استغل المحتالون منصة جوجل لنشر إعلانات تصيد احتيالية تنتحل صفة بروتوكول العملات الرقمية اللامركزي “يونيسواب” (Uniswap)، مما مكّنهم من سرقة ما لا يقل عن 400 ألف دولار حتى الآن.
في يوم الإثنين، نشر المحلل المتخصص في تحليل سلاسل الكتل “بي-بلوك” (b-block) عبر منصة “إكس” (X) أن موقعًا إلكترونيًا مزيفًا يقلد منصة التبادل اللامركزي “يونيسواب” كان يقوم بسحب الأموال من عدة محافظ رقمية، وأن المحتالين يمتلكون ما لا يقل عن 400 ألف دولار.
صرحت ستايسي مور (Stacy Muur)، مؤسسة وكالة التسويق “جرين دوتس” (Green Dots) المتخصصة في ويب 3، أن المحتالين سرقوا أموال المستخدمين عبر إعلان تصيد على جوجل ينتحل هوية يونيسواب، وشاركت لقطة شاشة لنتيجة مدعومة من محرك البحث.
وقالت ستايسي: “من الجنون أن جوجل تتجاهل هذه المشكلة لسنوات، بينما تستمر الروابط المزيفة في الظهور فوق الروابط الحقيقية، ويستمر المستخدمون في خسارة أموالهم”.
وفقًا لبيانات موقع “إيثر سكان” (Etherscan)، احتوت العنوانان اللذان تم الإبلاغ عنهما على ما مجموعه 146 عملة إيثريوم (ETH)، بقيمة تقارب 306 آلاف دولار وقت كتابة هذا التقرير.
أشار موقع “دي فاي لاما” (DeFiLlama) إلى أن “الإعلانات المزيفة على جوجل هي مصدر شائع لهجمات التصيد”. وفي أبريل، أفادت مجموعة “سكيوريتي ألاينس” (Security Alliance – SEAL) غير الربحية بوجود “ارتفاع ملحوظ” في نشاط التصيد على بحث جوجل خلال شهر مارس.
أوضحت مجموعة SEAL أن المهاجمين يدفعون لجوجل، أو يخترقون حسابات المعلنين الشرعيين، لتشغيل إعلانات مزيفة مقنعة تنتحل هوية بروتوكولات العملات الرقمية الشهيرة لجذب المستخدمين. يقوم المهاجمون بمنافسة البورصات والبروتوكولات الشرعية عبر رفع عروض أسعارهم للحصول على مركز متقدم في قسم “النتائج المدفوعة” على بحث جوجل.
أضافت SEAL أنها حظرت أكثر من 356 رابط إعلان ضار، وهو رقم “يمثل حجمًا ثابتًا من إعلانات جوجل التي ينشرها المهاجمون أسبوعيًا لأكثر من عام”. وتابعت: “الحملة لا تتباطأ، ونحن نتلقى المزيد من البلاغات من المستخدمين المتضررين”.
استخدمت إعلانات التصيد عناوين URL تبدو شرعية لتجاوز الفحوصات الآلية لجوجل، بينما تعمل إطارات مخفية (إذايم – iframe) على تحميل المحتوى الضار، وهو أيضًا غير مرئي لفحص جوجل.
أوضحت SEAL أن الضحايا يصلون إلى نسخ مقنعة من تطبيقات العملات الرقمية الحقيقية، مع توجيه كل حركة المرور عبر خوادم يتحكم فيها المهاجمون، وأفادت أن إجمالي الأموال المسروقة بلغ 1.27 مليون دولار بين 13 و30 مارس.
في أوائل مايو، تم الإبلاغ عن أن المهاجمين أساءوا استخدام إعلانات جوجل والدردشات المشتركة من روبوت الدردشة الذكي “كلود” (Claude) في حملة “إعلانات ضارة” نشطة تستهدف مستخدمي أجهزة Mac.
وفقًا لشركة “مالويربايتس” (Malwarebytes)، يعد فيسبوك أيضًا بؤرة للإعلانات المزيفة والاحتيال. في فبراير، أفادت الشركة أن المحتالين كانوا يديرون إعلانات مدفوعة تبدو وكأنها عروض رسمية من مايكروسوفت.
تم توجيه الضحايا إلى نسخ مطابقة تقريبًا لصفحة تنزيل ويندوز 11، حيث تم نشر برمجيات خبيثة مصممة لسرقة العملات الرقمية وبيانات الدخول.
أسئلة شائعة (FAQ)
كيف يمكنني حماية نفسي من إعلانات التصيد التي تنتحل هوية يونيسواب؟
- تأكد دائمًا من عنوان الموقع الرسمي (URL) قبل النقر على أي إعلان، ويفضل كتابة الرابط يدويًا في المتصفح بدلًا من النقر على الإعلانات المدفوعة.
- استخدم إضافات أمان للمتصفح تمنع الإعلانات الضارة أو تحذر منها.
- لا تتفاعل أبدًا مع الإعلانات التي تطلب منك توصيل محفظتك أو إدخال مفاتيحك الخاصة.
ماذا أفعل إذا وقعت ضحية لهذه الحملات الاحتيالية؟
- قم بتجميد أو نقل أي أموال متبقية في محفظتك فورًا إلى محفظة جديدة وآمنة.
- أبلغ فريق الأمن السيبراني الخاص بالبروتوكول المعني (مثل يونيسواب) عبر قنواتهم الرسمية.
- تواصل مع مجموعات الأمن مثل “سكيوريتي ألاينس” (SEAL) التي تساعد في تتبع الأموال المسروقة والإبلاغ عنها.
لماذا تسمح جوجل بظهور هذه الإعلانات المزيفة رغم كونها احتيالًا واضحًا؟
- يستخدم المحتالون عناوين URL وعناوين شركات تبدو شرعية لتجاوز أنظمة الفحص الآلي لجوجل.
- يستغلون إطارات الويب المخفية (إذايم) لتحميل المحتوى الضار دون اكتشافه.
- يرفع المهاجمون عروض أسعارهم للحصول على مراكز متقدمة في قسم “النتائج المدفوعة”، مما يجعل روابطهم تبدو أكثر مصداقية من الروابط الحقيقية.
