أصبحت هجمات الهندسة الاجتماعية تهديدًا كبيرًا لأمان الأصول التشفيرية

في السنوات الأخيرة، زادت الهجمات الهندسية الاجتماعية ضد مستخدمي التشفير بشكل كبير، مما يشكل تهديدًا خطيرًا لأمان الأصول. منذ عام 2025، تكررت حوادث الاحتيال الهندسي الاجتماعي ضد مستخدمي منصة تداول معروفة، مما أثار اهتمامًا واسعًا في الصناعة. من خلال النقاشات المجتمعية، يتضح أن هذه الحوادث ليست حالات فردية، بل هي نوع من الاحتيال المنظم والمستمر.

في 15 مايو، أصدرت منصة التداول إعلانًا يؤكد الشائعات السابقة حول وجود "جاسوس" في المنصة. وقد بدأت وزارة العدل الأمريكية تحقيقًا في هذه الحادثة المتعلقة بتسريب البيانات.

ستقوم هذه المقالة بتجميع المعلومات المقدمة من عدة باحثين في الأمن والضحايا، لكشف الأساليب الرئيسية التي يستخدمها المحتالون، ومناقشة كيفية التصدي لهذه الاحتيالات بفعالية من وجهتي نظر المنصة والمستخدم.

التحليل التاريخي

قال المحقق زاك على منصة التواصل الاجتماعي في 7 مايو: "خلال الأسبوع الماضي فقط، تم سرقة أكثر من 45 مليون دولار من مستخدمي منصة تداول معينة بسبب الاحتيال الاجتماعي".

على مدى العام الماضي، كشف زاك عدة مرات عن حوادث سرقة مستخدمي المنصة، حيث وصلت خسائر بعض الضحايا إلى عشرات الملايين من الدولارات. أظهر التحقيق التفصيلي الذي نشره في فبراير 2025 أن إجمالي الأموال المسروقة بسبب عمليات الاحتيال المماثلة بين ديسمبر 2024 ويناير 2025 قد تجاوز 65 مليون دولار. تواجه المنصة أزمة خطيرة تتعلق ب"احتيال الهندسة الاجتماعية"، حيث تستمر هذه الهجمات في انتهاك أمان الأصول للمستخدمين بحجم يبلغ 300 مليون دولار سنويًا. كما أشار زاك:

• العصابات التي تتزعم هذا النوع من الاحتيال تنقسم أساسًا إلى فئتين: الفئة الأولى هي المهاجمون منخفضو المستوى من دائرة معينة، والفئة الثانية هي منظمات الجريمة الإلكترونية الموجودة في الهند؛
• تستهدف عصابات الاحتيال بشكل رئيسي المستخدمين الأمريكيين، وتتميز أساليبها بالجودة القياسية وعمليات الحوار المتطورة؛
• قد تكون قيمة الخسارة الفعلية أعلى بكثير من الإحصائيات المرئية على السلسلة، لأنها لا تشمل المعلومات غير المتاحة مثل تذاكر خدمة العملاء وسجلات بلاغات الشرطة.

أساليب الاحتيال

في هذه الحادثة، لم يتم اختراق النظام التقني للمنصة، بل استغل المحتالون صلاحيات موظفين داخليين للحصول على بعض المعلومات الحساسة للمستخدمين. تشمل هذه المعلومات: الاسم، العنوان، معلومات الاتصال، بيانات الحساب، صور الهوية، وغيرها. الهدف النهائي للمحتالين هو استخدام أساليب الهندسة الاجتماعية لتوجيه المستخدمين لإجراء التحويل.

لقد غيرت هذه الطريقة في الهجوم أساليب "الصيد بالشبكة" التقليدية، وتحولت إلى "ضربات دقيقة"، وتعتبر بمثابة احتيال اجتماعي "مصنوع حسب الطلب". المسار النموذجي للجريمة هو كما يلي:

1. الاتصال بالمستخدم بصفة "خدمة العملاء الرسمية"

المحتالون يستخدمون أنظمة هاتفية مزيفة لانتحال صفة خدمة العملاء في المنصة، ويتصلون بالمستخدمين ليخبرونهم أن "حسابهم تعرض لتسجيل دخول غير قانوني"، أو "تم اكتشاف استثناء في السحب"، مما يخلق جوًا من الطوارئ. ثم يرسلون رسائل بريد إلكتروني أو رسائل نصية مزيفة، تحتوي على أرقام تذاكر وهمية أو روابط "إجراءات استعادة"، ويوجهون المستخدمين إلى اتخاذ إجراءات. قد تشير هذه الروابط إلى واجهة منصة مقلدة، وحتى يمكن أن ترسل رسائل تبدو وكأنها من نطاق رسمي، وبعض الرسائل تستخدم تقنية إعادة التوجيه لتجاوز الحماية الأمنية.

2. توجيه المستخدمين لتنزيل المحفظة الرسمية

سيقوم المحتالون بتوجيه المستخدمين لتحويل الأموال إلى "محفظة آمنة" بحجة "حماية الأصول"، كما سيساعدون المستخدمين في تثبيت المحفظة الرسمية، ويقومون بإرشادهم لنقل الأصول التي كانت محفوظة في المنصة إلى محفظة جديدة تم إنشاؤها.

3. تحفيز المستخدمين على استخدام كلمات المرور التي يقدمها المحتالون

على عكس "خداع استرداد العبارة السرية" التقليدي، يقوم المحتالون بتقديم مجموعة من العبارات السرية التي أنشأوها بأنفسهم مباشرة، مما يغري المستخدمين لاستخدامها كـ "محفظة جديدة رسمية".

4. المحتالون يقومون بسرقة الأموال

يكون الضحايا في حالة من التوتر والقلق وثقة في "خدمة العملاء"، مما يجعلهم عرضة للوقوع في الفخ. في نظرهم، فإن المحفظة الجديدة التي "توفرها الجهات الرسمية" تبدو بالطبع أكثر أمانًا من المحفظة القديمة "المشتبه في اختراقها". النتيجة هي أنه بمجرد تحويل الأموال إلى هذه المحفظة الجديدة، يمكن للمحتالين نقلها على الفور. "المفاتيح غير التي تتحكم بها، ليست عملاتك" - في هجمات الهندسة الاجتماعية، تم التحقق من هذه الفكرة مرة أخرى بشكل دموي.

بالإضافة إلى ذلك، تدعي بعض رسائل التصيد "بسبب حكم الدعوى الجماعية، ستنتقل المنصة بالكامل إلى المحافظ الذاتية"، وتطلب من المستخدمين إكمال نقل الأصول قبل تاريخ معين. تحت ضغط الوقت العاجل والإيحاء النفسي بـ"الأمر الرسمي"، يصبح من الأسهل على المستخدمين التعاون في العملية.

وفقًا للباحثين في مجال الأمان، فإن هذه الهجمات غالبًا ما يتم التخطيط لها وتنفيذها بشكل منظم:

• سلسلة أدوات الاحتيال مكتملة: يستخدم المحتالون نظام PBX لتزوير أرقام المكالمات، ويتم محاكاة مكالمات خدمة العملاء الرسمية. عند إرسال رسائل بريد إلكتروني احتيالية، سيتم استخدام الروبوتات على المنصات الاجتماعية لتقليد البريد الإلكتروني الرسمي، مع إرفاق "دليل استعادة الحساب" لتوجيه التحويل.
• الهدف الدقيق: يعتمد المحتالون على بيانات المستخدمين المسروقة التي تم شراؤها من قنوات منصات التواصل الاجتماعي والشبكة المظلمة، ويستهدفون مستخدمي منطقة الولايات المتحدة كهدف رئيسي، بل يستخدمون الذكاء الاصطناعي لمعالجة البيانات المسروقة، حيث يقومون بتقسيم وإعادة تركيب أرقام الهواتف، وإنشاء ملفات TXT بكميات كبيرة، ثم يستخدمون برامج الاختراق لإرسال رسائل نصية احتيالية.
• عملية الاحتيال متسقة: من الهاتف، الرسائل القصيرة إلى البريد الإلكتروني، عادة ما تكون مسارات الاحتيال متصلة بسلاسة، تشمل عبارات التصيد الشائعة "تم استلام طلب سحب من الحساب"، "تم إعادة تعيين كلمة المرور"، "هناك تسجيل دخول غير عادي إلى الحساب"، مما يؤدي باستمرار إلى إغراء الضحية بإجراء "تحقق أمني"، حتى يتم إكمال تحويل المحفظة.

تحليل على السلسلة

من خلال نظام مكافحة غسل الأموال وتتبع المعاملات على السلسلة، تم تحليل بعض عناوين المحتالين، واكتشف أن هؤلاء المحتالين يمتلكون قدرة قوية على العمل على السلسلة، وفيما يلي بعض المعلومات الأساسية:

تستهدف هجمات المحتالين مجموعة متنوعة من الأصول التي يمتلكها المستخدمون، حيث تتركز فترات نشاط هذه العناوين بين ديسمبر 2024 ومايو 2025، والأصول المستهدفة الرئيسية هي BTC و ETH. تعتبر BTC هي الهدف الرئيسي للمحتالين في الوقت الحالي، حيث تصل أرباح عدة عناوين في مرة واحدة إلى مئات من BTC، بقيمة تصل إلى ملايين الدولارات لكل صفقة.

بعد الحصول على الأموال، يستخدم المحتالون بسرعة مجموعة من العمليات لغسل الأصول وتبادلها ونقلها، والنمط الرئيسي كما يلي:

• غالبًا ما يتم تبادل أصول من نوع ETH بسرعة عبر بعض DEX إلى DAI أو USDT، ثم تُنقل بشكل متفرق إلى عدة عناوين جديدة، ويدخل جزء من الأصول إلى منصات التداول المركزية؛
• يتم تحويل BTC بشكل رئيسي عبر بروتوكول السلسلة المتقاطعة إلى إيثيريوم، ثم يتم تحويله إلى DAI أو USDT لتجنب مخاطر التتبع.

تظل العديد من عناوين الاحتيال في حالة "استراحة" بعد تلقي DAI أو USDT ولم يتم تحويلها بعد.

لتجنب التفاعل مع عناوين مشبوهة مما قد يعرض الأصول للتجميد، يُنصح المستخدمون باستخدام نظام مكافحة غسيل الأموال والتتبع القائم على السلسلة لفحص عنوان الهدف قبل إجراء المعاملات، وذلك لتجنب التهديدات المحتملة.

تدابير المواجهة

منصة

تتمثل الأساليب الأمنية السائدة حاليًا في "طبقة التكنولوجيا"، بينما غالبًا ما تتجاوز الاحتيالات الاجتماعية هذه الآليات، مستهدفةً الثغرات النفسية والسلوكية لدى المستخدمين. لذلك، يُنصح بأن تقوم المنصات بدمج التعليم للمستخدمين، والتدريب على الأمان، وتصميم قابلية الاستخدام، لإنشاء مجموعة من "خطوط الدفاع الأمنية الموجهة نحو الإنسان".

• إرسال محتوى تثقيفي دوري حول الاحتيال: تعزيز قدرة المستخدمين على مقاومة الصيد الاحتيالي من خلال نوافذ التطبيق، واجهة تأكيد المعاملات، والبريد الإلكتروني، وغيرها من الوسائل؛
• تحسين نموذج إدارة المخاطر، وإدخال "التعرف على السلوك الشاذ التفاعلي": معظم عمليات الاحتيال عبر وسائل التواصل الاجتماعي تحاول تحفيز المستخدمين على إتمام سلسلة من العمليات (مثل التحويلات، تغييرات القائمة البيضاء، ربط الأجهزة، إلخ) في فترة قصيرة. يجب على المنصة التعرف على مجموعات التفاعل المشبوهة بناءً على نموذج سلسلة السلوك (مثل "تفاعل متكرر + عنوان جديد + سحب مبالغ كبيرة")، وتفعيل فترة هدوء أو آلية مراجعة يدوية.
• تنظيم قنوات خدمة العملاء وآلية التحقق: كثيرًا ما يتظاهر المحتالون بأنهم خدمة العملاء لخداع المستخدمين، يجب على المنصة توحيد نماذج الهاتف والرسائل القصيرة والبريد الإلكتروني، وتوفير "مدخل التحقق من خدمة العملاء"، وتحديد قناة الاتصال الرسمية الوحيدة لتجنب الالتباس.

مستخدم

• تنفيذ استراتيجية عزل الهوية: تجنب استخدام نفس البريد الإلكتروني أو رقم الهاتف على عدة منصات، لتقليل مخاطر التبعية، يمكن استخدام أدوات فحص التسريبات للتحقق بانتظام مما إذا كان البريد الإلكتروني قد تم تسريبه.
• تفعيل قائمة بيضاء للتحويل وآلية تبريد السحب: تعيين عناوين موثوقة مسبقًا، لتقليل مخاطر فقدان الأموال في الحالات الطارئة.
• متابعة أخبار الأمان باستمرار: من خلال شركات الأمان ووسائل الإعلام ومنصات التداول وغيرها من القنوات، تعرف على أحدث أساليب الهجوم وابقَ يقظًا. حاليًا، ستقوم بعض المؤسسات الأمنية بإطلاق منصة محاكاة لعمليات الاحتيال في Web3، والتي ستحاكي مجموعة من أساليب الاحتيال النموذجية، بما في ذلك استدراج المعلومات عبر الهندسة الاجتماعية، والاحتيال بالتوقيع، والتفاعل مع العقود الضارة، بالإضافة إلى تحديث محتوى السيناريوهات بناءً على الحالات الحقيقية التي تم جمعها في المناقشات التاريخية. مما يساعد المستخدمين على تعزيز قدرتهم على التعرف على هذه الأساليب والتعامل معها في بيئة خالية من المخاطر.
• انتبه لمخاطر عدم الاتصال وحماية الخصوصية: قد يؤدي تسرب المعلومات الشخصية أيضًا إلى مشاكل تتعلق بأمان الأفراد.

منذ بداية هذا العام، تعرض العاملون في مجال التشفير/المستخدمون لعدة حوادث تهدد سلامتهم الشخصية. نظرًا لأن البيانات المسربة تتضمن أسماء، وعناوين، وبيانات اتصال، وبيانات حساب، وصور بطاقة الهوية، يجب على المستخدمين المعنيين أن يكونوا أكثر حذرًا في العالم الحقيقي، والانتباه إلى الأمان.

بالمجمل، حافظ على الشك، واستمر في التحقق. في أي عملية طارئة، تأكد من طلب إثبات الهوية من الطرف الآخر، والتحقق بشكل مستقل من خلال القنوات الرسمية، وتجنب اتخاذ قرارات لا يمكن التراجع عنها تحت الضغط.

ملخص

أظهر هذا الحدث مرة أخرى أن مواجهة أساليب الهجمات الاجتماعية التي أصبحت أكثر نضجًا، لا يزال هناك نقص واضح في حماية بيانات العملاء وأمان الأصول في الصناعة. من الجدير بالتحذير أنه حتى لو كانت الوظائف ذات الصلة في المنصة لا تمتلك صلاحيات مالية، فإن عدم وجود وعي كافٍ بالأمان والقدرة، يمكن أن يؤدي أيضًا إلى عواقب وخيمة بسبب تسريب غير مقصود أو تجنيد. مع زيادة حجم المنصة باستمرار، تزداد تعقيدات التحكم في أمان الأفراد، مما أصبح واحدًا من أخطر المخاطر التي تواجه الصناعة. لذلك، يجب على المنصة، في الوقت الذي تعزز فيه آليات الأمان على السلسلة، أن تبني بشكل منهجي "نظام دفاع اجتماعي" يغطي الأفراد الداخليين والخدمات الخارجية، وإدراج المخاطر البشرية في الاستراتيجية الأمنية الشاملة.

علاوة على ذلك، بمجرد اكتشاف أن الهجوم ليس حدثًا معزولًا، بل هو تهديد مستمر منظم وذو نطاق واسع، يجب على المنصة الاستجابة على الفور، والتحقق من الثغرات المحتملة، وتنبيه المستخدمين لاتخاذ الاحتياطات، والسيطرة على نطاق الأضرار. فقط من خلال الاستجابة على المستويين التقني والتنظيمي يمكن الحفاظ على الثقة والحد الأدنى في بيئة الأمان المعقدة المتزايدة.