هجوم التصيد وكيف يصيب أمن blockchain

• تسبق هجمات التصيد الاحتيالي عصور Web3 وWeb2. ويعتقد الخبراء أن أول توثيق دقيق للهجوم حدث في منتصف التسعينيات
• في نوفمبر 2021، وقع أحد مطوري بروتوكول bZx ضحية لهجوم تصيد احتيالي حصل فيه المتسلل على العديد من المفاتيح الخاصة المهمة لبروتوكولات bZx
• أولاً، يعد الافتراض عاملاً حاسماً تعتمد عليه معظم هجمات التصيد الاحتيالي. إن مجرد افتراض أن البريد الإلكتروني المستلم كان شرعيًا دون مزيد من التدقيق أدى إلى وصول المتسلل إلى الكمبيوتر الشخصي

لقد نمت العملات المشفرة وNFT وBlockchain وعناصر الويب الأخرى بسرعة خلال العقد الماضي. بالنظر إلى العملات المشفرة، اعتقد الجميع في البداية أنها مجرد مزحة، عرض مدته دقيقة واحدة. في نهاية المطاف، سيعود كل شيء إلى طبيعته، على الرغم من أن الأمر لم يحدث.

لقد نمت العملات المشفرة إلى درجة أصبحت فيها المنظمات الكبيرة مثل شراء مراجعات جوجل و أمازون تخطط لدمجها في نظام الدفع الخاص بهم. لقد تطرقت هذه المقالات وغيرها من المقالات المتعلقة بأمن تقنية blockchain إلى الجوانب التي تؤثر على سلامة العملات المشفرة. تميل هذه العوامل إلى أن تنبع من نقطتين رئيسيتين: لا تزال تقنية blockchain جديدة نسبيًا. ومن ثم فإنه لا يزال يحتوي على عيوب مختلفة وأخطاء يوم الصفر. 

أما الخطأ الآخر والأكثر بروزًا فهو الخطأ البشري، وهو فئة تصنف أولئك الذين يفتقرون إلى المعرفة إلى أولئك الذين يقوضون عمدًا قوة عمليات الاحتيال والاختراق الخاصة بالعملات المشفرة. فيما يلي نظرة أخرى على ثغرة أمنية في blockchain والتي تتغذى على الخطأ البشري وتفتقر إلى المعرفة: هجمات التصيد الاحتيالي.

تخدم هذه المقالات غرض التثقيف، لذا فإن أي محاولة لمحاولة تنفيذ أي آلية خرق ستكون مسؤولة عن أفعالها.

ما هي هجمات التصيد؟

تسبق هجمات التصيد الاحتيالي شبكة Web3، ويعتقد خبراء عصر Web2 أن أول توثيق دقيق للهجوم حدث في منتصف التسعينيات. إن هجوم التصيد الاحتيالي هو مجرد انتحال شخصية شركة أو خدمة أو فرد شرعي للحصول على معلومات حيوية مثل بيانات اعتماد تسجيل الدخول أو البيانات الحساسة. 

في لغة الشخص العادي، يحاول بشكل أساسي الاحتيال على الضحية المطمئنة للحصول على المال. على مر السنين، زاد تعقيد الهجوم ولكنه تراجع لاحقًا مع تطوير Web2 لإجراءات مضادة. مع إنشاء Web3، وجد المتسللون منصة جديدة لإجراء العديد من الأنشطة الشائنة، بما في ذلك هجمات التصيد الاحتيالي.

أيضا ، اقرأ عمليات الاحتيال الشائعة المتعلقة بالعملات المشفرة التي يجب الانتباه إليها في عام 2022.

مع نمو العملات المشفرة، زادت أيضًا الحاجة إلى أمان أكثر تعقيدًا وأمان للعملات المشفرة، ولكن حتى مع التدابير المضادة الحالية التي تحد من هجمات التصيد الاحتيالي، ثبت أنها مرهقة ويرجع ذلك أساسًا إلى ازدهار هجمات التصيد الاحتيالي على الأخطاء البشرية.

من خلال استهداف العميل أو المستخدم مباشرةً، يمكنك الوصول عن طريق خداعه للتخلي عن بيانات اعتماده. بالنسبة لأولئك الذين يدركون ذلك، فإن هذه الهجمات تحدث في كثير من الأحيان، ومع الشروق الجديد الذي يشع من Web3، عانت بشكل كبير على أيدي عمليات الاحتيال والمتسللين.

حالة الاستخدام لهجمات التصيد الاحتيالي.

لفهم وضمان أمن blockchain، يجب على المرء أولاً أن يتعلم من أوجه عدم الأمان في الأنظمة المختلفة وكيفية حدوثها. فيما يلي عرضان يعرضان انتهاكًا لسلامة العملات المشفرة وخسارة المؤسسات والمستخدمين الملايين.

اختراق تشفير BZX

عانت شركة العملات المشفرة bZx بشكل غير رسمي بشكل كبير على يد أحد المتسللين الذين سرقوا الملايين من العملات المشفرة المختلفة.

في نوفمبر 2021 ، أ مطور بروتوكول bZx وقع ضحية لهجوم تصيد احتيالي حصل فيه المتسلل على العديد من المفاتيح الخاصة المهمة لبروتوكولات bZx. وباستخدام هذه الأدوات، يستطيع المتسلل استنزاف العملات المشفرة بقيمة 55 مليون دولار. وفقًا لخبراء أمنيين، كان الهجوم ناجحًا، حيث كانت الميزة التشغيلية اللامركزية الوحيدة في ذلك الوقت هي إيثريوم.

حصل المتسلل على المفاتيح الخاصة من خلال التنكر ككيان شرعي. لم يكن مطور blockchain في التعادل على علم بهذا التطور وأعطى المتسلل المفاتيح الخاصة المطلوبة.

وفقًا لـ bZx، فإن البريد الإلكتروني المرسل إلى مطوريه يحتوي على ماكرو ضار في مستند Word، والذي يتم إخفاؤه كمرفق بريد إلكتروني شرعي. قام هذا الرمز بتشغيل برنامج نصي ضار على الأجهزة المستلمة، مما أدى إلى اختراق محفظته التذكيرية.

جوجل احتيال تشفير الإعلانات

عادةً ما تُعزى هجمات التصيد الاحتيالي إلى رسائل البريد الإلكتروني أو موقع الويب بأكمله، لكن القليل منهم يفكرون خارج الصندوق. مع تطور أمان blockchain، قررت مجموعة من المتسللين إجراء هجوم تصيد باستخدام إعلانات جوجل.

وفقًا للخبراء، قام الجناة بشراء موضع إعلانات Google لموقعهم الإلكتروني الاحتيالي الذي ينتحل شخصية محافظ شهيرة مثل PhantomApp و MetaMask. كما قاموا بتطبيق أساليبهم على عناوين URL لهذه المواقع المزيفة للاستفادة من الخطأ البشري والإهمال. 

بمجرد قيام الضحية بالنقر على الموقع، فإنه يقوم بسرقة عبارة المرور الخاصة به. إذا قام الضحية بإنشاء حساب جديد، فإنه يضع آليات مختلفة لضمان ظهور البلاغ. على الرغم من أن أي معاملات تحدث ستذهب مباشرة إلى المحتالين. وبحلول الوقت الذي تمكن فيه أي شخص من ملاحظة ما يحدث، هرب المحتالون بما يزيد عن 500,000 دولار من العملات المشفرة. قام محتالو العملات المشفرة بجمع هذا المبلغ من اليومين الأولين فقط.

أيضا ، اقرأ ثغرات أمان NFT التي ابتليت بها سوق NFT.

لماذا يصعب التعامل مع هجمات التصيد الاحتيالي؟

جانبين حاسمين من السيناريو أعلاه؛ أولاً، يعد الافتراض عاملاً حاسماً تعتمد عليه معظم هجمات التصيد الاحتيالي. إن مجرد افتراض أن البريد الإلكتروني المستلم كان مشروعًا دون مزيد من التدقيق أدى إلى وصول المتسلل إلى الكمبيوتر الشخصي. 

من الطبيعة البشرية تجاهل الأنشطة الدنيوية. يميل العقل البشري إلى تصفية العمليات التي قام بها ألف مرة، وتعتمد عمليات احتيال العملات المشفرة على مثل هذا الخلل. يميل بعض قراصنة العملات المشفرة إلى تجنب التعامل مع معلمات أمان blockchain وبالتالي يلاحقون الأفراد داخل الشبكة. 

في معظم الأحيان، لا يقع اللوم على الأفراد لأن البعض يحتاج حقًا إلى معرفة المكان الذي يجب أن يبحث فيه أو كيفية اكتشاف الفرق. يغوص الجانب الثاني بشكل أساسي في الجهل البشري بممارسات سلامة العملات المشفرة. 

سيحذرك أي محلل أمني إلكتروني أو blockchain دائمًا من النقر على مواقع غير عادية. يميل قراصنة العملات المشفرة إلى تقليد مواقع الويب، ولكن في Web2، لا يمكن أن يكون لموقعين عناوين URL متطابقة. ومن ثم يمكن للقراصنة مجرد محاكاة ساخرة ولكن ليس تكرارها. ولسوء الحظ، سيحتاج العديد من الأفراد إلى معرفة الفرق.

أيضا ، اقرأ عن الركود الأخير في العملات المشفرة والدروس القاسية المتعلقة بالحضانة والسيطرة.

وفي الختام

ستستمر هجمات التصيد الاحتيالي نظرًا لأن هدفها الأساسي هو الخطأ البشري. وبالتالي، مع ظهور المزيد من الأفكار والاختراعات والمواقع الإلكترونية، سيبدو دائمًا أن المحتالين يستغلون سذاجتهم. لا يمكن للتدابير الأمنية الخاصة بتقنية Blockchain أن تذهب إلى أبعد من ذلك دون مساعدة مستخدميها، لأن قوة أي نظام تعتمد على أضعف حلقاته.