جذب صعود العملات المشفرة عدداً لا يحصى من الجهات الخبيثة التي تبحث عن طرق جديدة للوصول إلى أموال المستخدمين. وفقاً لتقارير حديثة من شركات الاستخبارات مثل TRM Labs، تمثل الهجمات باستخدام البرمجيات الخبيثة أحد أكبر مصادر فقدان الأصول الرقمية على مستوى العالم. ومن بين التهديدات الأكثر صمتاً وتدميراً في الوقت الحاضر برمجيات "سرقة المعلومات" (infostealer)، وهي أداة فتاكة يتم تعزيزها اليوم بتكتيكات الهندسة الاجتماعية المولدة بواسطة الذكاء الاصطناعي.
على عكس هجمات التصيد الاحتيالي التقليدية التي تتطلب من المستخدم إدخال بيانات اعتماده في موقع ويب مزيف، تعمل برمجيات سرقة المعلومات في الخفاء. بمجرد إصابتها لجهاز ما، تقوم تلقائياً باستخراج كلمات المرور المحفوظة، وملفات تعريف الارتباط (cookies) الخاصة بالجلسات، وبيانات محافظ العملات المشفرة، وترسل كل هذه المعلومات إلى خوادم يتحكم فيها المهاجمون. يحذر خبراء الأمن السيبراني في Recoveris من أن عائلات البرمجيات الخبيثة مثل RedLine و Raccoon و Lumma Stealer قد تطورت بشكل جذري للتهرب من عمليات اكتشاف الشبكة الأساسية.
1. ما هي برمجيات سرقة المعلومات الخبيثة وكيف تعمل؟
برنامج سرقة المعلومات (Infostealer) هو نوع من البرمجيات الخبيثة المصممة خصيصاً لجمع البيانات السرية من جهاز كمبيوتر مخترق. في نظام العملات المشفرة البيئي، تبحث هذه البرامج بنشاط عن الملفات المرتبطة بإضافات المتصفح مثل MetaMask أو Phantom أو Rabby Wallet، بالإضافة إلى تطبيقات سطح المكتب مثل Electrum أو Exodus.
تحدث عملية الإصابة والسرقة في غضون ثوانٍ وتتبع عادةً تسلسلاً مميتاً لأمن المستخدم، وغالباً ما يتم تسهيلها من خلال حملات الخداع المدعومة بالذكاء الاصطناعي.
ناقل العدوى وعمليات الاحتيال باستخدام الذكاء الاصطناعي
يقوم المهاجمون بتوزيع برمجيات سرقة المعلومات عبر قنوات متعددة. تشمل الطرق الأكثر شيوعاً رسائل البريد الإلكتروني التي تحتوي على مرفقات خبيثة، والبرامج المقرصنة التي يتم تنزيلها من شبكات التورنت، والتحديثات المزيفة للبرامج الشرعية، والإعلانات المضللة في محركات البحث التي توجه إلى مواقع ويب مستنسخة.
في قطاع العملات المشفرة الحديث، اكتشف المحللون الجنائيون في Recoveris زيادة مقلقة في استخدام الذكاء الاصطناعي لإنشاء عمليات احتيال مقنعة للغاية. يستخدم مجرمو الإنترنت التزييف العميق (deepfakes) في مقاطع الفيديو أو روبوتات المحادثة المتقدمة لإقناع الضحايا بتنزيل ألعاب Web3 مزعومة، أو توزيعات مجانية (airdrops) حصرية، أو أدوات تداول آلية تخفي في الواقع الحمولة الخبيثة.
التنفيذ الصامت
بمجرد أن يقوم المستخدم بتشغيل الملف المصاب، لا يعرض البرنامج الخبيث أي واجهة ولا يطلب أذونات إضافية. في الخلفية، يبدأ في فحص القرص الصلب بحثاً عن أدلة محددة حيث تخزن متصفحات الويب بياناتها وكلمات المرور والإضافات. بفضل تقنيات التعتيم المتقدمة، تنجح هذه البرامج في المرور دون أن تلاحظها العديد من برامج مكافحة الفيروسات التقليدية.
استخراج بيانات المحفظة
الهدف الرئيسي لبرنامج سرقة المعلومات هو تحديد موقع الخزائن المشفرة لمحافظ البرامج. حتى لو كانت عبارة الاسترداد (seed phrase) أو المفتاح الخاص مشفراً بكلمة مرور محلية، يقوم البرنامج الخبيث بنسخ ملفات النظام التي تحتوي عليها لفك تشفيرها لاحقاً.
بالإضافة إلى ذلك، تقوم العديد من برمجيات سرقة المعلومات بتسجيل ضغطات لوحة المفاتيح (keylogging) أو البحث عن المستندات النصية وجداول البيانات على سطح المكتب التي تحتوي على كلمات رئيسية مثل "seed" أو "keys" أو "wallet" أو "passwords"، وهي الأماكن التي يخطئ العديد من المستخدمين في حفظ عبارات الاسترداد الخاصة بهم فيها.
تسريب البيانات واستنزاف الأموال
بعد جمع المعلومات، يقوم البرنامج الخبيث بضغطها وإرسالها إلى خادم بعيد، وغالباً ما يستخدم قنوات مشفرة على Telegram أو Discord لنقل البيانات. يستخدم مجرمو الإنترنت أدوات آلية لفك تشفير الخزائن، واستخراج المفاتيح الخاصة، وتحويل الأصول إلى عناوينهم الخاصة. وكثيراً ما يستخدمون خلاطات العملات (mixers) أو منصات التداول اللامركزية (DEX) لإخفاء المسار قبل أن يلاحظ الضحية الاختراق.
2. الممارسات الأساسية لحماية عملاتك المشفرة
تتطلب حماية نفسك من برمجيات سرقة المعلومات وتكتيكات الاحتيال في العملات المشفرة مزيجاً من الممارسات الجيدة لأمن تكنولوجيا المعلومات، والتشكيك في الوعود الناتجة عن الذكاء الاصطناعي، والاستخدام الصحيح لأدوات الأجهزة.
- استخدم محافظ الأجهزة (Hardware Wallets): الدفاع الأكثر فعالية ضد البرمجيات الخبيثة على جهاز الكمبيوتر الخاص بك هو استخدام جهاز مادي مثل Trezor أو Ledger. نظراً لأن المفاتيح الخاصة لا تغادر الجهاز المادي أبداً، فلا يمكن لبرنامج سرقة المعلومات سرقتها حتى لو كان جهاز الكمبيوتر الخاص بك مخترقاً بالكامل.
- لا تحفظ كلمات الاسترداد بتنسيق رقمي: لا تقم أبداً بتخزين عبارة الاسترداد الخاصة بك في مستندات نصية، أو لقطات شاشة، أو مديري كلمات المرور عبر الإنترنت، أو رسائل البريد الإلكتروني. يجب كتابة عبارة الاسترداد (seed phrase) فقط على الورق أو المعدن والاحتفاظ بها في مكان آمن.
- احذر من البرامج والوعود الكاذبة: قم بتنزيل البرامج والإضافات فقط من الصفحات الرسمية أو المتاجر المعتمدة. تجنب البرامج المقرصنة، وكن حذراً من الإعلانات الممولة في محركات البحث، وابق يقظاً تجاه مقاطع الفيديو أو الرسائل التي ينشئها الذكاء الاصطناعي والتي تروج لعوائد غير واقعية.
- استخدم أجهزة مخصصة: إذا كنت تتعامل مع حجم كبير من الأصول الرقمية، ففكر في استخدام جهاز كمبيوتر مخصص حصرياً لمعاملات العملات المشفرة، دون تثبيت ألعاب أو متصفحات إضافية أو تنزيل ملفات لم يتم التحقق منها.
3. ماذا تفعل إذا اشتبهت في وجود إصابة ودور التحليل الجنائي
إذا لاحظت سلوكاً غير عادي على جهاز الكمبيوتر الخاص بك أو اكتشفت معاملات غير مصرح بها في محفظتك، يجب عليك التصرف بسرعة. الخطوة الأولى هي فصل الجهاز عن الإنترنت على الفور لإيقاف أي تسريب للبيانات قيد التقدم.
بعد ذلك، استخدم جهازاً آمناً ومختلفاً لتحويل الأموال المتبقية من محافظك المخترقة إلى عناوين جديدة تماماً تم إنشاؤها في بيئة آمنة. أخيراً، ستحتاج إلى تهيئة (Format) القرص الصلب للكمبيوتر المصاب بالكامل، حيث لا تنجح برامج مكافحة الفيروسات دائماً في إزالة جميع المتغيرات المستمرة لبرمجيات سرقة المعلومات الحديثة.
إذا تمت سرقة أموالك بالفعل، فإن تسجيل جميع تفاصيل الحادث وتجزئات (hashes) المعاملات أمر أساسي. هنا يأتي دور خبرة Recoveris. باستخدام منهجية BIMS (نظام استخبارات ومراقبة البلوكتشين)، يمكن لمحللينا الجنائيين تتبع تدفق الأصول عبر سلسلة الكتل. تتيح إمكانية التتبع المتقدمة هذه تحديد نقاط الخروج أو منصات التداول المركزية (CEX) التي يستخدمها مجرمو الإنترنت، وهي خطوة حاسمة للتعاون مع السلطات القانونية والسعي لتجميد الأموال واستردادها.
هل وجدت عملية احتيال محتملة أو فقدت أموالك؟
أبلغ عن النشاط المشبوه فوراً. يستخدم فريقنا من خبراء استخبارات البلوكتشين منهجية BIMS لتتبع العملات المشفرة المسروقة والمساعدة في استردادها.
الإبلاغ عن احتيال مشتبه به وطلب تحليل
