لصوص حسابات الهواتف المحمولة يستهدفون «البيتكوين»

معظم مجتمع الأعمال الأميركي في العملة الافتراضية تعرض للسطو

مئات من عمليات السطو على حسابات الهواتف المحمولة تستهدف محافِظ العملات الافتراضية (رويترز)

اكتشف القراصنة أن أحد أهم عناصر الأمن على الإنترنت – رقم الهاتف المحمول، أو الهوية - هو أيضًا أسهل ما يمكن السطو عليه وسرقته. وفي عدد متزايد من الهجمات عبر الإنترنت في أميركا، كان القراصنة يتصلون بشركات «فيريزون»، و«تي موبايل يو إس»، و«سبرينت»، و«إيه تي آند تي» للمطالبة بنقل السيطرة على هاتف الضحية إلى جهاز خاضع لسيطرة القراصنة.
وفور سيطرتهم على رقم الهاتف، يمكنهم إعادة ضبط كلمات المرور على كل الحسابات التي تستخدم رقم الهاتف كنسخة احتياطية أمنية – كما تقترح خدمات مثل «غوغل»، و«تويتر»، و«فيسبوك».
يقول كريس بورنيسك، المستثمر في العملات الافتراضية والذي فقد السيطرة على رقم هاتفه العام الماضي: «لقد أعيد تشغيل جهازي الآيباد، كما أعيد تشغيل هاتفي وحاسوبي الشخصي، وعندها أدركت خطورة الموقف وقلت لنفسي إن الأمر جاد وخطير بالفعل».
ولقد اشتكى عدد كبير من الناس من استهدافهم بنجاح بواسطة هذا النوع من الهجمات، بما في ذلك الناشط في حركة «حياة الأفارقة مهمة» وكبير خبراء التكنولوجيا في لجنة التجارة الفيدرالية. وتظهر بيانات اللجنة، أن عدد ما يسمى بعمليات السطو على الهواتف واختطافها آخذ في الارتفاع. وفي يناير (كانون الثاني) لعام 2013، سجل نحو 1038 حادثة من هذا النوع، وارتفع الرقم إلى 2658 حادثة في يناير لعام 2016.
ولكن هناك موجة مركزة من الهجمات بشكل خاص طالت أناسا لديهم حسابات أكثر قيمة ووضوحا على الإنترنت؛ وهم من المتحمسين للعملات الافتراضية مثل السيد بورنيسك.
بعد مرور دقائق من السيطرة على هاتف السيد بورنيسك، قام القراصنة بتغيير كلمة المرور على حافظة العملات الافتراضية الخاصة به وسحبوا محتوياتها وكانت تقدر بنحو 150 ألف دولار بتقديرات اليوم.
وأغلب ضحايا هذه الهجمات في مجتمع العملات الافتراضية لم يكونوا يرغبون في الاعتراف بوقوعها علنا خشية استفزاز منافسيهم وخصومهم في الأعمال. ولكن في المقابلات الشخصية، كان العشرات من الأشخاص البارزين في تلك الصناعة قد أقروا بتعرضهم للهجمات خلال الشهور الأخيرة.
يقول جوبي ويكس، وهو من رجال الأعمال في مجال البيتكوين: «كل من أعرفهم في مجال العملات الرقمية المشفرة قد سرقت منهم أرقام هواتفهم المحمولة».
ولقد فقد السيد ويكس رقم هاتفه ونحو مليون دولار من العملة الافتراضية العام الماضي، على الرغم من مطالبته مزود الخدمة بمزيد من تدابير الأمان للهواتف المحمولة بعدما فقدت زوجته ووالداه السيطرة على هواتفهم المحمولة أيضا.
ويبدو أن القراصنة يركزون هجماتهم على أي شخص يتحدث عبر مواقع التواصل الاجتماعي عن امتلاك العملات الافتراضية أو أي شخص معروف عنه اهتمامه بالاستثمار في شركات العملات الافتراضية، مثل أصحاب رؤوس الأموال مثلا. ومعاملات العملات الرقمية مصممة بطريقة غير قابلة للانعكاس، أي لا رجعة فيها.
بيد أن الحسابات المرتبطة بالمصارف وشركات الوساطة المالية ليست معرضة لتلك الهجمات؛ لأن هذه المؤسسات يمكنها في المعتاد عكس المعاملات غير المقصودة أو المعاملات الخبيثة إذا تم اكتشافها في غضون أيام قليلة من وقوع الهجمات.
ولكن الهجمات تكشف عن مقدار هشاشة المعايير الأمنية التي يمكن استغلالها ضد أي شخص تقريبا لديه رسائل إلكترونية ذات قيمة، أو غير ذلك من الملفات الرقمية المهمة – بما في ذلك الساسة، والنشطاء، والصحافيون.
وفي العام الماضي، سيطر القراصنة على حساب «تويتر» الخاص بـديراي ماكسون، زعيم حركة «حياة الأفارقة مهمة» عن طريق الحصول أول الأمر على رقم هاتفه الخاص.
وفي عدد من الحالات التي تتضمن هواة التداول بالعملات الرقمية، كان القراصنة يحتفظون بملفات الرسائل الإلكترونية للمساومة عليها مقابل المال – ويهددون أصحابها بالكشف عن الصور الخادشة في إحدى الحالات، وعن تفاصيل العلاقات الخاصة للضحية في حالة أخرى.
وتشكل الهشاشة الأمنية للمبرمجين والخبراء الأمنيين المتقدمين وتعرضهم لمثل هذه الهجمات، سابقة مثيرة للقلق إذا ما استهدف القراصنة الضحايا الأقل دراية من الناحية التكنولوجية. ويساور الخبراء الأمنيين القلق الشديد بأن هذه الأنواع من الهجمات في طريقها للانتشار واسع النطاق إذا لم تنفذ شركات الهواتف المحمولة التغييرات الكبيرة في الإجراءات الأمنية.
ويقول مايكل بيركلين، كبير مسؤولي أمن المعلومات لدى شركة «شيب - شيفت» لتداول لعملات الافتراضية، والتي شهدت الكثير من الهجمات المماثلة لدى موظفيها وعملائها: «إن الأمر يسلط الضوء حقا على انعدام الأمن الحقيقي في استخدام الهواتف القائمة على الاعتبارات الأمنية».
وقالت شركات الهواتف المحمولة إنها تتخذ الخطوات المعنية بوقف هذه الهجمات من خلال إمكانية إضافة أرقام التعريف الشخصي الأكثر تعقيدا على الحسابات من بين خطوات وتدابير أخرى. ولكن هذه التدابير أثبتت أنها غير كافية في وقف انتشار ونجاح القراصنة والجناة.
ويبدو أن وتيرة هذه الهجمات قد ارتفعت، ولا سيما بعد الموجة الأولى من الهجمات على الهواتف المحمولة وعلى مجتمع العملات الافتراضية في شتاء العام الماضي، والتي ذكرتها مجلة «فوربس» حينذاك، كما قال السيد بيركلين وغيره من خبراء الأمن.
وفي الكثير من الحالات المسجلة أخيرا، سيطر القراصنة على أرقام الهواتف المحمولة حتى مع معرفة الضحايا بتعرضهم للهجوم وتغيير الشركة المزودة لخدمات المحمول.
ولقد طالب آدم بوكورنيكي، الشريك الإداري في شركة «كريبتوشين كابيتال»، من شركة «فيريزون» بوضع المزيد من التدابير الأمنية على حسابه الشخصي بعد علمه باتصال أحد القراصنة 13 مرة محاولا نقل رقمه الشخصي إلى هاتف جديد.
ولكن بعد يوم واحد فقط، كما يقول، أقنع نفس المهاجم وكيلا لآخر لشركة «فيريزون» بتغيير رقم هاتف السيد بوكورنيكي من دون الحصول على رقم التعريف الشخصي الخاص به.
وقال ريتشارد يونغ، الناطق باسم شركة «فيريزون»: إن الشركة لا يمكنها التعليق على الحالات المعينة، لكن النفاذ إلى الهواتف والسيطرة عليها من أطراف أخرى ليس من الأمور الشائعة.
وأضاف السيد يونغ يقول في تعليقه: «بينما نعمل بكل جدية لضمان تأمين حسابات العملاء لدينا، فهناك في بعض الأحيان حالات يقع فيها قصور في العمليات الآلية أو في أداء الموظفين لدينا. وإننا نحاول جاهدين لتصحيح هذه الأخطاء بسرعة والعثور على وسائل إضافية لتحسين التدابير الأمنية».
وقال السيد بيركلين، والذي كان يعمل لدى إحدى شركات المحمول الكندية قبل أن ينضم لشركة «شيب - شيفت»: إن أغلب شركات الهواتف تدون أي طلبات أمنية إضافية في ملاحظات حسابات العملاء لديها.
ولكن الوكلاء الخارجيين يمكنهم العمل من تلقاء أنفسهم، كما أضاف، بصرف النظر تماما عما هو مدون في الملاحظات، ويمكنهم بسهولة تجاوز البيانات المدونة في هذه الملاحظات.
وضعف أرقام الهواتف هو النتيجة غير المقصودة من الثغرات الواسعة في الصناعة الأمنية لإرساء الممارسة المعروفة باسم «المصادقة المزدوجة» والتي من المفترض أن تساعد في زيادة تأمين حسابات العملاء.
والكثير من مزودي خدمات البريد الإلكتروني والمؤسسات المالية تطالب العملاء بربط حساباتهم الإلكترونية بأرقام الهواتف بهدف التأكد من هوياتهم. بيد أن هذا النظام يسمح وبشكل كبير لأي شخص يحمل رقم الهاتف بإعادة ضبط كلمات المرور على هذه الحسابات من دون الحاجة إلى معرفة كلمات المرور الأصلية. إذ يمكن للمهاجم النقر على زر «نسيان كلمة المرور؟» وتصله رسالة نصية برمز جديد يسمح له بالسيطرة على الهاتف المحمول.
وكان السيد بوكورنيكي على الإنترنت في الوقت الذي سُرق منه رقم هاتفه المحمول، وكان يتابع أثناء سيطرة المهاجم على كافة حساباته الإلكترونية الرئيسية في غضون دقائق معدودة. وقال عن ذلك: «شعرت وأنهم يسبقونني بخطوة واحدة دائما».
كانت السرعة العالية التي يتحرك بها المهاجمون قد أقنعت الشخصيات المعنية بالتحقيق في عمليات القرصنة أن الهجمات تديرها مجموعات من القراصنة تعمل معا.
ويقول داني يانغ، مؤسس شركة «بلوكسير» لتأمين العملات الافتراضية، إنه تابع بنفسه الكثير من هذه الهجمات على عناوين الإنترنت في الفلبين، في حين أن متابعة بعض الهجمات الأخرى قادته إلى تركيا وإلى الولايات المتحدة الأميركية.
وقال السيد بيركلين وغيره ممن حققوا في الهجمات الأخيرة: إن المهاجمين ينجحون عموما من خلال صياغة قصص مقنعة عن حالات طوارئ تتطلب نقل رقم الهاتف إلى جهاز جديد – ومن خلال تكرار المحاولات مرات كثيرة حتى الوصول إلى وكيل يسهل إقناعه بالأمر.
وأردف السيد ويكس قائلا: «يمكن لأولئك القراصنة إجراء 600 مكالمة هاتفية قبل التوصل إلى أحد الوكلاء السذج لإقناعه بقصصهم الوهمية».
وشجعت محفظة «كوينبيز»، وهي إحدى محافظ عملة بيتكوين الرقمية، عملاءها بقطع الاتصال بموقع المحفظة عبر هواتفهم المحمولة.
ولكن بعض العملاء ممن فقدوا أموالهم قالوا إنه يجب على الشركات اتخاذ المزيد من الخطوات عن طريق تأخير التحويلات من الحسابات التي تم تغيير كلمات المرور الخاصة بها.
ويقول كودي براون، مطور الواقع الافتراضي والذي تعرض للقرصنة في مايو (أيار) الماضي: «تبدو محفظة (كوينبيز) مثل البنك الذي تودع فيه ملايين الدولارات، لكنك لا تدرك مدى ضعف تدابير الحماية الافتراضية حتى يتم سرقة آلاف الدولارات من حسابك في دقائق».
وكتب السيد براون مقالة واسعة الانتشار حول تجربته الشخصية، وفيها فقد نحو 8 آلاف دولار من العملات الافتراضية من حاسبه على محفظة «كوينبيز»، وكان ذلك يحدث وهو على الإنترنت يراقب كل شيء، ولا يحصل على أي استجابة من خدمة العملاء سواء من محفظة «كوينبيز» أو من شركة «فيريزون».
وقال الناطق باسم محفظة «كوينبيز»: إن الشركة «قد استثمرت موارد كبيرة في بناء الأدوات الداخلية للمساعدة في حماية العملاء ضد القراصنة وسارقي الحسابات، بما في ذلك السرقة عبر النفاذ إلى أرقام الهواتف المحمولة».
وكثيرا ما أشاد العملاء بإجراء عدم التراجع في معاملات البيتكوين بأنه إحدى السمات المهمة للعملات الافتراضية؛ بسبب أنه يصعب الأمر على المصارف والحكومات للتدخل في المعاملات.
ولكن السيد بوكورنيكي قال إن صناعة العملات الافتراضية في حاجة إلى تحذير العملاء الجدد من المخاطر الإضافية التي تصاحب الميزات التكنولوجية الجديدة.
وقال أخيرا: «من دواعي القوة أن تكون قادرا على السيطرة على أموالك وعدم نقل أي شيء من دون إذن مباشر منك. ولكن هذا الامتياز يستلزم إدراكا واضحا للجوانب السلبية».
- خدمة «نيويورك تايمز»