الانتقال إلى المحتوى الرئيسي
العودة إلى الأخبار
تحقيق في عدة قضايا

المحتالون ليسوا قراصنة: تحليل 4 أنظمة خلفية، تم اختراقها جميعًا بسهولة تامة

Firebase · Supabase · Express.js · Drainer-as-a-Service · فبراير 2026

الكشف عن البنية التحتية لعملية الاحتيال
19,000+
سرقة عبارات البذرة (حملة واحدة)
4
الوصول الكامل إلى الأنظمة الخلفية
0
يلزم التوثيق
267+
نطاقات التصيد المرتبطة

 إخلاء المسؤولية: تحليل، وليس هجومًا

كل ما ورد في هذا المقال هو نتيجة لـ التحليل السلبي والبيانات المتاحة للجمهور. لم يتم اختراق أي أنظمة. ولم يتم تجاوز أي إجراءات مصادقة. في كل حالة، أدى سوء التكوين من جانب المحتالين أنفسهم إلى كشف بنيتهم التحتية وبيانات الضحايا وهوياتهم التشغيلية لأي شخص يبحث عنها ببساطة. تم العثور على كل مفتاح واجهة برمجة التطبيقات (API) في حزم جافا سكريبت العامة. وكانت كل قاعدة بيانات مفتوحة على مصراعيها وفقًا لتصميم المشغلين أنفسهم. نحن نوثق هذا ليس بهدف الهجوم — بل لإثبات أن الأشخاص الذين يسرقون عملاتك المشفرة لا يستطيعون حتى الحفاظ على أدواتهم الخاصة.

 الفكرة الأساسية: «سكريبت كيدز» وأدواتهم المسروقة

هناك أسطورة راسخة في مخيلة الجمهور مفادها أن المحتالين عبر الإنترنت هم «قراصنة» — أي عباقرة تقنيون يقتحمون الأنظمة بمهارة ودقة. هذا خطأ.

المحتالون المعاصرون في مجال العملات المشفرة هم مبتدئو البرمجة الذين يستخدمون مجموعات أدوات تم شراؤها. فهم يشترون باقات «Drainer-as-a-Service» مقابل 200 إلى 500 دولار، وينشرونها على خوادم استضافة مجانية أو رخيصة، ويأملون ألا يلاحظ ضحاياهم ذلك. إنهم لا يكتبون أي أكواد برمجية. ولا يفهمون شبكات الكمبيوتر. وبالتأكيد لا يفهمون الأمور الأمنية.

ونحن نعلم ذلك لأن «PhishDestroy» قامت في فبراير 2026 بتحليل 4 عمليات احتيال مستقلة — وفي كل حالة على حدة، كان بإمكاننا:

لا حاجة إلى استغلالات. ولا ثغرات «يوم صفر». ولا «قرصنة». فقط فتح الباب الأمامي الذي تركوه مفتوحًا.

 الحالة 1: API «فانتوم» — server0002.mn19indexpre.xyz

 Express.js على Apache، لا أمان حقيقي على الإطلاق

لا توجد مصادقةلا يوجد تحقق من صحة المدخلاتلا توجد قيود على السرعةCORS: *
المعلمةالقيمة
المجالserver0002.mn19indexpre.xyz
عنوان IP108.181.185.225
مجموعة الخوادمApache/2.4.58 (Ubuntu) → Express.js (Node.js)
شعار SSHSSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11
مُصدر TLSLet's Encrypt (E7)، صالحة من يناير إلى أبريل 2026
مسجل نظام أسماء النطاقات (DNS)GoDaddy (ns39/ns40.domaincontrol.com)
البريد الإلكتروني (MX)mn19indexpre-xyz.mail.protection.outlook.com
مستأجر مايكروسوفتNETORGFT19090185.onmicrosoft.com
الموانئ المفتوحة22 (SSH)، 80 (HTTP→301)، 443 (HTTPS)

 "التحقق من الهوية" — مزحة

يأتي واجهة برمجة التطبيقات (API) مزودًا برمز «Bearer» مبرمجًا بشكل ثابت: thisisakeyforsecureserver. لكن إليكم النقطة الأساسية — لم يتم التحقق من صحة الرمز فعليًّا:

// No auth header → accepted POST / HTTP/1.1 Content-Type: application/json {"subject":"test","domain":"test","messages":["ping"]} → {"success":true}// Wrong token → also accepted التفويض: حامل الرمز الخاطئ تمامًا (wrong_token_completely) → {"success":true}// Any content type → also accepted نوع المحتوى: text/xml، text/plain، multipart/form-data → {"success":true}

 عدم التحقق من صحة المدخلات

تم قبول كل حمولة حقن قمنا باختبارها دون أي رد فعل:

// SQL injection الموضوع: "' أو 1=1--"→ مقبول الموضوع: "'; DROP TABLE messages;--"→ مقبول// SSTI (Server-Side Template Injection) الموضوع: "{{7*7}}"→ مقبول الموضوع: "{{config}}"→ مقبول الموضوع: "{{self.__class__}}"→ مقبول// SSRF (Server-Side Request Forgery) المجال: "http://169.254.169.254/latest/meta-data/"→ مقبول المجال: "file:///etc/passwd"→ مقبول// XSS stored payload الموضوع: "<script>alert(1)</script>"→ مقبول

 بصمة الأداء

يستغرق وقت الاستجابة لطلبات POST حوالي 7.5 ثانية بشكل ثابت بغض النظر عن حجم الحمولة (يتم قبول أحجام تتراوح بين 10 بايت و10 ميغابايت)، مما يشير إلى إعادة توجيه البريد الإلكتروني أو ترحيل الويب هوك في الخلفية. تستغرق استجابة طلبات GET 0.6 ثانية. يتم إكمال 10 طلبات متوازية في 9.1 ثانية — ولا يتم فرض أي قيود على معدل الطلبات.

 احتمال الكشف عن الهوية

معرّف مستأجر Microsoft 365 NETORGFT19090185 هو رابط مباشر إلى حساب المنظمة الذي سجل هذا النطاق. وبالاقتران مع سجلات التسجيل لدى GoDaddy وعنوان IP مخصص (ليس خلف شبكة CDN)، فإن هذا المشغل هو يمكن التعرف عليه بسهولة عبر القنوات القانونية. سجل SPF (include:secureserver.net) يؤكد أن خدمة استضافة البريد الإلكتروني من GoDaddy — يمكن الوصول إلى جميع البيانات الوصفية للبريد الإلكتروني بموجب أمر استدعاء.

 الحالة 2: Firebase مفتوح على مصراعيه — web3ledgar.com

 Firestore بدون أي قواعد أمان

قواعد FIRESTORE: مفتوحةجميع بيانات الضحايا قابلة للقراءةمفتاح واجهة برمجة التطبيقات (API) في جافا سكريبت العامالكشف عن هوية 12 ضحية
المعلمةالقيمة
نطاق التصيد الاحتياليweb3ledgar.com (اسم مستوحى من "Ledger" بهدف الاستغلال)
نطاق بديلweb3.ledgerscore.ltd
مشروع Firebaseweb3ledger-210ab
مفتاح واجهة برمجة التطبيقات (API)AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8
معرف التطبيق1:1054258933515:web:9fb193fcd0093023f7fc0e
حزمة JS/static/js/main.7a5ec2fa.js
قواعد Firestoreمفتوح تمامًا — قراءة/كتابة بدون مصادقة
إجمالي عدد الضحايا12 سجلًا في users مجموعة
المجموعات التي تم العثور عليهاusers, transactions

 بيانات الضحايا — متاحة بالكامل لأي شخص

أعاد طلب GET واحد غير مُصادق عليه موجه إلى API REST الخاصة بـ Firestore كل عبارة بذرة مسروقة:

GET /v1/projects/web3ledger-210ab/databases/(default)/documents/users?pageSize=300 → 200 OK→ إجمالي عدد الوثائق: 12// Sample victim record (seed phrase redacted for safety) { "walletId": "W3L-65285520", "walletType": "WalletConnect", "البريد الإلكتروني": "[تم حذفه]@gmail.com", "عبارة البذرة": "████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "createdAt": "2026-02-15T00:14:52.804Z", "الحالة": "نشط" }

ومن بين السجلات الـ 12، كان هناك سجل دال — فقد سبق أن قام شخص ما باختبار النظام باستخدام fbi@fbi.gov كما هو مذكور في البريد الإلكتروني. إما أن المحتال كان يختبر نظامه الخاص (وهو أمر مفيد للتعرف عليه)، أو أن شخصًا آخر كان قد اختبره بالفعل.

 مسار الهجوم

يحاكي موقع التصيد واجهة محفظة «ليدجر». ينقر الضحية على «ربط المحفظة» → يدخل عبارة البذرة → تقوم واجهة «رياكت» بالكتابة مباشرةً إلى «فايرستور» → ويقوم المحتال بقراءة البيانات من نفس قاعدة البيانات المفتوحة. لا يوجد أي خادم خلفي على الإطلاق. تعمل العملية برمتها في إطار الخدمة المجانية التي تقدمها Google.

 احتمال الكشف عن الهوية

معرّف مشروع Firebase web3ledger-210ab ومعرف التطبيق 1:1054258933515 هي مرتبط بحساب Google. تحتفظ «جوجل» بسجلات الفوترة وسجلات عناوين IP وبيانات إنشاء الحسابات لجميع مشاريع «فايربيز». ويكفي طلب واحد من سلطات إنفاذ القانون إلى «جوجل» للكشف عن هوية المشغل. علاوة على ذلك، فإن كون قواعد «فايرستور» مفتوحة على مصراعيها يعني كان بإمكاننا إدخال السجلات في قاعدة بياناتهم، أو أبلغ الضحايا في الوقت الفعلي، أو قام بمسح المجموعة بأكملها.

 الحالة 3: CRUD الكامل في Supabase — web3safe-pal.com

 الأمان على مستوى الصف معطل، و GraphQL مفتوح تمامًا

RLS معطلوصول كامل إلى عمليات القراءة والكتابة والحذف (CRUD)تم تمكين GRAPHQLعرض وظائف الحافةالتوطين الروسي
المعلمةالقيمة
نطاق التصيد الاحتياليweb3safe-pal.com (اسم مزيف مستوحى من "SafePal")
مشروع Supabasegzqsadraigchwdhblavp
مفتاح Anon نُشر في /assets/index-b025f4a6.js (748 كيلوبايت)
جدول قاعدة البياناتseeds — القراءة، الإدراج، التحديث، الحذف
GraphQLتم تمكين الاستبطان الكامل + الطفرات
وظائف الحافة send-wallet-import-email, send-email
خدمة البريد الإلكترونيواجهة برمجة التطبيقات لإعادة الإرسال (RESEND_API_KEY في متغيرات البيئة)
سجلات الضحاياالأرقام 130–131 (تم حذف الرقم 129 سابقًا)
لغة واجهة المستخدم الروسية ("المحفظة الرئيسية"، "جاري تحميل محفظتك...")

 الوصول الكامل إلى قاعدة البيانات — القراءة والكتابة والحذف

يمنح مفتاح «anon» الخاص بـ Supabase، الموجود في حزمة جافا سكريبت المُصغَّرة، وصول كامل إلى وظائف CRUD إلى seeds جدول:

// READ — get all stolen seed phrases GET /rest/v1/seeds?select=*ℴ=id.asc → 200 OK [ {"id":130, "عبارة":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "الاسم":"المحفظة الرئيسية"}, {"id":131, "عبارة":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "الاسم":"المحفظة الرئيسية"} ] // INSERT — we can write to the scammer's database POST /rest/v1/seeds {"phrase":"PHISHDESTROY_WAS_HERE","name":"test"} → تم إنشاء 201 {"id":132} // UPDATE via GraphQL mutation { updateseedsCollection(filter:{id:{eq:131}}, set:{name:"PhishDestroy was here"}) { affectedCount } } → {"affectedCount": 1}// DELETE via GraphQL mutation { deleteFromseedsCollection(filter:{id:{eq:131}}, atMost:1) { affectedCount } } → {"affectedCount": 1}

تبدأ أرقام التعريف من 130 — أي أن السجلات من 1 إلى 129 قد حُذفت سابقًا من قِبل المشغل. وقد مرت عبر هذا النظام 131 عبارة بذرة على الأقل.

 وظائف Edge: سجل رسائل البريد الإلكتروني

هناك وظيفتان من وظائف Supabase Edge قيد التشغيل. وقد قمنا بعملية الهندسة العكسية لـ send-email تنسيق الإدخال المتوقع للدالة من خلال اختبار الحمولات:

// Probing send-email endpoint {"seed":"test phrase","name":"test"} → 200 OK {"id":"f2749592-..."} {"seed_phrase":"...","wallet_name":"..."} → 400 "لم يتم توفير بيانات البذور." {"phrase":"...","name":"..."} → 400 "لم يتم توفير بيانات البذور."// The function accepts {seed, name} and sends to attacker via Resend API// Edge Function source (reconstructed from JS bundle):// NB.functions.invoke("send-wallet-import-email",// {body: {wallet_name, secret_phrase, ip_address}})

إعادة إرسال مفتاح API (RESEND_API_KEY) يتم تخزينها في متغيرات بيئة Supabase. وتحتفظ «Resend» بسجلات التحقق من هوية المرسل وبيانات الفوترة — طريق مباشر آخر لمعرفة هوية المشغل.

 احتمال الكشف عن الهوية

يشير الترجمة الروسية لواجهة المستخدم ("المحفظة الرئيسية"، "جاري تحميل محفظتك...") إلى مشغل يتحدث الروسية. مشروع Supabase (gzqsadraigchwdhblavp) مرتبط بحساب يحتوي على سجلات الفوترة. وتحتوي خدمة «إعادة إرسال البريد الإلكتروني» على عنوان البريد الإلكتروني للمستلم. ويكشف التحليل الذاتي لـ GraphQL عن مخطط قاعدة البيانات الكامل. وقد أثبتنا إمكانية الوصول الكامل للكتابة — كان بإمكاننا استبدال كل عبارة بذرة مسروقة برسالة تحذيرية موجهة إلى الضحايا، أو حذف الجدول بأكمله. ولن يكون لدى المشغل أي وسيلة لاستعادة البيانات.

 الحالة 4: جهاز تصريف على نطاق صناعي — aipolypredictor.xyz

 19,000 عبارة بذرة في 5.8 أيام

سرقة أكثر من 19 ألف بذرةمعرّفات المهام المتسلسلةلا توجد قيود على CORSDaaS KIT (defex.cc)تم تأكيد 11 نطاقًا
المعلمةالقيمة
مجال الواجهة الأمامية aipolypredictor.xyz ("PolySniper | رهانات المطلعين على الصدارة")
واجهة برمجة التطبيقات C2 APIapi.yfhikblkhghdyteiuyf54.run
عناوين IP من الفئة C2 172.67.168.147, 104.21.26.231 (Cloudflare)
الخلفيةExpress.js (Node.js) الإصدار 1.0.0
مسجل (الواجهة الأمامية)شركة «NiceNIC International Group»
مسجل (C2)شركة PDR المحدودة (PublicDomainRegistry.com)
وقت التشغيلحوالي 139 ساعة (بدأت في حوالي 10 فبراير 2026 الساعة 21:00 بالتوقيت العالمي المنسق)
مجموعة أدوات التصريف CDN renderer-postcard.defex.cc (601 كيلوبايت من جافا سكريبت المشفرة)
روبوت Telegramنشط، ومتكامل مع نظام الإشعارات
حد السرعة10 طلبات/60 ثانية (الحد الوحيد الذي تم العثور عليه)

 المقياس الذي تكشفه المعرّفات التسلسلية

الخطأ الأكثر فداحة: معرّفات المهام المتسلسلة. يُرجع كل إرسال لعبارة البذور معرّفًا متزايدًا، مما يتيح لأي شخص حساب الحجم الإجمالي:

POST /api/check-seed-full { "عبارة البذرة": "عبارة اختبار هنا", "bundleId": "88ef78f56e0837dd0339e40a882bf563", "العمق": 100, "المجال": "aipolypredictor.xyz", "معلومات المصدر": {"walletName":"MetaMask", "isBot":خطأ} } → {"success":true, "message":"تم التحقق من قائمة الانتظار", "jobId":"19358"}// Next request: jobId 19359, then 19360...// ~19,000 seed phrases in ~139 hours = ~137 per hour

 البنية متعددة السلاسل

يقوم خادم C2 باستخلاص المفاتيح عبر جميع السلاسل الرئيسية باستخدام مسارات استخلاص بعمق 100:

⛓️
السلاسل المستهدفة
ETH/BTC/SOL/XMR
🔑
عمق الاشتقاق
100
🌐
النطاقات المؤكدة
11
🕸️
defex.cc مرتبط
255+

 البنية التحتية للحملة الانتخابية

11 نطاقًا مؤكدًا موزعة على مجموعتين من المشغلين، تم تتبعها عبر معرّفات الحزم (Bundle IDs):

معرّف الحزمةالنطاقاتالحالة
88ef78f5...aipolypredictor.xyzبث مباشر
4446ea5d...solana.onspace.app، solxjup.onspace.appبث مباشر
مجموعة defex.cc jup-v2.com، events-charizard.fun، events-llquid.fun، events-blackswan.fun، soljup.onspace.build مختلط

 تحليل الحمولة في جافا سكريبت

تعمل ثلاث حمولات جافا سكريبت مُشوشة على تزويد برنامج الاستنزاف بالبيانات:

  • wallet-connect.js (46 كيلوبايت) — يتولى إدارة واجهة المستخدم الخاصة باتصال المحفظة، ويعترض إدخال البذرة. إخفاء التناوب في مصفوفة السلاسل.
  • wallet-specific-modals.js (134 كيلوبايت) — يحتوي على قائمة الكلمات الإنجليزية الكاملة لـ BIP39 و قائمة كلمات مونيرو (1,626 كلمة). منع التصحيح عبر تجاوزات console.log/trace. دعم النوافذ المنبثقة للمحافظ المتعددة.
  • defex.cc/index.js (601 كيلوبايت) — تم تشويش الكود باستخدام Unicode مع أسماء متغيرات باللغة الصينية. منطق «drainer» خاص بـ Solana. مشفر Base58، وعناصر أساسية لاشتقاق مفاتيح التشفير. الإصدار 3.0.0.

 احتمال الكشف عن الهوية

الـ CORS: * العنوان وغياب وسائل المصادقة يمكن لأي شخص تقديم الطلبات ومتابعة التغيرات في معرّف المهمة في الوقت الفعلي. ويعني دمج روبوت Telegram أن حساب المشغل على Telegram يتلقى الإشعارات — ويمكن استدعاء البيانات الوصفية لTelegram بموجب أمر قضائي. NiceNIC (مسجل النطاق للواجهة الأمامية) هو مسجل نطاق معروف بمقاومته للتتبع، وقد قمنا تم التحقيق فيه سابقًا، لكن شركة PDR Ltd. (مسجل نطاقات C2) تستجيب بالفعل لطلبات أجهزة إنفاذ القانون. الـ defex.cc تخدم مجموعة أدوات «drainer» أكثر من 255 نطاقًا — ومن شأن اختراق موقع defex.cc أن يكشف عن عملية DaaS بأكملها وجميع عملائها.

 جنبًا إلى جنب: 4 عمليات، نفس النمط

النظام المتري mn19indexpre
Express.js
web3ledgar
Firebase
web3safe-pal
Supabase
aipolypredictor
مصرف المياه C2
المصادقةلا شيء (تم تجاهل الرمز)لا شيءمفتاح Anon في JSلا شيء (CORS: *)
البيانات قابلة للقراءةالرسائل/الترحيلجميع عبارات البذورجميع عبارات البذورمعرّفات الوظائف / جدول الرواتب
بيانات قابلة للكتابةنعم (بلا حدود)نعمنعم (CRUD كامل)نعم (إرسال)
التحقق من صحة المدخلاتصفرصفرصفرالحد الأدنى
تحديد معدل الاستخداملا شيءلا شيءلا شيء10 طلبات/60 ثانية
يمكن الكشف عن هويتهمستأجر MS365حساب Googleإعادة الإرسال + الفوترة في SupabasePDR + Telegram
العدد التقديري للضحاياغير معروف12131+19,000+
لغة المشغلغير معروفالإنجليزيةالروسيةغير معروف

 لماذا لا يُعتبر المحتالون قراصنة

الأدلة دامغة. ففي جميع العمليات الأربع، نلاحظ نفس النمط:

 ماذا يفعل المحتالون
  • شراء مجموعات مصافي جاهزة (200–500 دولار)
  • النشر على المستويات المجانية (Firebase، Supabase)
  • اترك الإعدادات الافتراضية دون تغيير
  • استخدم رموزًا مبرمجة بشكل ثابت لا يتم التحقق منها
  • لا تقم أبدًا بتمكين RLS، ولا تقم أبدًا بتقييد CORS
  • الكشف عن هوياتهم في البيانات الوصفية
  • استخدم أرقام تعريف متسلسلة تعكس حجمها
 ما الذي قد يفعله القراصنة
  • كتابة أدوات مخصصة لتسريب البيانات
  • استخدم قنوات مشفرة ومصادق عليها
  • توزيع المعرّفات عشوائيًا، وتناوب البنية التحتية
  • تطبيق نظام مناسب للتحكم في الوصول
  • استخدام شبكة تور/سلاسل البروكسي، والمدفوعات المجهولة
  • الفصل بين الهوية التشغيلية والاستضافة
  • تطبيق تقنيات مضادة للتحليل الجنائي

العميل النموذجي لخدمة «Drainer-as-a-Service» هو مهندس اجتماعي يحمل بطاقة ائتمان، وليسوا فنيين. فهم يعرفون كيفية تسجيل نطاق وإدراج كود في لوحة التحكم الخاصة بالاستضافة. لكنهم لا يعرفون كيفية:

هؤلاء ليسوا خصوماً متطورين. هؤلاء هم الأشخاص الذين لا يستطيعون تهيئة قاعدة بيانات.

 مؤشرات الاختراق (IOCs)

النطاقات

# Case 1: Express.js API server0002.mn19indexpre.xyz # Case 2: Firebase Stealer web3ledgar.com web3.ledgerscore.ltd # Case 3: Supabase Stealer web3safe-pal.com # Case 4: Drainer Campaign aipolypredictor.xyz API.yfhikblkhghdyteiuyf54.run yfhikblkhghdyteiuyf54.run renderer-postcard.defex.cc solana.onspace.app solxjup.onspace.app jupag.onspace.app jupiverse.onspace.app stakepayment.icu jup-v2.com events-charizard.fun events-llquid.fun events-blackswan.fun soljup.onspace.build

عناوين IP

108.181.185.225 # Case 1 — Express.js (dedicated) 172.67.168.147 / 104.21.26.231 # Case 4 — C2 API (Cloudflare) 172.67.178.251 / 104.21.67.171 # Case 4 — Frontend (Cloudflare) 172.67.209.39 / 104.21.37.139 # Case 4 — defex.cc (Cloudflare) 43.130.171.152 / 43.130.171.225 # Case 4 — onspace domains (Tencent)

مفاتيح واجهة برمجة التطبيقات (API) ومعرّفات المشاريع

# Firebase (Case 2) المشروع: web3ledger-210ab مفتاح واجهة برمجة التطبيقات (API): AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 معرّف التطبيق: 1:1054258933515:web:9fb193fcd0093023f7fc0e # Supabase (Case 3) المشروع: gzqsadraigchwdhblavp مفتاح Anon: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... # Campaign Tracking (Case 4) الحزمة 1: 88ef78f56e0837dd0339e40a882bf563 الحزمة 2: 4446ea5ddb308b2494db8ad4b12196c3 # Microsoft Tenant (Case 1) NETORGFT19090185.onmicrosoft.com

 الخلاصة: «الإمبراطور عارٍ»

 النقطة الأساسية

كل عملية احتيال قمنا بتحليلها يمكن أن تكون تم اختراقها بالكامل، وكشف هويات مستخدميها، وتعطيلها باستخدام مجرد متصفح ويب وبرنامج «curl» والوثائق المتاحة للجمهور. وفي كل حالة من هذه الحالات، ترك المهاجمون قواعد بياناتهم مفتوحة على مصراعيها، ومفاتيح API الخاصة بهم في ملفات جافا سكريبت عامة، وهوياتهم في البيانات الوصفية، وبيانات ضحاياهم متاحة لأي شخص يكلف نفسه عناء البحث عنها.

الدرس بسيط: المحتالون ليسوا قراصنة. إنهم لصوص متاجر اشتروا مجموعة أدوات فتح الأقفال من موقع «AliExpress» ونسوا إغلاق باب منزلهم الأمامي. والأدوات التي يستخدمونها متطورة — لأن شخصًا آخر هو من صنعها. أما القائمون على هذه العمليات فهم هواة يعرضون بشكل مؤكد بنيتهم التحتية وبيانات ضحاياهم وهوياتهم الخاصة لأي شخص يمتلك معرفة تقنية أساسية.

إذا كنت قد أدخلت عبارة البذرة الخاصة بك على أي من هذه المواقع — فافترض أن محفظتك قد تعرضت للاختراق وقم بتحويل أموالك على الفور.

تم إبلاغ جميع النتائج إلى مقدمي الخدمات المعنيين (Google/Firebase، Supabase، Cloudflare، مسجلي النطاقات) وتوثيقها لتقديمها إلى سلطات إنفاذ القانون. وقد أُضيفت مؤشرات التورط (IOCs) المذكورة أعلاه إلى PhishDestroy قائمة الإتلاف.

شارك هذا التحقيق

X / Twitter Telegram Reddit لينكدإن

التحقيقات ذات الصلة

الكشف عن BUYTRX: 55 نطاقًا ومستنزف موافقات TRON
التحقيق
الكشف عن BUYTRX: 55 نطاقًا ومستنزف موافقات TRON
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
تحقيق معمق
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
Keitaro TDS: تسرب 1,500 لوحة، ولا توجد أي استخدامات مشروعة
التحقيق
Keitaro TDS: تسرب 1,500 لوحة، ولا توجد أي استخدامات مشروعة
إشعار بشأن الشفافية. PhishDestroy هو مشروع مستقل وغير تجاري. قد تعكس أبحاثنا تحيزًا متأصلًا ضد البنية التحتية للاحتيال والخدمات التي تتيحها. ونشجع القراء على تقييم جميع المواد تقييمًا نقديًا ومستقلًا. اقرأ بيان الشفافية الكامل الخاص بنا →