوجي رائع
في الآونة الأخيرة، انتشرت تقارير عن كوارث أمنية في مجتمع العملات المشفرة. قام المهاجمون بجدولة اجتماعات عبر Calendly، وإرسال "روابط Zoom" تبدو طبيعية، مما يجذب الضحايا لتثبيت برنامج خبيث متنكر، وحتى الحصول على السيطرة عن بُعد على أجهزة الكمبيوتر خلال الاجتماعات. بين عشية وضحاها، تم الاستيلاء على جميع المحافظ وحسابات Telegram.
سوف يقوم هذا المقال بتحليل شامل لسلسلة العمليات ونقاط الدفاع لهكذا هجمات، مع تقديم مراجع كاملة، لتسهيل إعادة نشرها من قبل المجتمع، أو استخدامها في التدريب الداخلي أو الفحص الذاتي.
هدفين مزدوجين للمهاجمين
سرقة الأصول الرقمية
استخدام برامج ضارة مثل Lumma Stealer وRedLine أو IcedID لسرقة المفاتيح الخاصة وSeed Phrase من المتصفح أو محفظة سطح المكتب مباشرة، وسرعة تحويل العملات المشفرة مثل TON وBTC.
مرجع:
مدونة مايكروسوفت الرسمية
فلير معلومات التهديد
سرقة هوية
سرقة ملف تعريف الجلسة من تليجرام وجوجل، والتظاهر كأنك الضحية، لزيادة عدد الضحايا بشكل مستمر، مما يؤدي إلى انتشار بشكل متسلسل.
مرجع:
تقرير التحليل d01a
خطوات سلسلة الهجوم الأربعة
① توسيع الثقة
تظاهر بالاستثمار أو وسائل الإعلام أو البودكاست، من خلال إرسال دعوات اجتماعات رسمية عبر Calendly. على سبيل المثال في حالة "ELUSIVE COMET"، قام المهاجمون بالتظاهر كصفحة Bloomberg Crypto للاحتيال.
مرجع:
مدونة تريل أوف بيتس
② إطلاق حصان طروادة
مواقع وهمية مشابهة لموقع Zoom (غير .zoom.us) توجه المستخدمين لتحميل إصدار ضار من ZoomInstaller.exe. تم استخدام هذه الطريقة في عدة أحداث بين 2023-2025 لنشر IcedID أو Lumma.
مرجع:
بيتدفندر
③ الاستيلاء على السلطة خلال الاجتماع
قام المخترق بتغيير اسمه في اجتماع Zoom إلى "Zoom"، وطلب من الضحية "اختبار مشاركة الشاشة" وإرسال طلب التحكم عن بُعد في نفس الوقت. بمجرد أن تضغط الضحية على "السماح"، يتم اختراقها بالكامل.
مرجع:
مساعدة أمان الشبكة
دارك ريدينغ
④ الانتشار وتسييل الأصول
تقوم البرامج الضارة بتحميل المفاتيح الخاصة، وسحب الأموال على الفور، أو الانتظار لعدة أيام قبل سرقة هوية Telegram لخداع الآخرين. تم تصميم RedLine خصيصًا لاستهداف دليل tdata الخاص بـ Telegram.
مرجع:
d01a تقرير التحليل
خطوات الإسعاف الثلاثة بعد الحادث
جهاز العزل الفوري
قم بإزالة كابل الشبكة، وإيقاف تشغيل الواي فاي، واستخدام USB نظيف لبدء الفحص؛ إذا تم اكتشاف RedLine/Lumma، يُنصح بإعادة تهيئة القرص بالكامل.
إزالة جميع الجلسات
نقل العملات المشفرة إلى محفظة الأجهزة الجديدة؛ تسجيل الخروج من جميع الأجهزة في تلغرام وتفعيل التحقق بخطوتين؛ تغيير جميع كلمات مرور البريد الإلكتروني ومنصات التداول.
مراقبة متزامنة لسلسلة الكتل والبورصات
عند اكتشاف تحويل غير عادي، اتصل بالبورصة على الفور لطلب تجميد العنوان المشبوه.
القواعد الستة للدفاع طويل الأمد
أجهزة الاجتماعات المستقلة: الاجتماعات الغريبة تتم فقط باستخدام حاسوب محمول احتياطي أو هاتف محمول بدون مفتاح خاص.
مصادر التنزيل الرسمية: يجب أن تأتي البرامج مثل Zoom و AnyDesk من مواقع الشركات المصنعة الأصلية؛ يُوصى بإيقاف تشغيل "فتح تلقائي بعد التنزيل" في macOS.
تحقق بدقة من عنوان الويب: يجب أن يكون رابط الاجتماع .zoom.us؛ كما يجب أن يتبع عنوان URL المخصص لـ Zoom هذا المعيار (إرشادات رسمية
مبدأ الثلاثة لا: لا تستخدم برامج الغش، لا تعطي بيانات بعيدة، لا تعرض Seed / المفتاح الخاص.
فصل المحفظة الساخنة والباردة: يتم وضع الأصول الرئيسية في المحفظة الباردة مع PIN + عبارة المرور؛ تترك المحفظة الساخنة فقط للمبالغ الصغيرة.
تفعيل 2FA على جميع الحسابات: تفعيل التحقق الثنائي على Telegram وEmail وGitHub وجميع البورصات.
الخاتمة: المخاطر الحقيقية للاجتماعات الزائفة
القراصنة العصريين لا يعتمدون على ثغرات اليوم صفر، بل يتقنون فنونهم. إنهم يصممون اجتماعات Zoom "تبدو طبيعية جدًا"، في انتظار خطأ منك.
طالما أنك اكتسبت عادة: عزل الأجهزة، المصادر الرسمية، التحقق المتعدد الطبقات، فلن تصبح هذه الأساليب قابلة للتطبيق بعد الآن. نأمل أن يبتعد كل مستخدم على السلسلة عن فخاخ الهندسة الاجتماعية، ويحافظ على خزائنه وهويته.