تم صد الهجوم الإلكتروني على شركة Steakhouse Financial، وتبقى أصول العملاء سليمة
في استغلال صارخ للهندسة الاجتماعية، قام المتسللون باختطاف موقع Steakhouse Financial مؤقتًا في 30 مارس 2026، وتوجيه المستخدمين إلى صفحة تصيد ضارة. ومن خلال التلاعب بموظفي الدعم في OVHcloud، تمكن المهاجمون من تجاوز الضمانات الأمنية الهامة، واستغلال الثغرة الأمنية التي سمحت لهم بالتظاهر بأنهم مالك الحساب وتقديم تفاصيل شخصية بشكل مقنع لاجتياز عملية التحقق عبر الهاتف. أدى هذا إلى خداع وكيل دعم OVH لتعطيل المصادقة الثنائية المستندة إلى الأجهزة للحساب، مما يمنح المهاجمين وصولاً غير مقيد.
عند حصولهم على إمكانية الوصول، نشر المتسللون بسرعة نصوصًا آلية، وأزالوا كل جهاز مصادقة ثانوي وأدرجوا أجهزة خاصة بهم في غضون ثوانٍ - وهو مؤشر واضح على عملية متعمدة بعناية. بعد ذلك، أعاد المهاجمون توجيه خوادم أسماء النطاق بذكاء إلى خوادمهم الخاصة وأعادوا تكوين سجلات A الخاصة بالموقع للإشارة إلى نسخة مزيفة من موقع Steakhouse، تمت استضافتها بذكاء على Hostinger. تم تجهيز هذا الموقع المستنسخ ببرنامج ضار يستنزف المحفظة ويرتبط بـ Inferno Drainer سيئ السمعة، وهو جهاز تجفيف كخدمة.
ولإضفاء المزيد من الشرعية على موقع التصيد الاحتيالي، حصل المهاجمون بسرعة على شهادات Let's Encrypt TLS، مما يجعل الموقع غير قابل للتمييز فعليًا من موقع Steakhouse الأصلي إلى متصفحات الويب القياسية. ومع ذلك، قامت ملحقات المحفظة من Phantom وMetaMask وRabby بوضع علامة على الموقع بسرعة على أنه ضار، مما أدى إلى إطلاق ناقوس الخطر بشكل مستقل.
سارع فريق Steakhouse Financial إلى التحرك عند اكتشاف إشعار تغيير غير مصرح به عبر البريد الإلكتروني في الساعة 08:47 بالتوقيت العالمي المنسق، وسرعان ما اتصل بـ OVH للإبلاغ عن الحادث. تم إطلاق موقع التصيد الاحتيالي بعد فترة وجيزة، في الساعة 09:59 بالتوقيت العالمي، مما دفع الفريق إلى إصدار تحذير عام على X بحلول الساعة 10:34 بالتوقيت العالمي. تم تجنيد التحالف الأمني (SEAL) على الفور في الساعة 11:25 بالتوقيت العالمي، بينما كان الهجوم لا يزال جاريًا.
من خلال العمل بلا كلل عبر جبهات متعددة، تعامل الفريق مع استرداد الحساب، والتحليل الجنائي لنظام أسماء النطاقات، وإلغاء النقل. كان المهاجمون قد بدأوا عملية نقل للنطاق الصادر، ولكن إغلاق النقل لمدة خمسة أيام في ICANN قدم للفريق نافذة حاسمة لإلغاء النقل. اتصل الفريق مباشرةً بـ Hostinger، الذي أكد لاحقًا أنه تم تجميد الحساب المخالف وإغلاقه. بحلول الساعة 12:56 بالتوقيت العالمي، نجح الفريق في استعادة السيطرة على حساب OVH، وتمت استعادة خدمات DNS بالكامل بحلول الساعة 13:55 بالتوقيت العالمي تقريبًا.
في أعقاب ذلك، أكدت شركة Steakhouse Financial أن جميع النطاقات كانت آمنة للاستخدام بحلول الأول من أبريل. واتخذت الشركة منذ ذلك الحين تدابير استباقية، حيث انتقلت إلى مسجل يدعم المصادقة متعددة العوامل لمفتاح الأجهزة والأقفال على مستوى المسجل، بالإضافة إلى تنفيذ نظام مراقبة DNS المستمر لمراقبة جميع نطاقات Steakhouse بيقظة في الوقت الفعلي. علاوة على ذلك، يتم إنشاء عملية مراجعة أمنية شاملة للموردين عبر جميع البائعين في سلسلة التوريد.
أصدر Adrian Cachinero Vasiljevic، شريك Steakhouse Financial المسؤول عن العمليات، اعتذارًا شخصيًا، معترفًا بأن تحديد ناقل الهجوم هذا كان مسؤوليته وتعهد بتعزيز جهود تعزيز الأمن في المستقبل. يعد هذا الحادث بمثابة تذكير صارخ بالتهديدات المتطورة في مشهد العملات المشفرة وأهمية التدابير الأمنية القوية للحماية من هجمات الهندسة الاجتماعية المعقدة.