احتيال جمارك الطرود في موسم الأعياد 2026: موجة نوفمبر-يناير

Q: كيف أتحقق إن كان رسم الجمارك حقيقياً؟

اكتب نطاق الناقل الحقيقي يدوياً في المتصفح: usps.com وfedex.com وdhl.com وroyalmail.com وcolissimo.fr وcanadapost.ca وauspost.com.au. سجّل دخولك إلى حسابك أو استخدم خانة التتبع للبحث عن رقم التتبع الوارد في الرسالة. الرسوم الحقيقية تظهر داخل حسابك المُصادَق عليه. إن أعاد رقم التتبع لا توجد معلومات أو لم يكن موجوداً، فالرسالة مزيفة. تحقق أيضاً ما إذا كانت قيمة الطرد ستتجاوز عتبة الجمارك في بلدك.

بين الجمعة السوداء ومنتصف يناير تتضاعف ثلاث مرات رسائل التصيد القصيرة المنسوبة إلى USPS وFedEx وDHL وUPS وRoyal Mail وAustralia Post وCanada Post وLa Poste Colissimo. النمط المهيمن في 2026 يقول إن طردك محتجز في الجمارك ويطلب رسماً بسيطاً للاستيراد (من ٣ إلى ٨ دولارات أو ٢ إلى ٨ يورو) على صفحة ناقل مزيفة. الرسم مجرد غطاء. الهدف الحقيقي هو بيانات البطاقة، التي تُختبر عادةً في احتيالات أكبر بعد ستة إلى اثني عشر أسبوعاً، حين يكون كشف حساب الأعياد قد طُويَ ونُسي. شركات USPS وFedEx وDHL وRoyal Mail الحقيقية لا تحصّل أبداً رسوم الجمارك عبر رابط في رسالة نصية. اكتب نطاق الناقل يدوياً في المتصفح وتحقق من رقم التتبع هناك. إن كنت قد دفعت فعلاً، اتصل بمصدر البطاقة اليوم واطلب فتح نزاع.

رسم جمارك بـ ٤٫٥ يورو دفعته ريبيكا في أواخر ديسمبر

طلبت ريبيكا هدية كريسماس لأختها الصغرى يوم 14 ديسمبر، عطر بقيمة ٨٩ دولاراً من متجر فرنسي صغير قرأت عنه في قائمة هدايا الأعياد. أكّد البائع أن التوصيل الدولي يستغرق من عشرة إلى أربعة عشر يوم عمل. عيد ميلاد أختها يقع في 3 يناير، فالتوقيت يبدو مناسباً في الحالتين.

في 22 ديسمبر، حوالي الساعة 8:40 مساءً، وصلتها الرسالة.

"USPS: طردك الدولي محتجز في الجمارك. رسم استيراد ٤٫٥٠ يورو مستحق. اضغط هنا للإفراج: usps-customs-pay.com/release/9821"

فكّرت ريبيكا في الأمر أربع ثوانٍ ربما. نعم، طلبت شيئاً من فرنسا. نعم، الطرود الدولية تخضع أحياناً لرسوم جمركية. ٤٫٥٠ يورو أرخص من فنجان قهوة. اسم الناقل، USPS، مكتوب في بداية الرسالة. هدية أختها داخل الطرد. الكريسماس بعد ثلاثة أيام. التحميل الذهني للأسبوع كان تسعين بالمئة لوجستيات هدايا وعشرة بالمئة لكل ما تبقى.

ضغطت على الرابط. فُتحت لها صفحة شبه مطابقة لبوابة الدفع الرسمية لـ USPS، شعار النسر الأزرق، اللون الأحمر والأبيض بالدرجة الصحيحة، أداة تتبع أعادت حالة عامة "محتجز: مركز خدمة الاستيراد" حين أدخلت رقم التتبع الملفّق المرفق بالرسالة. كان هناك نموذج لرقم البطاقة، وتاريخ انتهائها، ورمز CVV، والرمز البريدي للفوترة. دفعت ٤٫٥٠ يورو ببطاقة Visa للخصم المرتبطة بحسابها الجاري الرئيسي. عرضت شاشة التأكيد عبارة "تم استلام الدفع. سيُفرج عن طردك خلال 24 ساعة". رقم تأكيد يبدو حقيقياً. لا شيء بدا مريباً.

الطرد الفعلي من المتجر الفرنسي وصل في 28 ديسمبر، منفصلاً تماماً عن الرسالة النصية، دون رسوم جمركية، دون أي تعقيد. خطر لها للحظة أن التوقيت غريب، لكنها لم تربط الأشياء ببعضها. مضت الأعياد. حلّت السنة الجديدة. زيارات عائلية. عودة إلى العمل. وُضع علبة العطر تحت الشجرة، ثم إلى يد أختها.

في 8 فبراير، بعد ستة أسابيع ونصف من الرسالة، فتحت ريبيكا تطبيق البنك على الغداء ووجدت ثلاث عمليات لا تعرفها. ٦٤٠ دولاراً لمتجر فاخر على الإنترنت لم تستخدمه قط. ٧٢٠ دولاراً شحناً لتطبيق سيارات أجرة في مدينة لم تزرها يوماً. ٤٤٠ دولاراً شراء بطاقة هدايا. المجموع: ١٬٨٠٠ دولار. قبل أسبوع كانت بطاقتها قد جُرّبت بمعاملة صغيرة بـ ١٫٥٠ دولار فاتتها لأنها بدت مثل رسوم اشتراك شهري. ثم استُنزفت.

أعاد البنك المبالغ بعد نزاع استغرق أربعة أسابيع، وهي النافذة المعتادة بموجب قانون Fair Credit Billing الأمريكي للمعاملات غير المصرّح بها. استعادت مالها. لكن بيانات البطاقة المسروقة منذ 22 ديسمبر كانت قد بيعت مرتين على الأقل في سوق بطاقات بالجملة على شبكة مظلمة قبل أن يُغلق النزاع، أي أن البيانات ما زالت في التداول. أُعيد إصدار بطاقتها. أما بريدها ورقمها، فقد صارا الآن جزءاً دائماً من قوائم استهداف احتيالية متعددة، وهذه مشكلة بطيئة الاحتراق بحدّ ذاتها.

تدفّقت بيانات البطاقة إلى المنظومة الواسعة نفسها التي نتناولها في دليل المدفوعات الآمنة عبر الإنترنت والبطاقات الافتراضية لعام 2026. أسواق البطاقات بالجملة على الشبكات المظلمة تعالج ملايين السجلات في الربع الواحد وفق تحليلات الأسواق السرية في 2024، وموجات التصيد الموسمية هي من أكبر مناسبات تجديد المخزون لديها على مدار العام.

ريبيكا مثال واحد. يكشف تقرير شبكة FTC Consumer Sentinel لعام 2024 أن الاحتيال عبر الرسائل النصية كلّف المستهلكين الأمريكيين ٤٧٠ مليون دولار في 2024، وهو أعلى رقم مسجّل لهذا المسار، وأن ربع الأعياد هو الأثقل دائماً. وقد أشارت إنذارات IC3 للعام نفسه إلى نافذة نوفمبر-يناير باعتبارها فترة الذروة في تصيد رسوم التوصيل والجمارك تحديداً.

لماذا تكون نافذة نوفمبر-يناير هي الموسم المثالي للمحتال

ربع الأعياد ليس مزدحماً فقط بحجم رسائل التصيد. هو أيضاً أسهل بنيوياً على المحتالين لأربعة أسباب محددة.

السبب الأول: حجم الطرود الدولية الحقيقية في ذروته السنوية. أشار إنذار مكتب المفتش العام لـ USPS لموسم الأعياد 2024 إلى أن حجم الطرود الدولية القادمة إلى الولايات المتحدة يتضاعف بين منتصف نوفمبر وأواخر ديسمبر مقارنةً ببقية العام، بدافع مشتريات الهدايا من المتاجر الإلكترونية في الخارج. النمط نفسه يظهر في بيانات Royal Mail في بريطانيا، وCanada Post في كندا، وAustralia Post في أستراليا. عدد أكبر من الطرود الدولية الحقيقية يعني عدداً أكبر من المستلمين الذين يمكن أن يصدّقوا "نعم، طلبت بالفعل شيئاً من خارج البلاد".

السبب الثاني: تعدد الشحنات يطمس أيها أي. يستقبل البيت الأمريكي المتوسط بين خمسة وخمسة عشر طرداً بين الجمعة السوداء و25 ديسمبر، وفق تحليل شكاوى BBB Scam Tracker لموسم 2024. مع هذا الكمّ من الشحنات الواردة، تصبح الكلفة الذهنية لمقارنة رسالة نصية بعينها بطلب شراء بعينه مرتفعة. لا يعرف المستلم غالباً أي ناقل يحمل أي طلب، خصوصاً حين يوزّع البائع الشحن على عدة ناقلين بحسب موقع المستودع. "USPS يقول إن طردي محتجز" يبدو معقولاً دون مزيد من التحقق.

السبب الثالث: تراكم ما بعد الكريسماس يمدّ نافذة المصداقية. الفكرة الشائعة بأن موجة الاحتيال تنتهي يوم 25 ديسمبر فكرة خاطئة. الناقلون أنفسهم ينشرون كل عام إشعارات "توقع تأخيرات حتى منتصف يناير"، أي أن رسائل "طردك مؤجل في الجمارك" تظل مقبولة عميقاً في السنة الجديدة. وأشار إنذار CISA حول الأمن السيبراني لتسوق الأعياد 2024 تحديداً إلى أن نافذة ما بعد العطلات في يناير لا تزال عالية الخطورة، لا "خارج الموسم" كما يفترض كثيرون.

السبب الرابع: انخفاض اليقظة في أيام الضغط. يرتبط موسم الأعياد بارتفاع التوتر، وانخفاض النوم، وزيادة القرارات المالية اليومية، وزيادة حجم الرسائل النصية إجمالاً. هذا المزيج يخفض عتبة "تحقق قبل أن تنقر" لدى المستخدم العادي. وقد أشار إنذار ActionFraud البريطاني لموسم 2024 إلى أن الخسارة لكل ضحية أعلى بنسبة 30 إلى 40 بالمئة في نافذة نوفمبر-يناير من بقية العام، أي أن الضحايا ليسوا أكثر عدداً فحسب، بل يمضون أيضاً عبر مزيد من خطوات الفخ قبل أن ينتبهوا.

الأنماط الخمسة النشطة في 2026

تتبدّل صياغة الرسائل كل بضعة أسابيع كلما لحقت بها فلاتر شركات الاتصالات، لكن القوالب الأساسية ثابتة. إن طابقت رسالتك أياً مما يلي، عاملها كاحتيال بشكل افتراضي.

النمط الأول: رسالة رسم الجمارك

"USPS: طردك الدولي محتجز في الجمارك. رسم استيراد ٤٫٥٠ يورو مستحق. ادفع للإفراج: [رابط]"

النمط المهيمن في 2026. ينجح لأن قيمة الرسم صغيرة بشكل مقصود (عادةً بين ٢٫٩٩ و٨٫٩٩ دولاراً أو ٢ و٨ يورو)، ولأن ذريعة الجمارك معقولة جداً في الشحنات الدولية، ولأن الضغط الزمني مضمر ("قبل التسليم"). تُجمع بيانات البطاقة على صفحة شبه مطابقة لـ USPS أو FedEx أو DHL أو Royal Mail أو Colissimo. شركات USPS وFedEx وDHL وUPS وRoyal Mail وAustralia Post وCanada Post وLa Poste Colissimo الحقيقية لا تحصّل رسوم الجمارك عبر رابط في رسالة نصية. الجمارك تُحصَّل عند التسليم وجهاً لوجه، أو عبر وسيطك الجمركي، أو عبر فاتورة من قسم الفوترة لدى الناقل ترسل بالبريد الإلكتروني أو البريد العادي.

النمط الثاني: إعادة جدولة توصيل فاشل

"USPS: حاولنا توصيل طردك اليوم ولم يكن أحد متاحاً. أعد الجدولة قبل إرجاع الطرد: [رابط]. تنطبق رسوم إعادة توصيل ١٫٩٩ دولار."

قالب التسليم الفائت الكلاسيكي، يُعاد توظيفه لنافذة الأعياد. نتناوله بالتفصيل في دليل احتيال رسالة توصيل FedEx ودليل احتيال رسالة توصيل USPS الفاشل. الأعياد ترفع معدل التحويل بشكل كبير لأن المستلم ينتظر شحنات فعلاً ولا يستطيع التحقق من حدوث محاولة توصيل حقيقية. الناقلون الحقيقيون يتركون إشعاراً ورقياً أو إشعاراً داخل التطبيق، لا روابط دفع في رسائل نصية.

النمط الثالث: التحقق من العنوان

"FedEx: لم نتمكن من التحقق من عنوان وجهة رقم التتبع 7747... يرجى التأكيد عبر [رابط] خلال 24 ساعة."

رقم التتبع المزيف يبدو حقيقياً (تتبع الناقلين يتبع قواعد طول ونمط معيارية يسهل تقليدها)، وهذا يضيف مصداقية. تجمع الصفحة العنوان كاملاً، وأحياناً الهاتف والبريد وتاريخ الميلاد. حصاد ملف هوية كامل، مع "رسم تحقق ٠٫٩٩ دولاراً" أحياناً لاصطياد بيانات البطاقة. نسخة DHL من هذا النمط مغطاة في دليل احتيال تتبع طرود DHL.

النمط الرابع: ضريبة مستحقة قبل التسليم

"Royal Mail: طردك من [دولة] محتجز لدفع ضريبة القيمة المضافة ٢٫٩٩ جنيهاً. ادفع الآن لاستلام الشحنة: [رابط]"

النسخة الخاصة ببريطانيا والاتحاد الأوروبي. ضريبة القيمة المضافة على البضائع المستوردة التزام حقيقي للطرود فوق حدود معينة (١٣٥ جنيهاً في بريطانيا، ١٥٠ يورو في الاتحاد الأوروبي بموجب القواعد الجمركية الحالية)، وهذا يمنح الذريعة وزناً واقعياً. أشار ActionFraud وشرطة اسكتلندا في إنذاراتهما لموسم 2024 إلى هذا النمط باعتباره الأعلى حجماً في تصيد رسائل بريطانيا خلال ديسمبر ويناير. هيئة HMRC وRoyal Mail وLa Poste Colissimo الحقيقية لا تحصّل أبداً ضريبة القيمة المضافة عبر رابط نصي. يغطي دليل تصيد رسائل توصيل Colissimo وLa Poste في فرنسا النسخة الفرنسية من هذا الاحتيال بعمق.

النمط الخامس: هدية كريسماس محتجزة في المستودع

"USPS Holiday Service: طرد هديتك محتجز في مستودع الأعياد لدينا. أكد تفضيلات التسليم وادفع رسم إفراج معجَّل ٣٫٩٩ دولاراً: [رابط]"

النسخة الموسمية التي لا تُشغَّل إلا من أواخر نوفمبر إلى أوائل يناير. تستثمر في الوزن العاطفي لتسليم الهدية (لا تريد أن تظل هدية أختك للكريسماس عالقة في مستودع). صياغة "رسم إفراج معجَّل" تجعل الدفع الصغير يبدو ترقية خدمة لا ضريبة. تتدفق بيانات البطاقة إلى الخلفية نفسها لكل الأنماط الأخرى. لا يوجد لدى أي ناقل حقيقي شيء اسمه "مستودع الأعياد". مسارات التوصيل المعتادة سارية طوال السنة.

كيف تعمل إشعارات USPS وFedEx وDHL والجمارك فعلاً

أبسط دفاع هو معرفة شكل الإشعار الحقيقي. احفظ هذه النقاط.

الناقلون الحقيقيون لا يراسلونك إلا إذا اشتركت طوعاً. USPS Informed Delivery، وFedEx Delivery Manager، وإشعارات DHL eCommerce، وتنبيهات Royal Mail Track and Trace، وإشعارات توصيل Canada Post، وتنبيهات تطبيق Australia Post، كلها خدمات اشتراك مرتبطة بحساب حقيقي ورقم تتبع سجّلته أنت. الرسائل العشوائية غير المطلوبة لأشخاص لم يشتركوا أبداً ليست شرعية.
رسوم الجمارك الحقيقية تُدفع عند التسليم أو داخل حسابك على تطبيق الناقل. يحصّل USPS أي رسم جمركي مستحق من المستلم عند الباب قبل تسليم الطرد. يحاسب FedEx وUPS الجمارك عبر حسابك أو يرسل فاتورة بالبريد. يحصّل DHL عبر حساب المستلم في تطبيقه أو عند الباب. La Poste Colissimo وRoyal Mail يديران الجمارك عبر تطبيقاتهما الرسمية أو عبر فاتورة قابلة للدفع بالبريد. لا تستخدم أي من هذه الشركات رابطاً نصياً لتحصيل أربعة دولارات جمركية من بطاقة Visa.
رسائل الناقلين الحقيقية لا تحتوي روابط دفع قابلة للنقر. رسائل الحالة الحقيقية توجّهك إلى النطاق الرئيسي للناقل للتتبع والدفع. تكتب النطاق بنفسك، لا تضغط على رابط.
رسوم الجمارك لا تظهر قبل دخول الطرد إلى البلد. إن طلبت شيئاً يوم 14 ديسمبر ووصلتك رسالة "محتجز في الجمارك" يوم 22 ديسمبر، فقد لا يكون الطرد قد غادر بلد المنشأ بعد. تحقق من حالة الشحن على موقع الناقل الحقيقي قبل دفع أي "رسم".
الرسوم لا تُحصَّل على الطرود تحت عتبات القيمة. الإعفاء الأمريكي تحت ٨٠٠ دولار، والاتحاد الأوروبي تحت ١٥٠ يورو دون ضريبة قيمة مضافة، وبريطانيا تحت ١٣٥ جنيهاً دون ضريبة قيمة مضافة (قواعد ما بعد 2021). عطر بـ ٨٩ يورو من متجر فرنسي أدنى من العتبة الأمريكية، والاتحاد الأوروبي ليس ذا صلة بمستلم أمريكي. ادعاء "رسم جمركي ٤٫٥٠ يورو" على طرد تحت العتبة خاطئ رياضياً.

الإشارات الحمراء في أي رسالة توصيل

الرسالة تحتوي رابطاً قابلاً للنقر يطلب رسماً. رسائل الناقلين الحقيقية لا تحصّل أي مبلغ عبر رابط مضمَّن. أكبر إشارة منفردة.
الرابط ليس على النطاق الحقيقي للناقل. USPS الحقيقي يعيش على usps.com. FedEx الحقيقي على fedex.com. DHL الحقيقي على dhl.com أو متغيراته الدولية. Royal Mail الحقيقي على royalmail.com. La Poste Colissimo الحقيقي على laposte.fr أو colissimo.fr. أي شيء غير ذلك مزيف.
الرابط مختصر. bit.ly أو tinyurl.com أو t.ly أو cutt.ly أو urlkub.co، أو أي مختصر آخر. الناقلون الحقيقيون لا يختصرون عناوينهم.
النطاق يَخيط اسم الناقل بكلمات وصفية بشرطات. أمثلة: usps-customs-pay.com، fedex-tracking.live، dhl-clearance.xyz، royalmail-postage.click، colissimo-verify.top. الناقلون الحقيقيون لا يقرنون اسمهم بشرطات وكلمات وصفية.
النطاق يستخدم امتداداً مريباً. .xyz، .top، .live، .click، .cn، .ru، .icu، أو غيرها من الامتدادات منخفضة الكلفة. الناقلون الحقيقيون يستخدمون .com أو امتدادات الدول مثل .co.uk و.fr و.de و.ca و.com.au.
رقم التتبع لا يطابق صيغة الناقل. أرقام تتبع USPS من 20 إلى 22 خانة. FedEx من 12 إلى 15 خانة. DHL عشر خانات أو أبجدية رقمية. UPS تبدأ بـ 1Z وطولها 18 خانة. Royal Mail 13 خانة تنتهي بـ GB. أي صيغة خارج النمط مزيفة.
لغة استعجال مربوطة برسم صغير. "ادفع خلال 24 ساعة" مع "رسم ٢٫٩٩ دولاراً" هو التصميم العاطفي الذي تستخدمه أدوات التصيد لتجاوز التحقق.
قيمة الرسم محددة بدقة وصغيرة بشكل لافت. رسوم الناقلين الحقيقية إما صفر (يتحملها الناقل) أو تُحاسب عبر حسابك. لا تظهر كمطالبة بـ ٣٫٩٧ دولاراً أو ٤٫٥٠ يورو عبر رابط نصي.

الفحص الذي يستغرق خمس ثوانٍ

لا تحتاج إلى حفظ كل أنماط العناوين. استخدم هذا الروتين على أي رسالة توصيل في موسم الأعياد.

لا تضغط على الرابط. اعتبر أي رسالة ناقل مع رابط دفع احتيالاً بشكل افتراضي.
افتح علامة تبويب جديدة في المتصفح. اكتب نطاق الناقل الحقيقي يدوياً: usps.com، fedex.com، dhl.com، ups.com، royalmail.com، canadapost.ca، auspost.com.au، laposte.fr. ضعها في المفضلة للعام القادم.
ابحث عن رقم التتبع على الموقع الحقيقي. ألصق الرقم الوارد في الرسالة (إن وُجد) في خانة البحث الرسمية. الأرقام الملفقة تعيد "لا توجد معلومات". الأرقام الحقيقية تعرض سجل الشحن الكامل. إن لم يكن الرقم موجوداً، فالرسالة مزيفة.
إن كنت بحاجة فعلية لدفع جمارك، فافعل ذلك من حسابك على الناقل أو من تطبيقه. تحصيل الجمارك الحقيقي يحدث داخل حساب الناقل المُصادَق عليه أو عند التسليم، لا عبر رابط نصي عشوائي.
أبلغ عن الرسالة. أعد توجيهها إلى 7726 (الرمز الموحّد للإبلاغ عن الرسائل المزعجة في الولايات المتحدة وكندا وبريطانيا وأستراليا)، وأبلغ عبر reportfraud.ftc.gov، وقدّم شكوى لدى FBI IC3، وبلّغ عن انتحال شخصية USPS تحديداً عبر uspis.gov/report. ثم احذف الرسالة.

إن أردت رأياً ثانياً في رابط بعينه، ألصقه في أداة فحص الروابط من SafeBrowz. تفك الأداة المختصرات، وتفحص عمر النطاق (أغلب وجهات التصيد عمرها أقل من 30 يوماً)، وتُمرّر العنوان عبر قوائم الحظر المجتمعية، وتعيد حكماً في ثوانٍ. لا حاجة لتسجيل دخول.

دفاع البطاقة الافتراضية

أفضل دفاع تقني منفرد ضد سرقة البطاقات في الأعياد هو ألا تدخل رقم بطاقتك الأساسية في نموذج دفع وصلت إليه عبر رسالة نصية. حتى لو بدت الصفحة حقيقية. استخدم رقم بطاقة افتراضي من بنكك، أو من تطبيق مصدر البطاقة، أو من خدمات مثل Privacy.com وRevolut Disposable Virtual Cards وWise Virtual Card وميزة "رقم البطاقة" في Apple Card. تتيح لك البطاقة الافتراضية ضبط حد لكل عملية أو حد لكل تاجر، ويمكنك إلغاء الرقم بضغطة واحدة إن اختُرق. الشرح الكامل في دليل المدفوعات الآمنة عبر الإنترنت والبطاقات الافتراضية 2026.

بالنسبة لبطاقات الائتمان، يمنحك قانون Fair Credit Billing الأمريكي 60 يوماً للاعتراض على المعاملات غير المصرّح بها، وقانون Consumer Credit البريطاني يمنح 13 شهراً للنزاع عبر Section 75 على مشتريات تجاوزت ١٠٠ جنيه، وكندا تمنح 30 يوماً عبر مدونة PSP. معرفة النافذة مهمة لأن دورة بيانات-البطاقة-المسروقة-إلى-احتيال تستغرق غالباً ستة إلى اثني عشر أسبوعاً لتنكشف، بعد لحظة النقر الأولى بكثير.

ماذا تفعل إن دفعت الرسم المزيف فعلاً

إن ضغطت الرابط ودفعت الرسم، عامل الموقف كاختراق بطاقة كامل، لا كخسارة صغيرة.

اتصل بمصدر البطاقة فوراً. الرقم خلف البطاقة المادية. لا تستخدم محرك البحث للبحث عن "[رقم احتيال البنك]" لأن محتالي الدعم الفني يديرون قوائم دعم مزيفة، خصوصاً في موسم الأعياد حين تكون أحجام المكالمات عالية. سيلغي البنك البطاقة ويعيد إصدارها. أغلب البنوك الكبرى لديها خطوط احتيال على مدار الساعة.
راجع سجل المعاملات بحثاً عن أي عملية غير مصرّح بها. اعترض على أي شيء مريب خلال 60 يوماً (Fair Credit Billing الأمريكي)، أو 13 شهراً (Section 75 البريطاني)، أو ما يعادلهما محلياً. المهاجمون عادةً ينتظرون ستة إلى اثني عشر أسبوعاً قبل اختبار البطاقة، أي عليك مراجعة الكشوف طوال يناير وفبراير.
أضف تنبيه احتيال لدى مكاتب الائتمان الأمريكية الثلاثة (Equifax وExperian وTransUnion). اتصال واحد بأي منها ينعكس على الآخرين. التنبيه مجاني ويستمر 12 شهراً. سكان بريطانيا يفعلون المعادل عبر Experian أو Equifax أو TransUnion UK. سكان كندا عبر Equifax Canada أو TransUnion Canada.
قدّم بلاغاً عبر reportfraud.ftc.gov (الولايات المتحدة) أو actionfraud.police.uk (بريطانيا) أو antifraudcentre-centreantifraude.ca (كندا). يغذي هذا قواعد بيانات حماية المستهلك وإنفاذ القانون.
إن كنت أدخلت أيضاً رقم ضمان اجتماعي أو جواز أو تاريخ ميلاد، ضع تجميد ائتمان لدى مكاتب الائتمان الثلاثة (مجاني، يمنع فتح حسابات باسمك)، وقدّم بلاغاً عبر identitytheft.gov، وتحقق من حسابك لدى IRS أو HMRC للتأكد من عدم تقديم إقرار ضريبي احتيالي.
إن نزّلت ملف APK على Android، ألغ تثبيته فوراً وشغّل فحص مكافحة فيروسات للجوال. بعض أنماط تصيد 2026 في الأعياد تدفع المستخدم لتثبيت "تطبيق تتبع للناقل" يكون في الواقع حصاناً مصرفياً يلتقط رموز التحقق الواردة عبر الرسائل.

كيف تبلّغ عن تصيد رسائل الأعياد

الإبلاغ يغذي إشارات الكشف على مستوى الشبكة ويمنح هيئات حماية المستهلك البيانات التي تحتاجها لإصدار إنذارات جديدة. القنوات التي تستحق الاستخدام:

أعد توجيه الرسالة إلى 7726. الرمز الموحّد للإبلاغ عن الرسائل المزعجة في الولايات المتحدة (يعمل على AT&T وVerizon وT-Mobile) وكندا وبريطانيا وأستراليا. مجاناً. يحجب مشغّل الاتصالات المرسل خلال ساعات إن تكرّرت البلاغات.
FTC Consumer Sentinel. reportfraud.ftc.gov. قاعدة حماية المستهلك الفيدرالية الأمريكية. تغذي إنفاذ القانون والسياسات.
FBI IC3. ic3.gov. مركز شكاوى جرائم الإنترنت. مهم للخسائر فوق ٥٠٠ دولار أو لحالات سرقة الهوية الموثّقة.
USPIS لانتحال USPS. uspis.gov/report. خدمة التفتيش البريدي الأمريكية. تعالج احتيال البريد والطرود تحديداً.
صناديق احتيال FedEx وDHL وUPS. abuse@fedex.com، phishing-dpdhl@dhl.com، fraud@ups.com. الناقلون لديهم فرق أمنية مخصصة تتابع الحملات وتطلب الإزالة من مزودي الاستضافة.
ActionFraud البريطاني. actionfraud.police.uk أو 0300 123 2040. المركز الوطني البريطاني للإبلاغ عن الاحتيال والجرائم السيبرانية.
المركز الكندي لمكافحة الاحتيال. antifraudcentre-centreantifraude.ca أو 8501-495-888-1. قاعدة بيانات وطنية ذات تحليلات قوية لنافذة الأعياد.
ScamWatch الأسترالي. scamwatch.gov.au. ذراع حماية المستهلك في ACCC.
Cybermalveillance.gouv.fr. البوابة الوطنية الفرنسية للجرائم السيبرانية. يمكن أيضاً الإبلاغ عبر 33700 للرسائل المزعجة في فرنسا.

لماذا تنمو موجة الأعياد كل عام

أظهرت بيانات BBB Scam Tracker لموسم 2024 أن فئة تصيد الرسائل واحتيال الطرود من نوفمبر إلى يناير ارتفعت بنحو 35 بالمئة عاماً بعد عام، وأن الخسائر المُبلَّغ عنها تتركز في نافذة ما بعد الكريسماس حين يكتشف الضحايا الاحتيال فقط بعد وصول كشوف حسابات الأعياد. ثلاثة أسباب بنيوية.

بنية الهجوم صارت جاهزة للاستخدام. أدوات Phishing-as-a-Service تُباع في الأسواق السرية بـ 50 إلى 500 دولار وتأتي بقوالب انتحال جاهزة لـ USPS وFedEx وDHL وUPS وRoyal Mail وCanada Post وAustralia Post وLa Poste Colissimo وDeutsche Post DHL. لا تحتاج إلى مهارة تقنية لإطلاق حملة. حاسوب محمول، وبضعة دولارات لتسجيل النطاقات، وقائمة أرقام، وأنت في السوق.

الرسائل النصية لا تملك مكافئاً لفلترة سبام البريد. فلترة الرسائل المزعجة لدى مشغلي الاتصالات موجودة لكنها متأخرة عن البريد بعشرين عاماً، وتعالج جزءاً صغيراً من حركة الرسائل. حتى يُنشر مكافئ STIR/SHAKEN للتحقق من المرسل عبر الرسائل النصية (يُناقش منذ 2022 ولم يكتمل بعد)، تظل القناة مفتوحة عملياً.

كلفة الحملة الفاشلة قريبة من الصفر. النطاقات تحترق خلال 24 إلى 72 ساعة من أول بلاغات الإساءة، لكن المهاجم يطلق التالي فوراً. الاستضافة على Cloudflare Pages أو Vercel أو Netlify أو أي منصة مجانية تحمل TLS تلقائياً وفورياً. دورة الإزالة ضوضاء خلفية دائمة، والمهاجمون يعملون بدورات أقصر من المدافعين.

كيف يصدّ SafeBrowz هذا التهديد

يعتمد SafeBrowz على بنية كشف مكوّنة من ثلاث طبقات: محلي + واجهات + ذكاء اصطناعي.

الطبقة الأولى، الكشف المحلي: أكثر من 60 توقيعاً لعناوين URL، وأكثر من 550 توقيعاً مرتبطاً بعلامات تجارية محددة (USPS وFedEx وDHL وUPS وRoyal Mail وCanada Post وAustralia Post وLa Poste Colissimo وDeutsche Post DHL وJapan Post وIndia Post وغيرها من علامات الناقلين)، تعمل مباشرةً داخل متصفحك. تلتقط هذه الطبقة عند النقر أنماط "كلمة الناقل على امتداد ليس له"، والنسخ المُشابهة المخيطة بشرطات، والتشابهات السيريلية، ونطاقات الاستضافة المجانية الفرعية، قبل أن تُحمَّل صفحة الدفع المزيفة.
الطبقة الثانية، فحوصات الواجهات: تقاطعات مع Google Safe Browsing وPhishTank وURLhaus وScamAdviser تعمل من جانب الخادم. تلتقط النطاقات الخبيثة المعروفة لحظة الإبلاغ عنها في أي مكان من العالم، بما فيها النطاقات المؤقتة التي تُحرق وتُعاد بناؤها كل 24 إلى 72 ساعة طوال نافذة الأعياد.
الطبقة الثالثة، الفحص العميق بالذكاء الاصطناعي (Premium): تحليل محتوى يكتشف صفحات انتحال ناقل جديدة كلياً لم تشاهدها أي قائمة حظر بعد. صفحة جمارك USPS المزيفة التي بُثّت قبل أربع ساعات وتُرسل عبر الرسائل النصية الآن. يعمل بأكثر من 100 لغة، فيكتشف المحرك نفسه نسخ Colissimo الفرنسية، ونسخ Royal Mail البريطانية، ونسخ AusPost الأسترالية، ونسخ Canada Post الكندية بالطريقة نفسها.

توقيعات الكشف مشتقة من أبحاث استخبارات التهديدات وقاعدة العلامات التجارية الداخلية لدينا، لا من بيانات تصفح المستخدمين. SafeBrowz لا يُخزِّن سجلات تصفح للمستخدمين.

احجب وجهات تصيد الأعياد تلقائياً

SafeBrowz إضافة متصفح مجانية لـ Chrome وFirefox وEdge تكتشف صفحات انتحال USPS وFedEx وDHL وUPS وRoyal Mail وLa Poste Colissimo وCanada Post وAustralia Post وغيرها من الناقلين لحظة تحميلها. الحماية الأساسية مجانية للأبد. تضيف Premium كشف برمجيات استنزاف المحافظ وفحوصات الذكاء الاصطناعي العميقة بلا حدّ مقابل ١٤٫٩٩ دولاراً سنوياً، أو احتفظ بـ ١٠ ملايين رمز $SAFEBROWZ على Base للوصول غير المحدود. لا تحتاج إلى تثبيت لفحص رابط واحد؛ أداة فحص الروابط المجانية تتولى الحالات الفردية.

أضف إلى Chrome أضف إلى Firefox أضف إلى Edge

الأسئلة الشائعة عن احتيال جمارك الأعياد

هل يحصّل الناقلون الحقيقيون رسوم الجمارك عبر رسائل نصية أصلاً؟

لا. USPS وFedEx وDHL وUPS وRoyal Mail وLa Poste Colissimo وCanada Post وAustralia Post لا تحصّل رسوم الجمارك أو رسوم الاستيراد عبر روابط في رسائل نصية. الجمارك الحقيقية تُحصَّل عند التسليم وجهاً لوجه، أو عبر حساب المستلم المُصادَق عليه أو تطبيقه، أو عبر فاتورة من قسم الفوترة بالبريد الإلكتروني أو البريد العادي. أي رسالة تطلب منك دفع رسم جمركي على نموذج بطاقة عبر رابط قابل للنقر هي احتيال.

لماذا يكثر احتيال رسم الجمارك في موسم الأعياد تحديداً؟

ثلاثة أسباب. حجم الطرود الدولية الحقيقية إلى الولايات المتحدة وبريطانيا والاتحاد الأوروبي وكندا وأستراليا يتضاعف بين منتصف نوفمبر وأواخر ديسمبر، أي أن عدداً أكبر من الناس يصدّقون فعلاً أن لديهم طرداً دولياً قادماً. تعدد الشحنات يطمس أي ناقل يحمل أي طلب ويخفض الكلفة الذهنية للتحقق. وضغط الأعياد يخفض عتبة "تحقق قبل أن تنقر" لدى المستخدم العادي. وأشار ActionFraud البريطاني إلى أن الخسارة لكل ضحية أعلى بنسبة 30 إلى 40 بالمئة في نافذة نوفمبر-يناير من بقية العام.

دفعت الرسم المزيف الصغير، هل عليّ القلق على أكثر من ٥ دولارات؟

نعم. الرسم ليس الهدف، بل رقم بطاقتك الكامل وتاريخ انتهائها ورمز CVV والرمز البريدي. تُباع بيانات البطاقة على أسواق الجملة في الشبكات المظلمة وتُختبر عادةً في احتيال أكبر بعد ستة إلى اثني عشر أسبوعاً من النقرة الأولى، غالباً بعد أن تكون كشوف حسابات الأعياد قد قُرئت وأُغلقت. اتصل بمصدر البطاقة اليوم واطلب إلغاءها وإعادة إصدارها. يمنحك قانون Fair Credit Billing الأمريكي 60 يوماً للاعتراض على المعاملات غير المصرّح بها. تمنحك حماية Section 75 البريطانية 13 شهراً للمشتريات فوق ١٠٠ جنيه. التحرك الآن يقطع الاحتيال البطيء الذي يأتي لاحقاً.

كيف أتحقق إن كان رسم الجمارك حقيقياً؟

اكتب نطاق الناقل الحقيقي يدوياً في المتصفح (usps.com، fedex.com، dhl.com، royalmail.com، colissimo.fr، canadapost.ca، auspost.com.au). سجّل دخولك إلى حسابك أو استخدم خانة التتبع للبحث عن رقم التتبع الوارد في الرسالة. الرسوم الحقيقية تظهر داخل حسابك المُصادَق عليه. إن أعاد رقم التتبع "لا توجد معلومات" أو لم يكن موجوداً، فالرسالة مزيفة. تحقق أيضاً ما إذا كانت قيمة الطرد ستتجاوز عتبة الجمارك في بلدك (الإعفاء الأمريكي ٨٠٠ دولار، الاتحاد الأوروبي ١٥٠ يورو دون ضريبة قيمة مضافة، بريطانيا ١٣٥ جنيهاً دون ضريبة قيمة مضافة). الطرود تحت العتبة لا تخضع للرسوم.

الرسالة جاءت من رقم من 10 أرقام لا من رمز قصير. هل لذلك أهمية؟

نعم، هذه إشارة حمراء بحد ذاتها. إشعارات الناقلين الحقيقيين تأتي من رموز قصيرة مسجلة باسمهم (USPS يستخدم 28777، FedEx يستخدم 48773، DHL يستخدم رموزاً قصيرة متعددة حسب الدولة). رقم عشوائي من 10 أرقام يرسل لك إشعار توصيل هو احتيال شبه مؤكد. أعد توجيهه إلى 7726 للإبلاغ.

أبلّغ عن الاحتيال كل عام والحجم في ازدياد. هل الإبلاغ مفيد فعلاً؟

نعم، حتى لو شعرت أن البلاغ الفردي قليل الأثر. بلاغات 7726 تغذي حجب المرسل على مستوى المشغل، وينفذ ذلك خلال ساعات حين تتراكم البلاغات. بيانات FTC وFBI IC3 وActionFraud والمركز الكندي وScamWatch تدفع إصدار إنذارات منشورة تحذّر مستهلكين آخرين وترشد إنفاذ القانون. صناديق احتيال الناقلين (abuse@fedex.com وphishing-dpdhl@dhl.com) تغذي طلبات الإزالة لدى مزودي الاستضافة. الأثر الإجمالي حقيقي حتى وإن بدا كل بلاغ منفرد صغيراً.

آخر تحديث 2026-05-29