الخلفية
تمت دعوة SlowMist مؤخرًا للتحدث في Ethereum Web3 Security BootCamp، الذي نظمته DeFiHackLabs. قدم Thinking، رئيس تدقيق الأمان في SlowMist، شرحًا مفصلًا لثمانية فصول رئيسية - "الخداع، التملص، الإغراء، الهجوم، الإخفاء، التقنيات، التعرف، الدفاع" - باستخدام دراسات حالة من العالم الحقيقي لعرض الأساليب والتكتيكات المستخدمة من قبل قراصنة الصيد الاحتيالي، بالإضافة إلى الإجراءات الوقائية التي يمكن تنفيذها. يظل الصيد الاحتيالي أحد أهم التهديدات في الصناعة، ومن الضروري فهم الهجوم والدفاع من أجل تعزيز الدفاعات. في هذه المقالة، نستخلص ونشارك أفكارًا رئيسية من الجلسة لمساعدة المستخدمين على التعرف على هجمات الصيد الاحتيالي وحماية أنفسهم منها.

لماذا تكون هجمات الصيد الاحتيالي فعّالة جدًا؟

في مساحة Web3 ، أصبحت هجمات التصيد الاحتيالي واحدة من أكبر التهديدات الأمنية. دعنا نلقي نظرة على سبب وقوع المستخدمين ضحية للتصيد الاحتيالي. حتى أولئك الذين يتمتعون بمستوى عال من الوعي الأمني قد يشعرون أحيانا بشعور "أولئك الذين يسيرون على ضفاف النهر سوف يبللون أحذيتهم حتما" ، لأن الحفاظ على اليقظة المستمرة أمر صعب للغاية. يقوم المهاجمون عادة بتحليل المشاريع الساخنة الأخيرة والنشاط المجتمعي وقاعدة المستخدمين لتحديد الأهداف البارزة. ثم يتنكرون بعناية ويجذبون المستخدمين بطعم مغري مثل الإنزال الجوي والعوائد العالية. غالبا ما تتضمن هذه الهجمات الهندسة الاجتماعية ، حيث يتلاعب المهاجمون بمهارة بنفسية المستخدمين لتحقيق أهدافهم الاحتيالية:

• إغراء:أهلية القائمة البيضاء للحصول على الهبوط الجوي، فرص التعدين، كلمات مرور الثروة، وأكثر من ذلك.
• الفضول / الطمع:لا تخاف من البيع في الذروة، لا تفوت عملة الـ 100x المحتملة، لا تفوت اجتماع الليلة في الساعة 10:00، رابط الاجتماعhttps://us04-zoom[.]us/ (خبيث); إضافة $PENGU الجوية للقائمة البيضاء، لا تفوتhttps://vote-pengu[.]com/ (خبيث).
• الخوف:تحذير عاجل: تم اختراق مشروع XX، يرجى استخدام revake[.]cash (خبيث) لإلغاء التفويض وتجنب فقدان الأصول.
• أدوات فعالة:أدوات جمع الهبوط الجوي، أدوات الكم الذكي، أدوات التعدين بنقرة واحدة، وغيرها.

السبب في أن يلجأ المهاجمون إلى بذل جهود كبيرة لإنشاء ونشر هذه الفخاخ هو أنها مربحة للغاية. من خلال هذه الأساليب، يمكن للمهاجمين الحصول بسهولة على معلومات/أذونات المستخدمين الحساسة وسرقة أصولهم:

• سرقة المنيمونيكس/المفاتيح الخاصة:Engaging users into entering their mnemonic or private key.
• Engaging in Phishing to Obtain Wallet Signatures:التوقيعات المصرح بها، التوقيعات التحويل، وأكثر.
• سرقة كلمات المرور للحسابات:Telegram، Gmail، X، Discord، الخ.
• سرقة أذونات التطبيقات الاجتماعية:X، ديسكورد، الخ.
• تحريض على تثبيت تطبيقات خبيثة:تطبيقات محفظة مزيفة، تطبيقات اجتماعية مزيفة، تطبيقات اجتماعية مزيفة، الخ.

تكتيكات الاحتيال

دعونا نلقي نظرة على بعض تكتيكات التصيد الشائعة:
سرقة الحساب / التنكر في الحسابات
في الآونة الأخيرة ، كانت هناك تقارير متكررة عن اختراق مشاريع Web3 / حسابات X الخاصة ب KOLs. بعد سرقة هذه الحسابات ، غالبا ما يروج المهاجمون لرموز مزيفة أو يستخدمون أسماء نطاقات مماثلة في منشورات "الأخبار الجيدة" لخداع المستخدمين للنقر على الروابط الضارة. في بعض الأحيان ، قد تكون النطاقات حقيقية ، حيث يمكن أن يكون المهاجمون قد اختطفوا مجال المشروع. بمجرد أن ينقر الضحايا على رابط تصيد احتيالي أو يوقعون معاملة أو يقومون بتنزيل برامج ضارة ، تتم سرقة أصولهم.

بالإضافة إلى سرقة الحسابات ، غالبا ما ينتحل المهاجمون حسابات حقيقية على X ، تاركين تعليقات على المشاركات المشروعة لتضليل المستخدمين. قام فريق الأمن في SlowMist بتحليل هذا التكتيك: حوالي 80٪ من التعليقات الأولى على تغريدات المشاريع المعروفة غالبا ما تشغلها حسابات التصيد الاحتيالي. يستخدم المهاجمون برامج الروبوت لمتابعة أنشطة المشاريع الشائعة ، وبمجرد نشر تغريدة ، تترك برامج الروبوت الخاصة بهم التعليق الأول تلقائيا لتأمين أعلى رؤية. نظرا لأن المستخدمين يقرؤون منشورات من المشروع الشرعي ، ويشبه حساب التصيد الاحتيالي إلى حد كبير الحساب الحقيقي ، فقد ينقر المستخدمون المطمئنون على روابط التصيد الاحتيالي بحجة الإنزال الجوي ، أو تفويض المعاملات أو توقيعها وفقدان أصولهم.

يقوم المهاجمون أيضًا بتنتحال صفة المسؤولين لنشر رسائل مزيفة، خصوصًا على منصات مثل Discord. نظرًا لأن Discord يسمح للمستخدمين بتخصيص الألقاب وأسماء المستخدمين، يمكن للمهاجمين تغيير ملفهم الشخصي ليتناسب مع ملف المسؤول، ثم نشر رسائل احتيالية أو مراسلة المستخدمين مباشرة. من دون التحقق من الملف الشخصي، من الصعب اكتشاف الخداع. بالإضافة إلى ذلك، وبينما لا يمكن تكرار أسماء مستخدمي Discord، يمكن للمهاجمين إنشاء حسابات بأسماء تكاد تكون متطابقة مع ملف المسؤول عن طريق إضافة تغييرات صغيرة، مثل شرطة سفلية أو نقطة، مما يجعل من الصعب على المستخدمين التفريق بينهما.

التصيد القائم على الدعوة
غالبا ما يتواصل المهاجمون مع المستخدمين على المنصات الاجتماعية ، ويوصون بمشاريع "متميزة" أو يدعون المستخدمين إلى الاجتماعات ، مما يؤدي بهم إلى مواقع التصيد الاحتيالي الضارة لتنزيل التطبيقات الضارة. على سبيل المثال ، تم خداع بعض المستخدمين لتنزيل تطبيق Zoom مزيف ، مما أدى إلى سرقة الأصول. يستخدم المهاجمون نطاقات مثل "app[.]us4zoom[.]نحن" للتنكر كروابط Zoom حقيقية ، وإنشاء صفحة تبدو متطابقة تقريبا مع واجهة Zoom الفعلية. عندما ينقر المستخدمون على "بدء الاجتماع" ، تتم مطالبتهم بتنزيل مثبت ضار بدلا من تشغيل عميل Zoom. أثناء التثبيت ، يتم تشجيع المستخدمين على إدخال كلمات المرور ، ويجمع البرنامج النصي الضار المكون الإضافي للمحفظة وبيانات KeyChain (التي قد تحتوي على كلمات مرور مخزنة). بعد جمع هذه البيانات ، يحاول المهاجمون فك تشفيرها والوصول إلى فن الإستذكار الخاص بمحفظة المستخدمين أو المفاتيح الخاصة ، وفي النهاية سرقة أصولهم.

استغلال تصنيف محرك البحث
نظرا لأنه يمكن تعزيز تصنيفات محرك البحث بشكل مصطنع عن طريق شراء الإعلانات ، فقد تحتل مواقع التصيد الاحتيالي مرتبة أعلى من مواقع الويب الرسمية. قد يجد المستخدمون غير المتأكدين من عنوان URL الرسمي لموقع الويب صعوبة في اكتشاف مواقع التصيد الاحتيالي ، خاصة وأن مواقع التصيد الاحتيالي يمكنها تخصيص عنوان URL لإعلانها لمطابقة العنوان الرسمي. قد يظهر عنوان URL للإعلان مطابقا للموقع الرسمي، ولكن عند النقر عليه، تتم إعادة توجيه المستخدمين إلى موقع التصيد الاحتيالي للمهاجم. نظرا لأن مواقع التصيد الاحتيالي غالبا ما تبدو متطابقة تقريبا مع المواقع الشرعية ، فمن السهل أن يتم تضليلها. من الآمن عدم الاعتماد فقط على محركات البحث للعثور على مواقع الويب الرسمية ، لأن هذا قد يؤدي إلى مواقع التصيد الاحتيالي.

إعلانات TG
مؤخرًا، تزايدت بشكل كبير الشكاوى من المستخدمين حول الروبوتات المزيفة في TG. يصادف المستخدمون في كثير من الأحيان ظهور روبوتات جديدة في أعلى قنوات التداول الرسمية للروبوتات ويعتقدون بالخطأ أنها رسمية. يقومون بالنقر على الروبوت الجديد، واستيراد مفتاحهم الخاص، وربط محفظتهم، فقط ليتم سرقة أصولهم. يستخدم المهاجمون الإعلانات المستهدفة في قنوات Telegram الرسمية لجذب المستخدمين إلى النقر. تعتبر هذه الطرق التصيدية خفية بشكل خاص لأنها تظهر في قنوات رسمية، مما يجعل المستخدمين يفترضون أنها رسمية. دون الحذر الكافي، يمكن للمستخدمين الوقوع في فخ الروبوت التصيدية، وإدخال مفاتيحهم الخاصة، وفقدان أصولهم.

بالإضافة إلى ذلك، اكتشفنا مؤخراًعملية احتيال جديدة: عملية احتيال Telegram الوهمية للحماية. تم خداع العديد من المستخدمين لتشغيل رمز خبيث من تعليمات المهاجمين ، مما أدى إلى سرقة الأصول.

متاجر التطبيقات
ليس جميع البرامج المتاحة في متاجر التطبيقات (Google Play, Chrome Store, App Store, APKCombo, الخ) حقيقية. لا تستطيع المتاجر في بعض الأحيان مراجعة جميع التطبيقات بشكل كامل. يستخدم بعض المهاجمين تكتيكات مثل شراء تصنيفات الكلمات الرئيسية أو إعادة توجيه حركة المرور لخداع المستخدمين لتنزيل تطبيقات غير مشروعة. نشجع المستخدمين على مراجعة التطبيقات بعناية قبل التنزيل. تحقق دائمًا من معلومات المطور للتأكد من أنها تتطابق مع الهوية الرسمية. يمكنك أيضًا التحقق من تقييمات التطبيق وأعداد التنزيلات وتفاصيل أخرى ذات الصلة.

رسائل التصيد
التصيد عبر البريد الإلكتروني هو واحد من أقدم الحيل في الكتاب، وغالبًا ما يكون بسيطًا وفعّالًا. يستخدم المهاجمون قوالب الصيد الاحتيالي مع خوادم الوكيل العكسي Evilngins لصياغة رسائل البريد الإلكتروني مثل تلك المعروضة أدناه. عندما ينقر المستخدمون على "عرض المستند"، يتم توجيههم إلى صفحة DocuSign مزيفة (والتي أصبحت الآن غير متصلة). إذا نقر المستخدم على تسجيل الدخول إلى Google في هذه الصفحة، سيتم توجيهه إلى صفحة تسجيل الدخول المزيفة لـ Google. بمجرد إدخالهم اسم مستخدمهم وكلمة مرورهم ورمز 2FA، يكتسب المهاجم السيطرة على حسابهم.

البريد الإلكتروني الاحتيالي أعلاه لم يتم صياغته بعناية، حيث لم يتم تمويه عنوان البريد الإلكتروني للمرسل. لنلقي نظرة على كيفية محاولة المهاجم لتمويهه في المثال التالي: يختلف عنوان البريد الإلكتروني للمهاجم عن البريد الإلكتروني الرسمي بنقطة صغيرة فقط. باستخدام أداة مثل DNSTwist، يمكن للمهاجمين التعرف على الأحرف الخاصة المدعومة بواسطة Gmail. دون إيلاء اهتمام كبير، قد تخطئ في اعتبارها شاشة قذرة.

استغلال ميزات المتصفح
لمزيد من التفاصيل، انظر Slow Mist: الكشف عن كيفية سرقة علامات التبويب الخبيثة للمتصفح لرموز Discord الخاصة بك.

تحديات الدفاع

تتطور تكتيكات التصيد باستمرار وتصبح أكثر تطوراً وتعقيداً. أظهر تحليلنا السابق أن المهاجمين يمكنهم إنشاء مواقع تحاكي بشكل وثيق الصفحات الرسمية لمشاريع معروفة، والاستيلاء على نطاقات المشاريع، وحتى تزوير مشاريع كاملة. وعادة ما يكون لدى هذه المشاريع الاحتيالية عدد كبير من المتابعين الوهميين على وسائل التواصل الاجتماعي (المتابعين المشترى) وحتى مستودعات GitHub، مما يجعل من الصعب على المستخدمين اكتشاف تهديدات التصيد. علاوة على ذلك، يعقد استخدام المهاجمين للأدوات المجهولة المهمة مهمة تعقيد محاولات تتبع أعمالهم. لإخفاء هويتهم، يعتمد المهاجمون في كثير من الأحيان على شبكات الخوادم الافتراضية الخاصة (VPNs) أو تور (Tor) أو الأجهزة المخترقة لتنفيذ هجماتهم.

بمجرد أن يحصل المهاجمون على هوية مجهولة ، فإنهم بحاجة أيضًا إلى البنية التحتية الأساسية ، مثل Namecheap ، الذي يقبل مدفوعات العملات المشفرة. بعض الخدمات تتطلب فقط عنوان بريد إلكتروني للتسجيل ولا تتطلب التحقق من KYC ، مما يسمح للمهاجمين بتجنب التعقب.

بمجرد أن يكون لديهم هذه الأدوات في مكانها، يمكن للمهاجمين البدء في هجمات الاحتيال. بعد سرقة الأموال، قد يستخدمون خدمات مثل واسابي أو تورنادو لتحجيم أثر الأموال. ولتعزيز الإجهاد، قد يبادلون الأموال المسروقة بعملات رقمية تركز على الخصوصية مثل مونيرو.

للتستر على أثرهم وتجنب ترك أدلة وراءهم ، سيقوم المهاجمون بإزالة القرارات المتعلقة بالنطاقات ، والبرامج الخبيثة ، ومستودعات GitHub ، وحسابات المنصات ، وما إلى ذلك. هذا يجعل من الصعب على فرق الأمان التحقيق في الحوادث ، حيث قد لا يكون مواقع الصيد الاحتيالية متاحة بعد الآن وقد لا تكون البرامج الخبيثة متاحة للتنزيل.

استراتيجيات الدفاع

يمكن للمستخدمين التعرف على تهديدات الصيد الاحتيالي عن طريق التعرف على الخصائص المذكورة أعلاه والتحقق من صحة المعلومات قبل القيام بأي إجراء. كما يمكنهم تحسين دفاعهم عن الصيد الاحتيالي باستخدام الأدوات التالية:

• التصيد مانع مخاطر البرمجيات الإضافية: يمكن لأدوات مثل مكتشف الاحتيال اكتشاف المخاطر من زوايا متعددة. إذا فتح المستخدم صفحة احتيال مشبوهة ، ستقوم الأداة بتنبيههم بتحذير.
• محافظ آمنة للغاية: مثل محفظة المراقبة لرابي (التي لا تتطلب مفتاح خاص)، كشف مواقع الاحتيال، وظيفة 'ما تراه هو ما توقعه'، كشف التوقيعات عالية المخاطر، وميزات التعرف على تاريخ الاحتيال.
• برامج مكافحة الفيروسات المعروفة: البرامج الشهيرة مثل AVG و Bitdefender و Kaspersky.
• محافظ العتاد:تقدم محافظ الأجهزة تخزينًا غير متصل بالإنترنت للمفاتيح الخاصة، مما يضمن عدم تعرض المفاتيح عبر الإنترنت عند التفاعل مع التطبيقات اللامركزية، مما يقلل بشكل كبير من خطر سرقة الأصول.

استنتاج

تنتشر هجمات التصيد الاحتيالي على نطاق واسع في عالم blockchain. الشيء الأكثر أهمية هو البقاء يقظا وتجنب الوقوع على حين غرة. عند التنقل في مساحة blockchain ، فإن المبدأ الأساسي هو تبني عقلية انعدام الثقة والتحقق باستمرار من كل شيء. نوصي بقراءة "دليل الإنقاذ الذاتي للغابة المظلمة من Blockchain Dark Forest" وإتقانه تدريجيا لتعزيز دفاعك: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/.

بيان:

1. تم استنساخ هذه المقالة من 【مانوو تكنولوجي】، ينتمي حق الطبع إلى الكاتب الأصلي【فريق أمان مانووو】, إذا كان لديك أي اعتراض على إعادة الطبع، يرجى الاتصال بوابة تعلم، سيتعامل الفريق معه في أقرب وقت ممكن وفقًا للإجراءات ذات الصلة.
2. تنويه: تعبر الآراء والآراء المعبر عنها في هذه المقالة فقط عن آراء الكاتب الشخصية ولا تشكل أي توصية استثمارية.
3. تتم ترجمة النسخ الأخرى من المقال بفريق Gate Learn. ما لم يذكر خلاف ذلك، قد لا يتم نسخ المقال المترجم، أو توزيعه، أو نسخه.