نقرة واحدة وتختفي محفظتك: كيف يعمل احتيال روابط الاجتماعات المزيّفة

فريق تحقيقات البلوكتشين في Match Systems

نقرة واحدة وتختفي محفظتك: كيف يعمل احتيال روابط الاجتماعات المزيّفة

في يناير 2026، تلقّى Martin Kuchar، أحد منظّمي BTC Prague، رسالة على تيليجرام. جهة اتصال مألوفة، وحساب مخترَق، وسياق مألوف – دعوة للانضمام إلى مكالمة. قاد الرابط إلى صفحة مطابقة بصريًا لـ Zoom. وما تلا ذلك كان السيناريو المعتاد: مشكلات صوت، ومطالبة بتثبيت تحديث. وكان ذلك كل ما تطلّبه الأمر.

هذا ليس تصيّدًا بالمعنى الكلاسيكي. فلا يوجد بريد إلكتروني مشبوه بأخطاء إملائية وعنوان مرسِل غريب. إنها عملية إدارة ثقة – ولهذا بالضبط تنجح حتى مع المشاركين المتمرّسين في سوق الكريبتو.

حجم التهديد

وفقًا لـ FBI، في 2025 قدّم المستخدمون الأمريكيون 181,565 شكوى تتعلّق باحتيال العملات المشفّرة. وبلغ متوسّط الخسارة لكل شكوى 62,604 دولار. ووصل إجمالي الخسائر من عمليات احتيال الاستثمار إلى 7.23 مليار دولار من أصل 11.36 مليار دولار من احتيال الكريبتو الموثَّق خلال العام.

وشهدت هجمات انتحال الهوية تحديدًا نموًّا يتجاوز 1,400% على أساس سنوي في 2025. وارتفع متوسّط الدفعة التي يسدّدها الضحية من 782 دولارًا في 2024 إلى 2,764 دولارًا في 2025.

ويمكن تتبّع جزء كبير من هذه الهجمات إلى بنية واحدة: مجموعة Lazarus ووحدات الاستخبارات الكورية الشمالية التابعة لها. ووفقًا لبيانات FBI وMandiant، سرقوا في 2025 عملات مشفّرة بقيمة 2.02 مليار دولار – بزيادة 51% عن العام السابق. وقد نسب FBI هجوم Bybit في فبراير 2025 – 1.5 مليار دولار في عملية واحدة – إليهم مباشرة.

كيف يعمل الهجوم: خطوة بخطوة

تبدأ العملية قبل وقت طويل من إجراء أي مكالمة. يصل المهاجمون إلى الهدف عبر تيليجرام أو LinkedIn أو البريد الإلكتروني أو X. مجنّد وهمي يعرض وظيفة Web3 برواتب من 16,000 إلى 44,000 دولار شهريًا. ‘مستثمر’ يريد مناقشة صفقة. ‘شريك’ يريد التواصل. كل شيء يبدو كتواصل تجاري روتيني – لأن الغرباء في صناعة الكريبتو يتواصلون فعلًا فيما بينهم كل يوم.

الخطوة التالية هي رابط الاجتماع. ترى الضحية محاكاة مقنعة: غرفة انتظار Zoom بإشارات صوتية من مشاركين آخرين، أو صفحة Google Meet بواجهة صحيحة. والنطاقات مصمّمة لهذا الغرض: uswebzoomus[.]com، googlemeetinterview[.]click، 9ooggleactivemeett[.]live. ووفقًا لـ Netcraft وMalwarebytes، يُعِدّ المشغّلون نطاقات احتياطية عبر عدة مزوّدي استضافة مسبقًا – تحسّبًا لعمليات الإزالة الحتمية.

على صفحة الاجتماع المزيّفة، تظهر رسالة خطأ: مشكلة ميكروفون، أو تحديث عميل مطلوب، أو إضافة يلزم تثبيتها. ويُطلب من الضحية لصق أمر في الطرفية، أو تنزيل مثبّت، أو تشغيل سكربت. وهذه اللحظة مصمّمة عمدًا لتبدو كاستكشاف تقني روتيني للأخطاء. ولهذا بالضبط تنجح.

بعد التثبيت، يحصل المهاجمون على وصول كامل: تسجيل ضغطات المفاتيح، ومراقبة الحافظة، ولقطات شاشة آنية، وبيانات المتصفّح، وبيانات إضافات المحافظ – MetaMask وTrust Wallet وPhantom وغيرها. وعلى macOS، سلسلة مفاتيح iCloud. وينبغي اعتبار أي عبارة استرداد أو مفتاح خاص سبق أن كُتب أو نُسخ على الجهاز مخترَقًا.

الـ Deepfake الذي ليس كذلك

من أكثر العناصر تطوّرًا تقنيًا ما وثّقته Kaspersky GReAT باسم GhostCall. يسجّل المهاجمون فيديو من كاميرات ضحايا سابقين دون علمهم. وأثناء مكالمة مع الهدف التالي، يشغّلون هذا التسجيل – فترى الضحية بثًا حيًّا لشخص حقيقي من شبكتها المهنية.

هذا ليس deepfake بالمعنى التقني. إنه تسجيل لشخص حقيقي يعرفه الضحية على الأرجح. ويبقى المهاجم ‘لديه مشكلات صوت’ ويتواصل عبر دردشة نصّية فقط. ونفسيًا، إنه فخّ شبه مثالي: ترى وجهًا مألوفًا، وتسمع صوتًا مألوفًا في التسجيل، وليس لديك أساس للشكّ.

فور اختراق جهاز، يحصل المهاجمون على وصول إلى جهات اتصال الضحية على تيليجرام ويستخدمون الحساب لإرسال الرابط نفسه إلى الموجة التالية من الأهداف المحتملة. وينتشر الهجوم عبر الشبكات المهنية الموثوقة دون أي مؤشّرات خارجية.

من يقف خلف هذا

Lazarus Group وBlueNoroff وUNC1069 وTraderTraitor وFamous Chollima – كلها أسماء لوحدات فرعية من عملية واحدة يديرها مكتب الاستطلاع العام في كوريا الشمالية. نسبها FBI وMandiant وKaspersky. ومنذ 2021، كان التركيز الأساسي على Web3.

حملات نشطة موثَّقة في 2025-2026: Contagious Interview – مقابلات توظيف مزيّفة بحمولة ClickFix في النهاية. ووفقًا لـ SentinelLABS، تأثّر ما لا يقلّ عن 230 شخصًا في الربع الأول من 2025 وحده، والرقم الحقيقي أعلى على الأرجح. GhostCall – مكالمات Zoom مزيّفة تستهدف تنفيذيي Web3 والمستثمرين المخاطرين. Mach-O Man – هجمات عبر حسابات تيليجرام مخترَقة تستهدف الإدارة العليا في الكريبتو والتقنية المالية.

وتستحقّ قضية Drift Protocol اهتمامًا خاصًا. أمضت Lazarus ستة أشهر في التسلّل: لقاء الفريق شخصيًا في مؤتمرات عبر عدة دول، وإيداع مليون دولار من رأس مال حقيقي لبناء المصداقية. واستغرق استنزاف 286 مليون دولار 12 دقيقة. هذه ليست عملية احتيال – إنها عملية على مستوى الدولة بميزانية وأفق تخطيط.

ووفقًا لـ Mandiant ومجموعة استخبارات التهديدات في Google، وُثّق رسميًا استخدام الوحدة UNC1069 لـ Google Gemini في البحث التشغيلي، وتوليد محتوى إغراء مخصّص يستهدف ضحايا محدّدين، وكتابة الشيفرة. أتمتة هجوم على مستوى فاعل دولة.

لماذا لا تنفع النصائح الأمنية القياسية هنا

النصيحة التقليدية بـ‘عدم النقر على الروابط المشبوهة’ عديمة الفائدة في هذا السياق. فالرابط يبدو كـ Zoom. والنطاق مطابق بصريًا للأصلي. والشخص في البثّ هو من يعرفه الضحية فعلًا. والمثبّت موقَّع بشهادة رقمية صالحة – مسروقة من شركة شرعية. ويبقى مضادّ الفيروسات صامتًا، لأن بعض المهاجمين لا ينشرون برمجيات خبيثة مخصّصة أصلًا، بل برامج مراقبة مؤسّسية تجارية أُعيد توظيفها.

“نصادف نمط الهجوم هذا في التحقيقات بانتظام. والفرق الجوهري عن التصيّد الكلاسيكي هو عدم وجود استغلال تقني. فعلى السلسلة، تبدو المعاملة مشروعة تمامًا – مصرَّحًا بها من مالك المحفظة. ولهذا بالضبط يتطلّب التحقيق السليم ليس فقط التتبّع على السلسلة بل إعادة بناء الأحداث خارجها: الجدول الزمني للهجوم، وتحديد ناقل الدخول، وتحليل الجهاز. ولا يكفي أيّ منهما دون الآخر عندما يتعلّق الأمر بالعمل مع جهات إنفاذ القانون.”

— أيس دورجينوف، الشريك المؤسّس، Match Systems

هذه فئة تهديد مختلفة جوهريًا: عملية إدارة ثقة، لا استغلال تقني. ويجب أن يكون الدفاع تشغيليًا – لا تقنيًا فحسب.

كيف تحمي نفسك: ما ينفع فعلًا

بالنسبة للمالكين والمستثمرين الأفراد، تبقى المحفظة العتادية الحاجز الموثوق الوحيد حتى في حال الاختراق الكامل للجهاز. فعبارة الاسترداد التي لم توجد قطّ على حاسوب لا يمكن سرقتها عبر برمجية خبيثة. والجهاز المخصّص المستخدَم حصريًا لعمليات الكريبتو – بلا تصفّح أو مكالمات أو تنزيل ملفات – ليس جنون ارتياب. إنه نظافة تشغيلية.

أهمّ إجراء منفرد: تحقّق عبر قناة بديلة قبل أي مكالمة غير متوقّعة. إذا راسلك ‘شريك’ على تيليجرام – اتّصل به على رقم الهاتف من دفتر عناوينك، لا عبر تيليجرام. وإذا أرسل ‘مجنّد’ رابط Meet – ابحث عن الشركة عبر Google وتواصل معها مباشرة. فخطوة تحقّق إضافية واحدة تغلق معظم سيناريوهات الهجوم.

للشركات والفرق: اعزل محافظ الشركة عن أجهزة العمل، واستخدم multisig بمفاتيح مقسّمة للأصول الكبيرة، واحظر تثبيت أي ‘برنامج اجتماعات’ خارج قائمة معتمدة. ويجب أن تأتي جميع تحديثات العملاء من المواقع الرسمية مباشرة – لا عبر رابط في دردشة. وإحاطات منتظمة للفريق بأمثلة ملموسة على المخططات الحالية – لا كإجراء امتثال شكلي، بل كإعداد حقيقي.

إجراء تنظيمي مُستهان به: إذا اُخترق أحد في فريقك أو شبكتك المهنية، فأخطر جميع جهات اتصاله فورًا. فهجمات نمط GhostCall تنتشر عبر الشبكات الموثوقة على الفور، وسرعة الإخطار تؤثّر مباشرة في عدد من يصبحون الضحايا التالين.

إذا حدث بالفعل: الساعات الأولى هي كل شيء

استغرق استنزاف Bybit بضع ساعات. وDrift Protocol – 12 دقيقة. وبمجرّد مغادرة الأموال المحفظة الأساسية، كل دقيقة تضيّق نافذة التجميد.

النمط المعتاد لحركة الأموال المسروقة في عمليات Lazarus: سحب فوري إلى عناوين وسيطة، ومبادلات عبر DEX لقطع الصلة المباشرة على السلسلة، وتجسير إلى شبكة أخرى، وتجزئة عبر عشرات العناوين الوسيطة، وسحب نهائي عبر مشغّلي OTC بمتطلّبات KYC ضعيفة أو تحويل إلى Monero.

يتيح التحليل الجنائي للبلوكتشين في هذه الحالات نسب العناوين عبر أنماط سلوكية على السلسلة، وتتبّع حركة الأموال عبر الجسور والمبادلات، ووسم عناوين الوجهة، وإرسال إخطارات تجميد إلى منصات التداول قبل السحب النهائي. كما يدعم هيكلة بيانات السلسلة لطلبات جهات إنفاذ القانون والإجراءات القانونية. وثمّة قيد مهم يجب فهمه: إذا سُحبت الأموال بالفعل عبر صرّافين صغار غير موسومين، تضيق الخيارات بشكل كبير. ولهذا فإن سرعة الاستجابة في الساعات الأولى حاسمة.

إذا وقعت حادثة بالفعل، فلا تُضِع الوقت في التحليل الذاتي. تواصل مع شركات متخصّصة في التحقيق في سرقة العملات المشفّرة واسترداد الأصول. 

الأكثر رواجًا

قدّم طلبًا

اترك طلبًا

كيف نتواصل معك؟

حدّد اسم المستخدم في تيليجرام أو البريد الإلكتروني — حسب طريقة التواصل المختارة.