تُشكل سرقة العملات الرقمية تهديدًا متزايدًا في العالم الرقمي، ومع التطور المستمر لأساليب الاحتيال، أصبح من الضروري للمستخدمين توخي أقصى درجات الحذر.
في الآونة الأخيرة، كشفت تقارير أمنية عن حملة واسعة النطاق تستهدف مستخدمي متصفح موزيلا فايرفوكس، باستخدام أكثر من 40 امتدادًا مزيفًا تتنكر في هيئة محافظ عملات رقمية شهيرة بهدف سرقة بيانات الاعتماد والأصول الرقمية للمستخدمين.
تُبرز هذه الحملة المبتكرة الحاجة الملحة لتعزيز الأمن السيبراني في فضاء العملات المشفرة، وتُلقي الضوء على التكتيكات الخبيثة التي يستخدمها المحتالون لاستغلال ثقة المستخدمين. تعتمد هذه الهجمات على خداع الضحايا لتثبيت هذه الإضافات الضارة، التي تبدو وكأنها أصلية، قبل أن تقوم بسرقة مفاتيح المحافظ الرقمية والعبارات السرية، مما يؤدي إلى خسائر مالية فادحة يصعب استعادتها.
طبيعة الهجوم وطرق الاحتيال
تتميز هذه الحملة بتطورها وقدرتها على التغلغل في بيئة المستخدمين دون إثارة الشكوك، مستغلة نقاط ضعف تتعلق بالثقة وسهولة الوصول إلى الإضافات.
امتدادات مزيفة تستهدف محافظ شائعة
وفقًا لتقرير صادر عن شركة (Koi Security)، تم ربط أكثر من 40 امتدادًا مزيفًا لمتصفح فايرفوكس بهذه الحملة المستمرة لسرقة العملات الرقمية. تتنكر هذه الإضافات في هيئة أدوات محافظ رقمية معروفة مثل:
- كوين بيس (Coinbase)
- ميتا ماسك (MetaMask)
- تراست واليت (Trust Wallet)
- فانتوم (Phantom)
- إكسودس (Exodus)
- أوكي إكس (OKX)
- ماي مونيرو (MyMonero)
- بيتجيت (Bitget)
- كيلبر (Keplr)
- ليب (Leap)
- إيثيريوم واليت (Ethereum Wallet)
- فيلفوكس (Filfox)
بمجرد تثبيتها، تُصمم هذه الامتدادات الضارة لسرقة بيانات اعتماد المحافظ الخاصة بالمستخدمين. وتجدر الإشارة إلى أن الحملة نشطة منذ أبريل الماضي، وقد تم تحميل أحدث الامتدادات إلى متجر إضافات فايرفوكس مؤخرًا.
مواضيع ذات صلة:
كيف تعمل البرمجيات الخبيثة؟
تُعد الآلية التي تعمل بها هذه الإضافات بسيطة ولكنها فعالة. تقوم الامتدادات باستخلاص بيانات اعتماد المحافظ مباشرة من المواقع المستهدفة التي يزورها المستخدم، ثم تُحمِّلها إلى خادم بعيد يُسيطر عليه المهاجمون.
يكمن الخطر هنا في أن هذه البرمجيات الخبيثة تعمل داخل متصفح المستخدم، مما يجعل اكتشافها أو حظرها باستخدام أدوات الأمان التقليدية أكثر صعوبة. على سبيل المثال، قد يُظهر الجدول التالي مقارنة بين إضافات حقيقية وأخرى مزيفة:
الميزة | الامتداد الحقيقي | الامتداد المزيف |
---|---|---|
مصدر التنزيل | المتجر الرسمي للشركة | متاجر غير موثوقة / مخادعة |
المراجعات | طبيعية ومتنوعة | مئات المراجعات المزيفة |
السلوك | وظيفي وآمن | يطلب بيانات حساسة / غريب |
استغلال الثقة والتصميم
تعتمد هذه الحملة على استغلال ثقة المستخدمين عبر عدة أساليب:
التقييمات والمراجعات المزيفة: تقوم بعض التطبيقات بتضخيم شعبيتها بشكل مصطنع، مضيفةً مئات المراجعات المزيفة من فئة الخمس نجوم لتبدو وكأنها تحظى بتبني واسع.
الأسماء والشعارات المتطابقة: تستخدم الإضافات المزيفة أسماء وشعارات متطابقة للخدمات الحقيقية التي تنتحلها، مما يجعل التمييز صعبًا للغاية.
استنساخ الأكواد مفتوحة المصدر: في حالات متعددة، قام المهاجمون بالاستفادة من الأكواد مفتوحة المصدر للإضافات الرسمية، عن طريق استنساخ تطبيقاتها وإضافة أكواد خبيثة إليها. هذا النهج منخفض الجهد وعالي التأثير يتيح للمهاجم الحفاظ على تجربة المستخدم المتوقعة مع تقليل فرص الكشف الفوري. يمكن استخدام صورة لتوضيح الفرق بين شعار أصلي ومزيف.
الجهة المشتبه بها وجهود مكافحة التهديد
في مواجهة هذا النوع من التهديدات، تعمل شركات الأمن والمتصفحات على تطوير آليات دفاعية جديدة لحماية المستخدمين.
شكوك حول جهة روسية
رغم أن تحديد هوية الفاعل لا يزال غير مؤكد، إلا أن شركة "Koi Security" أشارت إلى "إشارات متعددة تشير إلى فاعل تهديد يتحدث الروسية". وتشمل هذه الإشارات تعليقات باللغة الروسية في الأكواد وبيانات وصفية (metadata) وُجدت في ملف PDF تم استرداده من خادم قيادة وتحكم للبرامج الضارة متورط في الحادث.
وعلى الرغم من أن هذه المؤشرات ليست قاطعة، إلا أنها توحي بأن الحملة قد تكون مصدرها مجموعة تهديد تتحدث الروسية.
استجابة موزيلا ونظام الكشف المبكر
إدراكًا لخطورة هذه الهجمات، أعلنت موزيلا، الشركة المطورة لمتصفح فايرفوكس، في يونيو الماضي، عن تطوير "نظام كشف مبكر" جديد. يهدف هذا النظام إلى كشف وحظر امتدادات محافظ العملات الرقمية الاحتيالية قبل أن تكتسب شعبية بين المستخدمين وتُستخدم لسرقة الأصول.
يعمل النظام عن طريق تحليل كل امتداد محفظة يتم إرساله وتوليد ملف تعريف للمخاطر. إذا تجاوز الامتداد عتبة معينة من المخاطر، يقوم النظام بإصدار تنبيه للمراجعين البشريين للتحقيق واتخاذ الإجراء المناسب.
نصائح للحماية وتجنب الوقوع ضحية
لحماية أصولك الرقمية وبياناتك الشخصية، من الضروري اتباع إرشادات أمنية صارمة عند التعامل مع امتدادات المتصفح.
إجراءات وقائية أساسية للمستخدمين
توصي الشركات الأمنية والمطورون باتخاذ الخطوات التالية للتخفيف من المخاطر:
- التثبيت من ناشرين موثوقين فقط: تأكد دائمًا من تثبيت امتدادات المتصفح من الناشرين المعتمدين والمواقع الرسمية فقط. لا تثق في الروابط أو المصادر غير المعروفة.
- معاملة الامتدادات كأصول برمجية كاملة: يجب التعامل مع إضافات المتصفح بنفس مستوى الحذر الذي تُعامل به أي برنامج آخر على جهاز الكمبيوتر الخاص بك.
- استخدام قوائم السماح (Allowlists): إذا أمكن، استخدم قوائم السماح التي تسمح بتشغيل الامتدادات الموثوقة فقط، وتحظر أي امتدادات أخرى بشكل افتراضي.
- مراقبة السلوك غير المتوقع أو التحديثات: انتبه لأي سلوك غير عادي يصدر عن الامتدادات المثبتة، أو لأي تحديثات غير متوقعة قد تشير إلى وجود نشاط ضار.
يُمكن تلخيص أبرز النصائح في الجدول التالي:
النصيحة | الوصف |
---|---|
التحقق من مصدر الامتداد | تنزيل الإضافات من المتاجر الرسمية أو مواقع المطورين الموثوقين فقط. |
مراجعة الأذونات المطلوبة | التحقق من الأذونات التي تطلبها الإضافة قبل التثبيت. |
قراءة المراجعات الحقيقية | البحث عن مراجعات حقيقية وتجاهل المراجعات المشبوهة أو المبالغ فيها. |
تحديث المتصفح والإضافات بانتظام | التأكد من أن المتصفح وجميع الإضافات محدثة بآخر الإصدارات الأمنية. |
استخدام برامج الحماية | الاستعانة ببرامج مكافحة الفيروسات والبرامج الضارة. |
خاتمة
تُشكل حملة سرقة العملات الرقمية عبر امتدادات فايرفوكس المزيفة تذكيرًا صارخًا بأن التهديدات في عالم العملات المشفرة تتطور باستمرار وتصبح أكثر تعقيدًا. مع تزايد شعبية العملات الرقمية، يزداد أيضًا جاذبيتها للمحتالين.
لذلك، يجب على مستخدمي العملات الرقمية أن يكونوا يقظين دائمًا وأن يتبنوا أفضل الممارسات الأمنية. إن تثبيت الإضافات من مصادر موثوقة فقط، والتعامل معها بحذر، ومراقبة أي سلوك مشبوه، هي خطوات أساسية لحماية أصولك الرقمية وتجنب الوقوع ضحية لمثل هذه الحملات الاحتيالية. تذكر دائمًا أن الوقاية خير من العلاج في عالم الأمن السيبراني سريع التغير.