تحذير FBI 2026: صفحات تسجيل الدخول المزيفة مختبئة خلف عمليات إعادة توجيه تخدع فاحصات الروابط
يقول مكتب التحقيقات الفيدرالي FBI إن المحتالين باتوا يوجّهون الضحايا الحقيقيين إلى صفحات تسجيل دخول مزيفة بينما يعرضون على الفاحصات والباحثين صفحة بريئة لا علاقة لها. الرابط الذي «يظهر نظيفاً في الفحص» قد يبقى فخاً. هذا ما يعنيه وكيف تحمي نفسك.
هل يمكن لصفحة تسجيل دخول أن تبدو آمنة للفاحصة وتسرق كلمة مرورك مع ذلك؟
الحكم: نعم. يمكن لصفحة تسجيل الدخول أن تجتاز فحص رابط لمرة واحدة وتبقى فخاً. يحذّر FBI من أن المجرمين يستخدمون أنظمة توزيع حركة المرور وسلاسل إعادة التوجيه لعرض محتوى بريء على الفاحصات والباحثين، بينما يوجّهون الضحايا الحقيقيين بهدوء إلى صفحة تجمع بيانات الاعتماد. الدفاع لا يعتمد على أن تكون أي فاحصة مثالية: لا تسجّل الدخول أبداً من رابط في بريد أو رسالة نصية أو إعلان. اكتب العنوان بنفسك أو افتحه من إشارة مرجعية محفوظة، ثم تحقق من شريط العنوان قبل إدخال كلمة المرور. فعّل المصادقة الثنائية حتى لا تكفي كلمة المرور المسروقة وحدها.
الخبر
في 18 يونيو 2026، نشر مركز شكاوى الجرائم الإلكترونية التابع لـ FBI (IC3) إعلان خدمة عامة، رقم التحذير I-061826-PSA، بعنوان «المجرمون الإلكترونيون يعيدون توجيه المستخدمين إلى مواقع احتيالية عبر أنظمة توزيع حركة مرور خبيثة». يحذّر الإعلان من أن المجرمين يستخدمون أنظمة توزيع حركة المرور، أو TDS، لتوجيه الناس بهدوء من رابط وثقوا به إلى وجهة احتيالية، تشمل صفحات تسجيل دخول مزيفة مبنية لجمع بيانات الاعتماد. الآلية نفسها هي التي تقرر من يرى الفخ ومن يرى شيئاً بريئاً، وهذا ما يبقي هذه الصفحات المزيفة على قيد الحياة أطول مما ينبغي.
ما هو نظام توزيع حركة المرور فعلاً
نظام توزيع حركة المرور بنية تجلس بين الرابط ووجهته وتقرر إلى أين تُرسِل كل زائر. في التسويق المشروع، يوجّه نقرات الإعلانات إلى صفحة الهبوط الصحيحة حسب المنطقة أو الجهاز. وفي أيدي المجرمين، كما يشرح FBI، يصير لوحة تحويل للاحتيال. يصف الإعلان نظام TDS بأنه تقنية تُستخدم لـ«توجيه زوّار حركة الإنترنت إلى وجهات مختلفة بعد زيارة المستخدمين صفحات ويب، أو النقر على روابط إعلانية، أو التسجيل في عروض وخصومات، أو تنزيل تطبيق».
الكلمة المفتاحية هي «مختلفة». يمكن لشخصين أن ينقرا الرابط نفسه تماماً فيصلا إلى مكانين مختلفين كلياً. أحدهما يحصل على صفحة تبدو حقيقية لكنها بريئة. والتالي يحصل على نسخة مطابقة للبكسل من تسجيل دخول بنك أو بريد. يحدث القرار في جزء من الثانية، قبل أن تُحمَّل الصفحة حتى، بناءً على هوية الزائر الظاهرة.
وفق FBI، يصنّف نظام TDS الإجرامي كل زائر بسمات تشمل عنوان IP، والموقع الجغرافي، والمتصفح، ونظام التشغيل، ونوع الجهاز. هذا التصنيف يقرر المسار. الزائر المطابق للملف المستهدَف، ضحية محتملة في البلد الصحيح وعلى نوع الجهاز الصحيح، يُوجَّه إلى الاحتيال. أما من يبدو باحثاً، أو خدمة فحص، أو من خارج المنطقة المستهدفة، فيُوجَّه إلى صفحة نظيفة بدلاً من ذلك.
التمويه: لماذا ترى الفاحصة شيئاً وترى أنت شيئاً آخر
هذا التوجيه الانتقائي يُسمى التمويه، وهو الجزء الأهم من تحذير FBI لكل من يعتمد على أداة «افحص هذا الرابط». يقولها الإعلان بوضوح: «يمكن للمجرم الإلكتروني استخدام نظام TDS لتمييز المستخدمين في مناطق لا يستهدفها، مما يسمح له بتفادي الكشف عبر عرض محتوى آمن على الأهداف غير المرغوبة، بمن فيهم الباحثون الأمنيون».
اقرأ ذلك مجدداً، فهو المشكلة كلها. البنية الإجرامية تعرض عمداً محتوى آمناً على الباحثين الأمنيين. حين تزور فاحصة روابط آلية الرابط، تبدو غالباً كباحث: عنوان IP من مركز بيانات، منطقة غير معتادة، متصفح بلا واجهة، بلا بصمة جهاز طبيعية. فيقدّم لها نظام TDS الصفحة البريئة. تسجّل الفاحصة حكماً نظيفاً. وفي الوقت ذاته، ينقر شخص حقيقي على هاتفه في البلد المستهدَف الرابط نفسه فيحصل على فخ بيانات الاعتماد.
هكذا تجتاز صفحة دخول مزيفة الفحص وتسرق كلمات المرور مع ذلك. الفحص كان صادقاً. لكنه رأى الطُّعم فقط. ويشير FBI كذلك إلى أن الأنظمة، لإخفاء الوجهة النهائية، توجّه الضحايا عبر «سلسلة معقدة من العقد الوسيطة لإخفاء الوجهة الخبيثة النهائية، مما يجعل تتبّعها وحجبها صعباً». الفاحصة التي تتبع القفزة الأولى وتتوقف، أو التي تعيد السلسلة توجيهها إلى صفحة نظيفة، لا تصل أبداً إلى الصفحة التي ينتهي إليها الضحية.
كيف يُدفَع الضحايا إلى السلسلة
الآلية لا تعمل إلا إذا نقر الناس على الرابط الأول، لذا يَسرد FBI الطرق المعتادة لقمع الضحايا داخلها. يذكر روابط في رسائل التصيّد، وتسميم محركات البحث الذي يروّج روابط إعلانية احتيالية تحاكي روابط مشروعة، واختراق مواقع شرعية تبدأ بعدها بإعادة توجيه زوّارها بهدوء.
المسار الأخير هو الأخبث. موقع وثقت به سنوات يُخترَق، فيبدأ سكربت مخفي بتغذية شريحة من زوّاره إلى نظام TDS. لم تنقر إعلاناً مريباً ولا بريداً مشبوهاً. ذهبت إلى موقع تعرفه، وفي طريقك عبره، خطفتك لوحة التحويل. ومن الوجهة، يشير FBI، يعيد المجرمون توجيه المستخدمين انتقائياً إلى «مواقع تسجيل دخول مخترَقة أو مزيفة قد تستضيف صفحات تصيّد لاحتيال مالي إلكتروني»، أو يطالبون بتنزيل تحديثات برامج تحمل برمجيات خبيثة.
افحص رابطاً مشبوهاً الآن
وصلك رابط تسجيل دخول من بريد أو رسالة أو إعلان ولست متأكداً منه؟ الصقه في الأسفل. يتبع محرّكنا ثلاثي الطبقات (محلي + واجهات API + ذكاء اصطناعي) إعادة التوجيه ويقرأ الصفحة التي يصل إليها، ثم يعيد حكماً في نحو ثلاث ثوانٍ. مجاني، بلا تسجيل.
ما يراه SafeBrowz على الشبكة
هنا يصبح الفرق بين فحص رابط لمرة واحدة ومحرّك يعمل داخل المتصفح ملموساً. الفاحصة المستقلة تنظر إلى الرابط نظرة واحدة، غالباً من بيئة يتعرّف عليها التمويه فيُبطلها. يشغّل SafeBrowz كشفه ثلاثي الطبقات (محلي + واجهات API + ذكاء اصطناعي) وهو مبنيّ ليتعامل تماماً مع نمط إعادة التوجيه والتمويه الذي يصفه FBI.
- الطبقة الأولى، الكشف المحلي، تحلّ مضيف الهبوط النهائي، لا الرابط الذي بدأت منه فقط. تتبّع سلسلة إعادة التوجيه حتى منتهاها الفعلي هو الدفاع الأول ضد قفزة أولى تبدو نظيفة. ثم تشغّل الطبقة الأولى أكثر من 60 توقيع نمط للروابط وأكثر من 550 توقيع علامة تجارية على ذلك المضيف النهائي. إذا حملت الصفحة التي تُحمَّل أخيراً علامة معروفة (بنكك، أو مزوّد بريدك، أو منصة كريبتو) على نطاق ليس نطاقها الرسمي، تُعلِّم الطبقة بلا حاجة إلى المحتوى، قبل أن تكتمل أي استمارة دخول. النسخة المزيفة لا تحتاج إلى خداع نموذج لتُمسَك هنا. عدم تطابق العلامة مع النطاق يكفي.
- الطبقة الثانية، فحوص السمعة وواجهات API، تجمع استخبارات تهديدات تشمل Google Safe Browsing وPhishTank وURLhaus وScamAdviser وإشارات نطاقات الاحتيال لالتقاط الوجهات التي أحرقتها أنظمة أخرى سلفاً. هذه الطبقة هي ما صُمِّم التمويه الصرف لتفاديه، ولهذا بالضبط هي واحدة من ثلاث، لا المحرّك كله.
- الطبقة الثالثة، تحليل المحتوى بالذكاء الاصطناعي عبر وسيطنا (Premium)، تقرأ الصفحة الحيّة التي يتلقاها الزائر فعلاً، بأكثر من 100 لغة. لأن الإضافة تعمل داخل متصفحك، على جهازك الحقيقي، في منطقتك الحقيقية، فإن الصفحة التي تحللها هي الصفحة نفسها التي قرر نظام TDS تقديمها لك، لا طُعماً معقّماً يُسلَّم لفاحصة. تتعرّف على محاكاة استمارات الدخول وتخطيطات التقاط بيانات الاعتماد، وتستطيع تعليم نسخة جديدة كلياً لحظة تحميلها، قبل أن تطالها أي قائمة حظر.
النطاق الصادق: لا محرّك يلتقط كل شيء، ويستطيع مشغّل عازم أن يموّه ضد أي إشارة منفردة. ما يغيّر الاحتمالات هو امتلاك ثلاث طبقات مستقلة، والأهم، تحليل الصفحة من داخل متصفح الضحية نفسه بدل خدمة فحص يستطيع التمويه التعرّف عليها وتغذيتها بطُعم.
إلى أين ينتشر تمويه TDS بعد ذلك
التمويه ليس جديداً، لكن وضع FBI اسمه على تحذير عام يخبرك أنه صار سائداً، والتقنيات السائدة تصير أرخص وأكثر أتمتة. بضع وجهات تستحق المراقبة.
التمويه كخدمة مدفوعة. الجزء الصعب من هذا الهجوم هو منطق التوجيه وإمداد النطاقات الطازجة، لا الصفحة المزيفة. توقّع مزيداً من لوحات «مكافحة الروبوتات» و«التصفية» المباعة لمحتالين قليلي المهارة، فتأتي عدّة تصيّد أساسية مع تفادي الباحثين مدمجاً افتراضياً. هذا يرفع زمن بقاء صفحات الدخول المزيفة على نحو شامل.
استهداف أدقّ لكل نقرة. التصنيف نفسه الذي يقرر «ضحية أم باحث» يستطيع التضييق أكثر: لا يقدّم الفخ إلا لبلد محدد، أو عملاء بنك محدد يُستدَلّ عليهم من المُحيل، أو حتى نافذة زمنية محددة بعد اختراق. الاستهداف الضيّق يعني أن عيّنات أقل من الفاحصات ترى النسخة الخبيثة أصلاً، ما يجعل قوائم الحظر الثابتة أبطأ تفاعلاً.
الإعلانات الخبيثة وتسميم البحث كباب أمامي. يُدرِج FBI أصلاً تسميم البحث والإعلانات الاحتيالية كنقاط دخول. ومع امتزاج نتائج البحث بروابط ملخّصة بالذكاء الاصطناعي ومواضع ممولة، تصير نتيجة مسمّمة تمرّ عبر نظام TDS أصعب على القارئ العابر للتحقق منها، لأن الرابط الظاهر والوجهة النهائية لم يعودا الشيء نفسه.
الخيط الجامع: الاتجاه نحو فصل ما تراه الفاحصة عما يحصل عليه الضحية. الكشف الذي لا يرى إلا منظور الفاحصة سيظل يخسر أرضاً. الكشف الذي يرى منظور الضحية هو المضادّ.
لماذا يتفوّق محرّك داخل المتصفح على بوابة أو قائمة حظر هنا
يستحق الأمر دقّة في لماذا تهزم هذه التقنية بعض الدفاعات دون أخرى، لأن البنية هي القصة كلها.
بوابة البريد تفحص الرابط، لا الصفحة التي تصل إليها. غالباً ما تجلب البوابات الأمنية الروابط مسبقاً للحكم عليها. نظام TDS الذي يصنّف الزائر سيقدّم لتلك البوابة صفحة نظيفة بكل سرور، ثم يقدّم لك الفخ حين تنقر بعد دقائق من هاتفك في غرفة جلوسك. البوابة رأت الطُّعم. وأنت ترى الحقيقي. والبوابة أجازته.
قائمة الحظر الثابتة دائماً خطوة خلف سلسلة طازجة. تعمل قوائم الحظر على نطاقات وروابط بُلِّغ عنها سلفاً. نظام TDS يُنشئ باستمرار عقداً وسيطة ومضيفات نهائية طازجة، ويحاول تحديداً إخفاء الوجهة النهائية فلا تُؤخَذ عيّنتها ولا يُبلَّغ عنها أصلاً. وحين يحطّ نطاق على قائمة، تكون الحملة قد دارت إلى غيره.
محرّك داخل المتصفح يقيّم الصفحة بعد حلّ إعادة التوجيه، على جهازك. هذا هو التفوّق البنيوي. يعمل SafeBrowz عند النقطة التي اتخذ فيها التمويه قراره وقدّم لك أنت بالتحديد الصفحة التي يريدك أن تراها. لا طُعم يُسلَّم له. يتبع السلسلة حتى نهايتها، ويقرأ ما عُرِض فعلاً، بمحاكاة العلامات واستمارات بيانات الاعتماد وكل شيء. الخاصية نفسها التي تجعل التمويه فعّالاً ضد الفاحصات البعيدة، أنه يعرض محتوى مختلفاً لزوّار مختلفين، تتعطّل حين يكون الكاشف هو الزائر.
لا شيء من هذا يجعل محرّك المتصفح معصوماً. يجعله الطبقة الصحيحة لهذا التهديد بالذات. اقرنه بالعادة البشرية التي يوصي بها FBI، ألا تسجّل الدخول أبداً من رابط، فيخسر التمويه ميزته الكبرى.
كيف يحجب SafeBrowz هذا التهديد
يشغّل SafeBrowz بنية حماية ثلاثية الطبقات: محلي + واجهات API + ذكاء اصطناعي. أمام نمط إعادة التوجيه المموّه في تحذير FBI، صُمِّم المحرّك ليحكم على الوجهة، لا على الطُّعم.
- الطبقة الأولى، محلي: أكثر من 60 توقيع نمط للروابط وأكثر من 550 توقيع علامة تجارية تعمل داخل الإضافة. تحلّ مضيف الهبوط النهائي بعد سلسلة إعادة التوجيه وتُعلِّم علامة معروفة تظهر على نطاق غير رسمي بلا حاجة إلى المحتوى، فتُمسَك صفحة الدخول المزيفة قبل أن تكتمل استمارتها.
- الطبقة الثانية، واجهات API: تجمع Google Safe Browsing وPhishTank وURLhaus وScamAdviser وإشارات نطاقات الاحتيال لالتقاط الوجهات المعروفة سلفاً للآخرين.
- الطبقة الثالثة، فحص الذكاء الاصطناعي العميق (Premium): تحليل المحتوى بالذكاء الاصطناعي عبر وسيطنا يقرأ الصفحة الحيّة التي يتلقاها الزائر فعلاً، بأكثر من 100 لغة، يتعرّف على محاكاة صفحات الدخول والتقاط بيانات الاعتماد، ويستطيع تعليم نسخة جديدة كلياً لحظة تحميلها.
النطاق الصادق: يُعلِّم SafeBrowz صفحة الدخول المزيفة على الجهاز الذي يحطّ عليها، وهو المكان الصحيح لكسر إعادة توجيه مموّهة. لا يستطيع استعادة كلمة مرور كتبتها وأرسلتها سلفاً، ولهذا تقف عادة ألا تسجّل الدخول أبداً من رابط، مع المصادقة الثنائية، إلى جانب المحرّك لا خلفه. الإضافة المجانية للمتصفح تفعل هذا على سطح المكتب، وتطبيق SafeBrowz لأندرويد على Google Play يطبّق المحرّك نفسه على الروابط التي تفتحها على هاتفك، حيث تحطّ كثير من هذه الرسائل والإعلانات.
توقيعات الكشف مشتقة من أبحاث استخبارات التهديد وقاعدة بيانات العلامات التجارية، وليس من بيانات تصفح المستخدم. لا يتم تخزين سجل عناوين URL لكل مستخدم على الإطلاق.
كيف تبدو هذه الروابط المموّهة
لا تستطيع التمييز بين رابط مموّه بالنظر وحده، وهذا هو جوهر التحذير. لكن الوجهات لا تزال تتشارك الشكل القديم: اسم علامة حقيقي مُلصَق على نطاق ليس نطاقها، لا يُبلَغ إلا بعد إعادة توجيه. هذه أنماط توضيحية، لا نطاقات حيّة، لإظهار الشكل الذي يعيد المهاجمون استخدامه.
- secure-account-verify-login.com (تسجيل دخول بنك حقيقي يسكن نطاق البنك نفسه، لا مضيف «تحقق آمن» عام)
- mail-signin-session-renew.net (مزوّد بريدك لا ينقل تسجيل دخوله إلى نطاق «تجديد جلسة» منفصل)
- tracking-redirect.click/r/aB3xQ (مُعيد توجيه قصير يسلّمك؛ المهم هو الصفحة النهائية، لا هذه القفزة)
الدرس ليس حفظ النطاقات السيئة. الدرس أن الرابط الذي نقرته والصفحة التي تنتهي إليها قد يكونان شيئين مختلفين، وأن الثانية وحدها هي ما يمكن أن يؤذيك. فاحكم على الصفحة في شريط العنوان لحظة همّك بكتابة كلمة المرور، لا على الرابط الذي وثقت به في الطريق.
العلامات الحمراء: متى تفترض أن صفحة الدخول فخّ
- وصلت بالنقر على رابط في بريد أو رسالة أو رسالة خاصة أو إعلان، بدل كتابة العنوان. هذا وحده هو مسار الخطر الأول لدى FBI.
- شريط العنوان ليس النطاق الرسمي تماماً. كلمات زائدة، أو شرطات، أو رمز بلد غريب، أو اسم علامة مدفون داخل مضيف أطول، كلها مؤشّرات.
- قفزت عبر إعادة توجيه واحدة أو أكثر للوصول. تسجيل الدخول المشروع لا يمرّرك عادةً عبر سلسلة من مضيفات غير مألوفة.
- الصفحة تطالب بإعادة دخول عاجلة لـ«التحقق» أو «التأمين» أو «التجديد» مع مهلة. الإلحاح المُصطنَع أقدم المؤشّرات.
- تطلب أكثر من كلمة مرورك، رقم بطاقة، أو رمزاً لمرة واحدة عبر الهاتف، أو عبارة استرداد. تسجيلات الدخول الحقيقية لا تجمع هذه في طريق الدخول.
- وصلت من إعلان بحث أو نتيجة بحث مسمّمة بدل موقع العلامة نفسه. يذكر FBI تحديداً تسميم البحث والإعلانات الاحتيالية.
أي واحدة من هذه سبب كافٍ للتوقّف. اثنتان أو أكثر، فافترض أن الصفحة عدائية وأغلقها.
ماذا تفعل الآن
نصيحة FBI الموجَّهة للأفراد والعادة العملية التي تهزم التمويه هما الشيء نفسه: لا تدع رابطاً يقرر أين تسجّل الدخول.
- لا تسجّل الدخول أبداً من رابط. لا من بريد، ولا من رسالة، ولا من إعلان. إن قالت رسالة إن حسابك يحتاج انتباهاً، اترك الرسالة وصِل إلى الحساب بنفسك.
- اكتب النطاق بنفسك أو استخدم إشارة مرجعية محفوظة. افتح تبويباً جديداً واكتب العنوان الرسمي، أو استخدم إشارة أنشأتها حين كنت على الموقع الحقيقي يقيناً. هذا يتجاوز سلسلة إعادة التوجيه كلياً، وهو ما يعتمد عليه التمويه.
- تحقق من شريط العنوان قبل كتابة كلمة المرور. يوصي FBI بالتأكد أن الرابط أصيل، ويحذّر من أن رابطاً خبيثاً قد يشبه رابطاً حقيقياً أو يسكن نطاقاً فرعياً لنطاق مشروع. اقرأ النطاق المُسجَّل الفعلي، من اليمين إلى اليسار، لحظة تسجيل الدخول.
- فعّل المصادقة الثنائية. إن لم تكفِ كلمة المرور المسروقة وحدها للدخول، فإن صفحة مموّهة واحدة تُحدِث ضرراً أقل بكثير. فضّل تطبيق مصادقة أو مفتاح أجهزة على رموز الرسائل النصية حيثما أمكن.
- أبلِغ FBI عبر ic3.gov. تقديم شكوى لدى مركز شكاوى الجرائم الإلكترونية يساعد المحققين على رسم خرائط شبكات إعادة التوجيه هذه. أرفِق الرابط الذي نقرته والعنوان الذي انتهيت إليه. وفي الخليج يمكنك أيضاً الإبلاغ عبر «eCrime» في الإمارات (ecrime.ae) أو منصة «كلنا أمن» في السعودية أو وزارة الداخلية المحلية.
محدّث في 29 يونيو 2026.
احجب الصفحة المزيفة قبل أن تكتب
SafeBrowz إضافة متصفح مجانية لـ Chrome وFirefox وEdge (وSafari قريباً) مع تطبيق أندرويد حيّ يتبع إعادة التوجيه حتى منتهاها الفعلي ويُعلِّم صفحة دخول مزيفة قبل أن تُدخِل شيئاً. ولأنه يقرأ الصفحة من داخل متصفحك أنت، يرى ما قدّمه لك رابط مموّه، لا الطُّعم الذي تحصل عليه فاحصة بعيدة. يتعرّف على أكثر من 550 علامة تجارية، ويُعلَّم تلقائياً حين تحاول صفحة انتحالها، مع تحليل محتوى بالذكاء الاصطناعي بأكثر من 100 لغة للنسخ الجديدة كلياً. مجاني للأبد، بلا حساب. للأسئلة: [email protected].
أضِف إلى Chrome
أضِف إلى Firefox
أضِف إلى Edge
احصل على أندرويد
الخلاصة: تحذير FBI هو أن الرابط والصفحة التي يحطّ عليها قد يكونان شيئين مختلفين بالتصميم، فالفحص النظيف ليس أبداً إذناً بكتابة كلمة مرورك. لا تسجّل الدخول أبداً من رابط، اكتب العنوان بنفسك، فعّل المصادقة الثنائية، وضع SafeBrowz على متصفحك ليُحكَم على صفحة الدخول المزيفة المموّهة على جهازك، حيث لا يستطيع الطُّعم الوصول.
أسئلة شائعة
هل تستطيع صفحة دخول مزيفة فعلاً اجتياز فحص رابط وتبقى خطيرة؟
نعم. يشرح تحذير FBI الصادر في 18 يونيو 2026 أن أنظمة توزيع حركة المرور الإجرامية تعرض محتوى آمناً على الفاحصات والباحثين بينما توجّه الضحايا الحقيقيين إلى صفحة تجمع بيانات الاعتماد. الفحص صادق، لكنه يرى طُعماً. لهذا لا تعامل أبداً فحصاً نظيفاً كإذن بتسجيل الدخول من رابط. اكتب العنوان بنفسك أو استخدم إشارة مرجعية، وتحقق من شريط العنوان قبل إدخال كلمة المرور.
ما هو نظام توزيع حركة المرور، أو TDS؟
نظام TDS بنية تجلس بين الرابط ووجهته وتقرر إلى أين تُرسِل كل زائر. يصفه FBI بأنه تقنية توجّه حركة المرور إلى وجهات مختلفة بعد نقر المستخدم على رابط أو إعلان أو تنزيل. التسويق المشروع يستخدمه لتوجيه نقرات الإعلانات؛ والمجرمون يستخدمونه لإرسال الضحايا المحتملين إلى الاحتيال بينما يُرسلون الباحثين والفاحصات إلى مكان بريء.
ما هو التمويه في التصيّد؟
التمويه هو عرض محتوى مختلف لزوّار مختلفين. ينصّ إعلان FBI على أن المجرمين يستخدمون نظام TDS لتفادي الكشف عبر عرض محتوى آمن على الأهداف غير المرغوبة، بمن فيهم الباحثون الأمنيون، بينما يقدّمون الاحتيال الحقيقي للضحايا المستهدَفين. يصنّف الزوّار بعنوان IP والموقع الجغرافي والمتصفح ونظام التشغيل ونوع الجهاز ليقرر من يرى ماذا.
لماذا يهزم هذا فحص رابط واحداً؟
الفحص الواحد عادةً ينظر إلى الرابط نظرة واحدة، غالباً من عنوان IP لمركز بيانات أو متصفح بلا واجهة يتعرّف عليه التمويه كباحث فيقدّم له صفحة نظيفة. وتُخفي سلسلة إعادة التوجيه الوجهة الخبيثة النهائية أيضاً، فقد لا تصل الفاحصة أبداً إلى الصفحة التي يحطّ عليها الضحية. فيسجّل الفحص الطُّعم ويبلّغ أنه نظيف.
كيف يتعامل SafeBrowz مع إعادة توجيه مموّهة؟
يعمل SafeBrowz داخل متصفحك على جهازك الحقيقي، فيرى الصفحة التي قدّمها لك التمويه فعلاً، لا طُعماً معدّاً لفاحصة. محرّكه ثلاثي الطبقات يحلّ مضيف الهبوط النهائي بعد إعادة التوجيه، ويُعلِّم علامة معروفة على نطاق غير رسمي بلا حاجة إلى المحتوى، ويتحقق من واجهات السمعة، ويستخدم تحليل المحتوى بالذكاء الاصطناعي لقراءة الصفحة الحيّة ورصد محاكاة استمارات الدخول. لا محرّك مثالي، لكن تحليل الوجهة من داخل متصفح الضحية نفسه يعطّل ميزة التمويه الكبرى.
ما العادة الأفضل الوحيدة لتفادي هذا؟
لا تسجّل الدخول أبداً من رابط. إن قال بريد أو رسالة أو إعلان إن حسابك يحتاج انتباهاً، فلا تنقر للدخول. افتح تبويباً جديداً واكتب العنوان الرسمي بنفسك، أو استخدم إشارة مرجعية محفوظة. هذا يتخطّى سلسلة إعادة التوجيه كلياً، وهي ما يعتمد عليه التمويه. ثم تحقق من شريط العنوان قبل كتابة كلمة مرورك.
هل توقف المصادقة الثنائية هذا؟
تقلّل الضرر كثيراً. إن سرقت صفحة مموّهة كلمة مرورك ولديك مصادقة ثنائية مفعّلة، فلن يستطيع المهاجم الدخول بكلمة المرور وحدها. فضّل تطبيق مصادقة أو مفتاح أجهزة على رموز الرسائل النصية حيثما أمكن، إذ تحاول بعض عُدد التصيّد المتقدمة تمرير الرموز لحظياً. المصادقة الثنائية شبكة أمان، لا سبباً لإدخال كلمة مرورك على صفحة وصلت إليها برابط.
أين أبلّغ عن صفحة دخول مزيفة أو احتيال إعادة توجيه؟
أبلِغ مركز شكاوى الجرائم الإلكترونية التابع لـ FBI عبر ic3.gov. أرفِق الرابط الذي نقرته والعنوان النهائي الذي حططت عليه. وفي الخليج، يمكنك الإبلاغ عبر «eCrime» في الإمارات (ecrime.ae) أو منصة «كلنا أمن» في السعودية أو وزارة الداخلية المحلية. التقديم يساعد المحققين على رسم خرائط هذه الشبكات. إن أدخلت بياناتك، غيّر كلمة المرور فوراً على الموقع الحقيقي، فعّل المصادقة الثنائية، وراقب الحساب من أي نشاط غير مصرّح.