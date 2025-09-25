تام شمس - الخميس 25 سبتمبر 2025 05:54 مساءً - تشهد منصّة X حملة تصيّد احتيالي متطورة تستهدف حسابات شخصيات بارزة في مجتمع الكريبتو، مستخدمةً أساليب تتجاوز التحقق الثنائي (2FA) وتبدو أكثر مصداقية من عمليات الاحتيال التقليدية.

وبحسب منشور على X يوم الأربعاء للمطور زاك كول، تستغل الحملة الاحتيالية الجديدة بنية X نفسها للسيطرة على حسابات شخصيات الكريبتو. وقال: "صفر كشف. نشطة الآن. استيلاء كامل على الحساب."

وأوضح كول أن الهجوم لا يتضمن صفحة تسجيل دخول مزيفة أو سرقة كلمات مرور، بل يعتمد على دعم تطبيقات X للوصول إلى الحسابات مع تجاوز التحقق الثنائي.

وأكد باحث الأمان في MetaMask، أوم شاه، أنه رصد الهجوم "على أرض الواقع"، مشيرًا إلى أنه جزء من حملة أوسع، كما استُهدفت إحدى عارضات OnlyFans بنسخة أقل تطورًا من هذا الهجوم.

صياغة رسالة تصيّد مقنعة

الميزة اللافتة لهذه الحملة الاحتيالية هي مدى مصداقيتها وسريتها. يبدأ الهجوم برسالة خاصة عبر X تحتوي على رابط يبدو وكأنه يعيد التوجيه إلى نطاق Google Calendar الرسمي، وذلك بفضل الطريقة التي تنشئ بها المنصة معاينات للروابط.

في حالة كول، ادعى المهاجمون أن الرسالة صادرة عن ممثل لشركة رأس المال المغامر Andreessen Horowitz.

الرابط الاحتيالي في الرسالة. المصدر: Zak Cole

النطاق الفعلي للرابط هو “x(.)ca-lendar(.)com” وقد تم تسجيله يوم السبت، إلا أن X يعرض في المعاينة نطاق calendar.google.com الشرعي، وذلك بسبب استغلال بيانات التعريف (metadata) للموقع في كيفية إنشاء X للمعاينات.

وكتب كول: "عقلك يرى Google Calendar، لكن الرابط مختلف."

بيانات التعريف للموقع الاحتيالي. المصدر: Zak Cole

عند النقر على الرابط، يقوم JavaScript بإعادة التوجيه إلى نقطة مصادقة X، حيث يُطلب من المستخدم منح إذن لتطبيق بالوصول إلى حسابه.

ويظهر التطبيق باسم "Calendar"، لكن الفحص الفني يكشف أن الاسم يحتوي على حرفين سيريلّيين يشبهان "a" و"e"، ما يجعله تطبيقًا مختلفًا عن تطبيق "Calendar" الحقيقي في نظام X.

طلب مصادقة احتيالي على X. المصدر: Zak Cole

المؤشر الذي يكشف الهجوم

حتى الآن، كان المؤشر الأكثر وضوحًا على أن الرابط غير شرعي هو عنوان URL الذي ظهر لفترة وجيزة قبل إعادة التوجيه ربما لأجزاء من الثانية مما يجعله سهل الفوات.

لكن على صفحة مصادقة X، يظهر أول دليل صريح على الهجوم: إذ يطلب التطبيق قائمة طويلة من أذونات التحكم الشامل في الحساب، بما في ذلك متابعة وإلغاء متابعة الحسابات، تحديث الملفات الشخصية والإعدادات، إنشاء وحذف المنشورات، والتفاعل مع منشورات الآخرين، وغير ذلك.

تبدو هذه الأذونات غير ضرورية لتطبيق تقويم، وقد تكون الإشارة التي تنقذ المستخدم الحذر من الوقوع ضحية للهجوم. فإذا منح المستخدم الإذن، يتمكن المهاجمون من الوصول إلى الحساب، ليظهر دليل آخر عند إعادة التوجيه إلى calendly.com رغم ظهور Google Calendar في المعاينة.

وكتب كول: "Calendly؟ لقد قلدوا Google Calendar لكنهم أعادوا التوجيه إلى Calendly؟ خطأ فادح في أمان العمليات. هذا التناقض قد ينبه الضحايا."

وبحسب تقرير كول على GitHub حول الهجوم، للتحقق مما إذا كان حسابك قد تعرض للاختراق والتخلص من المهاجمين، يُوصى بزيارة صفحة التطبيقات المرتبطة بحسابك على X، ثم إلغاء أي تطبيقات باسم "Calendar".