تحليل 467 نموذجًا مسروقًا في الربع الثاني من عام 2024: ما هي أكثر طرق الشر الشائعة؟

الكاتب: فريق AML للبرمجة البطيئة

مع تطور سريع للغاية للبلوكشين ، يزداد عدد حوادث الأمان المتعلقة بالمستخدمين مثل سرقة العملات المشفرة والتصيد والاحتيال ، وهناك أساليب متعددة للهجوم. يتلقى SlowMist يوميًا كمية كبيرة من رسائل المساعدة من الضحايا الذين يرغبون في الحصول على مساعدتنا في تتبع الأموال وإنقاذها ، بما في ذلك ضحايا فاقدون لملايين الدولارات. وبناءً على هذا ، يهدف هذا السلسلة إلى تحليل وإحصاء النماذج الشائعة أو النادرة للعمل الشرير من خلال تحليل النماذج المسروقة التي تم الحصول عليها في كل ربع ، وذلك بهدف تعليم المستخدمين كيفية حماية أصولهم بشكل أفضل.

وفقًا للإحصاءات، استلم فريق MistTrack Team 467 نموذج سُرقت، في الربع الثاني من عام 2024، بما في ذلك 146 نموذجًا من الخارج و 321 نموذجًا محليًا. قدمنا خدمة تقييم مجانية لهذه النماذج (ملحوظة: يتعلق محتوى هذه المقالة فقط بالحالات المقدمة من خلال تقديم النماذج، ولا يشمل الحالات التي تم التواصل بشأنها عبر البريد الإلكتروني أو وسائل الاتصال الأخرى)

وفي ذلك، قام فريق MistTrack بمساعدة 18 عميلًا تم سرقتهم في تجميد حوالي 2066.41 مليون دولار على 13 منصة.

الأسباب الثلاثة الرئيسية للسرقة

المخادعون الأكثر شيوعا للنموذج Q2 2024 هم كما يلي:

المفتاح الخاص تسرب

وفقا لإحصائيات نموذج Q2 ، سيقوم العديد من المستخدمين بتخزين مفاتيحهم الخاصة / فن الإستذكار في محرر مستندات Google و Tencent Docs و Baidu Cloud Disk و Graphite Docs والأقراص السحابية الأخرى ، وسيرسل بعض المستخدمين مفاتيحهم الخاصة / فن الإستذكار إلى أصدقائهم الموثوق بهم من خلال WeChat وأدوات أخرى ، وحتى نسخ الكلمات الذاكرية إلى نموذج WPS من خلال وظيفة محو الأمية بالصور في WeChat ، ثم تشفير النموذج وفتح الخدمة السحابية ، وتخزينها في القرص الصلب المحلي للكمبيوتر. هذه السلوكيات ، التي يبدو أنها تحسن أمن المعلومات ، تزيد في الواقع بشكل كبير من خطر سرقة المعلومات. غالبا ما يستخدم المتسللون طريقة “حشو بيانات الاعتماد” لمحاولة تسجيل الدخول إلى مواقع خدمة التخزين السحابية هذه من خلال جمع قواعد بيانات الحسابات وكلمات المرور المسربة علنا على الإنترنت. على الرغم من أن هذا عمل محتمل ، طالما أن تسجيل الدخول ناجح ، يمكن للمتسللين بسهولة العثور على المعلومات المتعلقة بالعملات المشفرة وسرقتها ، والتي يمكن اعتبارها تسربا سلبيا للمعلومات. بالإضافة إلى ذلك ، هناك بعض حالات التسريبات غير المرغوب فيها ، مثل خداع الضحايا لملء عبارات أولية من قبل المحتالين الذين ينتحلون صفة خدمة العملاء ، أو خداعهم عن طريق روابط التصيد الاحتيالي على منصات الدردشة مثل Discord ثم إدخال معلومات المفتاح الخاص. يذكر فريق MistTrack الجميع بشدة أنه لا ينبغي تحت أي ظرف من الظروف الكشف عن المفتاح الخاص / عبارة ذاكري لأي شخص.

بالإضافة إلى ذلك، تعتبر المحافظ الوهمية أيضًا مناطق حساسة تؤدي إلى تسرب المفاتيح الخاصة. هذا الجزء قد يكون مكررًا بالفعل، ولكن لا يزال هناك العديد من المستخدمين الذين، عن غير قصد، ينقرون على روابط الإعلانات أثناء استخدام محركات البحث، مما يؤدي إلى تنزيل تطبيقات المحافظ الوهمية. نظرًا لأسباب الشبكة، فإن العديد من المستخدمين يختارون الحصول على التطبيقات ذات الصلة من مواقع تنزيل الطرف الثالث. على الرغم من أن هذه المواقع تدعي أن تطبيقاتها مأخوذة جميعًا من مرايا Google Play، إلا أن سلامتها الحقيقية محل شك. سبق لفريق أمان SlowMist تحليل تطبيقات المحافظ على سوق التطبيقات الطرفية apkcombo، وقد اكتشفوا أن الإصدار 24.9.11 من imToken المقدم من apkcombo هو إصدار غير موجود وهو على الإطلاق الإصدار الوهمي الأكثر انتشارًا لمحافظ imToken حاليًا.

تتبعنا أيضًا بعض أنظمة إدارة الخلفية المتعلقة بفرق المحفظة المزيفة ، بما في ذلك إدارة المستخدمين وإدارة العملات المشفرة وإدارة الإيداع وغيرها من وظائف التحكم في العملات الرقمية المعقدة. تتمتع هذه الأنشطة الاحتيالية بميزات متقدمة ومهارات احترافية تتجاوز تخيل الكثيرين.

على سبيل المثال، كان لدى Q2 حالة نادرة: قام أحد المستخدمين بالبحث عن “Twitter” في محرك البحث وبدون قصد قام بتنزيل تطبيق Twitter المقلد. عندما فتح المستخدم هذا التطبيق، ظهرت رسالة تفيد أنه بسبب قيود المنطقة، يجب استخدام VPN وأرشد المستخدم لتنزيل VPN المزيف الذي يأتي مع التطبيق، مما أدى إلى سرقة المفتاح الخاص / العبارة الافتتاحية لهذا المستخدم. هذه الحالة تحذرنا مرة أخرى من ضرورة فحص والتحقق من أي تطبيق أو خدمة عبر الإنترنت لضمان صحتها وأمانها.

صيد الأسماك

بناءً على التحليل، كانت أسباب العديد من حالات الاحتيال في الربع الثاني تتعلق بالتصيد الاحتيالي: حيث قام المستخدمون بالنقر على روابط التصيد الاحتيالية المنشورة في تعليقات تويتر تحت مشاريع معروفة. سابقًا، قام فريق أمان SlowMist بتحليل موجه: حوالي 80٪ من مشاريع التويتر المعروفة يتم الاستيلاء على التعليق الأول في منطقة التعليقات من قبل حسابات الاحتيال. كما اكتشفنا وجود مجموعات كبيرة تبيع حسابات تويتر على تليجرام، حيث يختلف عدد متابعي هذه الحسابات وعدد المشاركات، وأوقات التسجيل. وهذا يتيح للمشترين المحتملين اختيار الحساب الذي يلبي احتياجاتهم. تاريخ البيانات يُظهر أن معظم الحسابات المباعة مرتبطة بصناعة العملات المشفرة أو الشخصيات الشهيرة على الإنترنت.

بالإضافة إلى ذلك، هناك بعض مواقع تخصص في بيع حسابات Twitter، حيث تبيع هذه المواقع حسابات Twitter لمختلف السنوات، وتدعم حتى شراء حسابات ذات تشابه كبير. على سبيل المثال، فإن حسابات التقليد Optimlzm والحساب الحقيقي Optimism تتشابه إلى حد كبير. بعد شراء مثل هذه الحسابات ذات التشابه الكبير، سيقوم العصابات الإلكترونية باستخدام أدوات الترويج لزيادة تفاعل الحساب وعدد المتابعين، بهدف زيادة مصداقية الحساب. هذه الأدوات ليست فقط تقبل الدفع بالعملات الرقمية، بل تبيع أيضاً مجموعة متنوعة من خدمات منصات التواصل الاجتماعي بما في ذلك الإعجابات، وإعادة النشر، وزيادة عدد المتابعين. باستخدام هذه الأدوات، يمكن للعصابات الإلكترونية الحصول على حساب Twitter يحظى بشعبية كبيرة وعدد كبير من المتابعين والمشاركات، ومحاكاة نشر معلومات المشروع. نظرًا للتشابه الكبير مع حساب المشروع الحقيقي، يصعب على العديد من المستخدمين التمييز بين الحقيقة والخداع، مما يزيد من نسب نجاح العصابات الإلكترونية. بعد ذلك، تقوم العصابات الإلكترونية بتنفيذ عمليات الصيد، مثل استخدام الروبوتات التلقائية لمتابعة أحداث المشاريع الشهيرة. عندما يقوم المشروع بنشر تغريدة، ستقوم الروبوتات بالرد تلقائيًا للتنافس على أن تكون أول تعليق، لجذب المزيد من المشاهدات. نظرًا للتشابه الكبير بين الحساب المزيف الذي قامت العصابات الإلكترونية بتزييفه وحساب المشروع الحقيقي، فإنه في حالة الإهمال من قبل المستخدم، والنقر على رابط الصيد على الحساب الزائف، ثم إجراء عمليات ترخيص وتوقيع، يمكن أن يؤدي إلى خسارة الأصول.

بشكل عام، وبنظرة عامة على هجمات الصيد الاحتيالية في صناعة سلسلة الكتل، فإن المخاطر الرئيسية للمستخدمين الفردية تكمن في نقطتين أساسيتين “اسم النطاق، التوقيع”. من أجل تحقيق الحماية الشاملة، نحن ندعو باستمرار إلى اتخاذ استراتيجية الدفاع المزدوج، وهي الوعي بأمان الموظفين + وسائل التقنية الدفاعية. الدفاع بوسائل التقنية يعني الاعتماد على مجموعة متنوعة من الأدوات الأجهزة والبرمجيات، مثل إضافة منع مخاطر الصيد الاحتيالي Scam Sniffer لضمان أمان الأصول والمعلومات، وعندما يفتح المستخدم صفحة صيد احتيالية مشبوهة، ستقوم الأداة بإظهار تنبيه مبكر للمخاطر، مما يعمل على منعها في الخطوة الأولى لتكوين المخاطر. فيما يتعلق بالوعي بأمان الموظفين، نوصي بشدة الجميع بالقراءة العميقة والتدريجية واكتساب فهم تام لـ “كتلة الغابة المظلمة دليل الإنقاذ الذاتي” (_CN.md). إنها فقط من خلال تنسيق هاتين الاستراتيجيتين الدفاعيتين يمكن مواجهة وسائل الهجوم الاحتيالية المتغيرة والمتطورة باستمرار، وحماية أمان الأصول.

الاحتيال

يوجد العديد من طرق الاحتيال، وأكثر الطرق شيوعًا في الربع الثاني هو مخزون Pixiu. في الأسطورة، يُعتبر مخزون Pixiu كائنًا سحريًا، يُقال إنه يمكنه ابتلاع كل الأشياء دون ترك أي فضلات، ويُقال إن الذهب والمجوهرات وما إلى ذلك عندما يبتلع، لا يمكن أبدًا أخراجها من جسده. لذلك، يُستخدم مخزون Pixiu لتشبيه العملات الرقمية التي لا يمكن بيعها مرة أخرى بمجرد الشراء.

وصف أحد الضحايا تجربته: “كنت أطرح سؤالًا في مجموعة تيليجرام ، وكان شخص ما يجيب علي بكثير من الأسئلة ويعلمني الكثير من الأشياء ، وبعد يومين من الدردشة الخاصة بي ، شعرت بأنه شخص لطيف. لذلك اقترح علي أن يأخذني إلى السوق الابتدائي لشراء عملة جديدة ، وقدم لي عنوان عقد لعملة على PancakeSwap. بعد شرائي للعملة ، ظلت هذه العملة في ارتفاع مستمر ، وقال لي إنها فرصة ذهبية تحدث مرة كل ستة أشهر ، ونصحني بزيادة الاستثمار على الفور. شعرت بأن الأمور ليست بهذه البساطة ، لذلك لم أتبع نصيحته ، لكنه ظل يحثني. وأدركت أنني ربما تم النصب علي عندما بدأ في الضغط علي للإضافة إلى مراكز الاستثمار. ثم طلبت المساعدة من الأشخاص الآخرين في المجموعة للتحقق من الأمر ، وتبين أن هذه هي عملة الفأس ، ولم أتمكن من بيعها. عندما اكتشف النصاب أنني لن أزيد المراكز ، قام بحظري.”

تجسد تجربة هذا الضحية في الواقع نمطًا نموذجيًا للغش في مخزون Pixiu

1. ينشر النصابون عقدًا ذكيًا معبأً بالفخاخ ويطرحون طعمًا يعد بأرباح عالية.

2. يسعى النصابون بكل جهدهم لجذب الأهداف لشراء العملات المشفرة، وغالبًا ما يرون المتضررون العملة المشفرة التي اشتروها ترتفع بسرعة، لذا يقرر المتضررون عادة الانتظار حتى يصبح ارتفاع العملة المشفرة كبيرًا بما فيه الكفاية قبل محاولة البيع، لكن يكتشفون في النهاية أنهم غير قادرين على بيع العملات المشفرة التي اشتروها.

3. في النهاية، يقوم المحتالون بسحب أموال الضحايا المستثمرين.

من الجدير بالذكر أن عملات Pixiu المشار إليها في نموذج Q2 قد حدثت على BSC. يمكن رؤية في الصورة أدناه أن عملة Pixiu تتداول بكثرة، وقد قام النصابون بإرسال الرموز التي يملكونها إلى المحافظ والتبادل، مما خلق شعورًا وهميًا بأن العديد من الأشخاص يشاركون.

نظرًا لطبيعة الوعاء العسل، قد يكون من الصعب على حتى المستثمرين ذوي الخبرة الكبيرة رؤية الحقيقة بوضوح. في ظل انتشار رياح Meme، يؤثر جميع أنواع “عملات الكلاب الريفية” على السوق بشكل معين. نظرًا لارتفاع أسعار الوعاء العسل بشكل سريع، يتسرع الناس في شرائها، ويتابع العديد من المشاركين في السوق الذين لا يعرفون الحقيقة بشكل مؤلم هذه الموجة الساخنة لـ “الكلاب الريفية”، لكنهم بلا علم يدخلون بالفعل في فخ الوعاء العسل، وعند شرائهم لا يمكنهم بعد ذلك بيعها.

لذلك، يوصي فريق MistTrack بأن يتخذ المستخدمون العديد من الإجراءات قبل القيام بالتداول لتجنب الخسارة المالية الناجمة عن المشاركة في مشروع Pixiu.

• استخدام MistTrack لعرض مخاطر العنوان ذات الصلة، أو استخدام أداة فحص أمان الرموز الخاصة بـ GoPlus لتحديد عملة البيكاو واتخاذ قرارات تداول؛
• تحقق من مراجعة وتحقق الشفرة على Etherscan و BscScan أو قراءة التعليقات ذات الصلة، لأن بعض الضحايا قد يصدرون تحذيرات على علامة التبويب التي تحتوي على تعليقات عملة الاحتيال؛
• تعرف على معلومات العملة الافتراضية ذات الصلة وقم بتقييم خلفية الفريق، وزيادة الوعي الذاتي للوقاية. كن حذرًا من عملات العائد العالي الافتراضية، حيث يعني العائد العالي عادة مخاطر أكبر.