الخلاصة

مصلحة الضرائب الأمريكية (IRS) لا تتصل بك، ولا ترسل لك رسالة نصية، ولا بريداً إلكترونياً، ولا تراسلك على وسائل التواصل الاجتماعي للمطالبة بدفعة أو لطلب تفاصيل حسابك المصرفي. التواصل الأول دائماً بريد ورقي. إن ادّعت رسالة أنها من IRS أو TurboTax أو H&R Block واستعملت الإلحاح، أو بطاقات الهدايا، أو روابط "الاسترداد قيد المعالجة"، أو مرفقات باسم 1099، فعاملها على أنها تصيد. التنويعات السبع أدناه تغطي تقريباً كل ما هو متداول حالياً بين يناير وأبريل 2026. وروتين التحقق المكوّن من عشر ثوانٍ في نهاية المقال يكشفها جميعاً.

قائمة Dirty Dozen التي أصدرتها مصلحة الضرائب الأمريكية في ربيع 2024 صنّفت التصيد ذا الطابع الضريبي، والتصيد عبر الرسائل النصية، وانتحال الشخصية، تهديداً مستمراً من الدرجة الأولى. وسجّلت بيانات شبكة FTC Consumer Sentinel لعام 2024 (الصادرة في فبراير 2025) أكثر من ١٫١ مليون بلاغ عن سرقة هوية، وظلت سرقة الهوية المتعلقة بالضرائب باستمرار ضمن أعلى الفئات. كما رصد تقرير مكتب التحقيقات الفيدرالي عن جرائم الإنترنت لعام 2024 (الصادر في أبريل 2025) ٨٥٩٬٥٣٢ شكوى، وخسائر مُبلَّغ عنها بقيمة ١٦٫٦ مليار دولار، بقفزة سنوية قدرها 33 بالمئة. كما يتتبع المفتش العام للخزانة لإدارة الضرائب (TIGTA) عملية انتحال IRS الهاتفية منذ أكثر من عقد، ويواصل تسجيل تنويعات جديدة في كل موسم تقديم إقرارات. النمط يتكرر لأنه ينجح. وهذه هي التنويعات السبع التي ستراها هذا العام.

بريد TurboTax المزيف بـ"تم قفل الحساب"

هذا التنويع يبلغ ذروته في الأسبوع السابق للموعد النهائي لتقديم الإقرارات في أبريل. تصل الرسالة منمّقة لتبدو كأنها من TurboTax، بترويسة Intuit الزرقاء وتذييلها الصغير. وعنوان الرسالة عادةً أحد ثلاثة: "تم قفل حسابك على TurboTax"، أو "تم رصد تسجيل دخول مشبوه إلى حسابك على TurboTax"، أو "إجراء مطلوب لتقديم إقرارك".

نص الرسالة يقول إن شخصاً ما حاول الدخول إلى حسابك على TurboTax من جهاز أو موقع غير معتاد. ولفك قفل الحساب قبل الموعد النهائي، اضغط زر "تحقق من الهوية" أو "استعادة الوصول". الرابط يقود إلى صفحة دخول مشابهة على نطاق من نوع turbotax-secure-login.com أو intuit-verify.help أو turbotax-account-unlock.co. الصفحة تقبل اسم المستخدم وكلمة السر، وتسأل غالباً عن آخر أربعة أرقام من رقم الضمان الاجتماعي (SSN) بوصفه "تحققاً إضافياً"، وقد تطلب أيضاً رقم حسابك المصرفي ورقم التوجيه ضمن خطوة مزيفة باسم "تأكيد وجهة الاسترداد".

التواصل الحقيقي من Intuit بشأن أمان الحساب يأتي من المرسلَين @intuit.com، ويربط فقط بنطاقات intuit.com أو turbotax.intuit.com. لا يوجد turbotax-secure-login.com. النطاق المشابه ذو الشرطة، أو أي امتداد ليس intuit.com، هو العلامة الفارقة. إن لم تكن متأكداً، أغلق الرسالة، افتح تبويب متصفح جديد، اكتب turbotax.intuit.com يدوياً، وسجّل الدخول مباشرةً. أي إشعار قفل حقيقي سيظهر في لوحة تحكم حسابك الفعلي.

رسالة H&R Block النصية المزيفة بـ"تعليق الاسترداد"

هذا التنويع يقتبس نموذج "رسوم الجمارك" من احتيالات طرود FedEx وDHL. نص الرسالة يقول مثلاً: "H&R Block: استرداد الضرائب الفيدرالية بقيمة ١٬٨٤٧ دولاراً معلَّق حالياً. يلزم دفع رسوم معالجة قدرها ١٫٩٩ دولار للإفراج عن الإيداع. ادفع هنا: hrblock-refund-release.com/r/8K2J9F". أو في تنويع آخر: "HRB: فشل إيداع الاسترداد. أعد إرسال بيانات حسابك: hrblock-deposit-verify.help".

الرابط يقود إلى صفحة تطلب "رسوم المعالجة" الصغيرة عبر البطاقة. الحصيلة الحقيقية ليست الـ١٫٩٩ دولار. بل رقم البطاقة الكامل، ورمز CVV، وتاريخ الانتهاء، والرمز البريدي، و(غالباً في خطوة "التحقق من الهوية") رقم الضمان الاجتماعي بالكامل. بيانات البطاقة تُجمَّع وتُباع في أسواق الويب المظلم خلال أسابيع قليلة. ورقم الضمان الاجتماعي يدخل في حزم سرقة هوية منفصلة تُستخدم بعد شهور لتقديم إقرارات احتيالية باسمك.

H&R Block لا ترسل رسائل نصية للعملاء لـ"الإفراج" عن استرداداتهم. إذ إن IRS لا H&R Block هي التي تُودِع استردادات الضرائب الفيدرالية، وIRS لا تتقاضى أبداً "رسوم إفراج". الرسائل الحقيقية من H&R Block تأتي من نطاقات @hrblock.com ومن أكواد نصية قصيرة مسجّلة باسم الشركة. إن وصلتك رسالة نصية تدّعي تعليق استردادك، فلا تنقر. سجّل دخولك مباشرةً عبر hrblock.com أو اتصل بالفرع المحلي الذي قدّمت إقرارك من خلاله.

بريد IRS المزيف بـ"الاسترداد قيد المعالجة" إلى نطاق مشابه لـ irs.gov

تصل الرسالة بشعار نسر IRS وصور خزانة الولايات المتحدة. عنوان الرسالة غالباً "IRS: إشعار استرداد 2026" أو "استردادك بقيمة ٢٬٤٣١٫٠٠ دولار جاهز للإصدار". النص يدّعي أن الاسترداد ينتظر تحققاً نهائياً من الهوية، ويقدّم رابطاً إلى irs-tax-refund.us أو irs-gov-online.com أو irs-treasury-portal.help أو ما شابه.

الصفحة الهدف تحاكي IRS.gov بدقة. نموذج مزيف باسم "Get My Refund" يطلب الاسم الكامل، ورقم الضمان الاجتماعي، وتاريخ الميلاد، والدخل الإجمالي المعدّل للسنة السابقة (AGI)، والعنوان الحالي، ورقم الحساب المصرفي، ورقم التوجيه. وبعض التنويعات يطلب أيضاً صورة من رخصة القيادة. النتيجة عُدّة سرقة هوية كاملة تسلَّم للمهاجم، إضافةً إلى بيانات اعتماد مصرفية مباشرة لاستخدام شبكة ACH في الاحتيال.

IRS الحقيقية تستخدم نطاقاً واحداً فقط: irs.gov. لا يوجد irs.us، ولا irs-online.com، ولا irs-treasury-portal.help. كما أن IRS لا تبدأ التواصل بشأن الاستردادات عبر البريد الإلكتروني إطلاقاً. الوكالة ترسل بريداً ورقياً أولاً. إن كانت ثمة مشكلة فعلية باسترداد ما، فستجد رسالة (إشعار من سلسلة CP) في صندوق بريدك المنزلي، وتحديثاً للحالة في حسابك الإلكتروني على irs.gov/account. أي شيء آخر تصيد. أعد توجيه الرسالة إلى phishing@irs.gov ثم احذفها.

مكالمة هاتفية لانتحال IRS تطالب ببطاقات هدايا

هذا هو الكلاسيكي الذي يعمل دون انقطاع منذ 2013 على الأقل. يتتبعه TIGTA تحت اسم "احتيالات انتحال IRS الهاتفية"، ويرصد قفزات جديدة كل موسم تقديم. تبدأ المكالمة آلية عادةً، ثم تنتقل إلى عامل بشري إن ضغطت 1. المتصل يدّعي أنه عميل IRS (وأحياناً يعطي رقم شارة مزيفاً) ويقول إن عليك ضرائب متأخرة. الدفع يجب أن يتم اليوم عبر بطاقات هدايا (iTunes أو Google Play أو Steam أو Amazon أو Target). إن لم تدفع فوراً، يهدد المتصل بالاعتقال أو الترحيل أو سحب الرخصة أو الحجز على الراتب خلال ساعة.

أحياناً تستخدم المكالمة هوية متصل مزيّفة لتُظهر "IRS" أو رقم هاتف حقيقي لـ IRS. وأحياناً يتحوّل النص إلى المطالبة بتحويل بنكي أو عملة رقمية. الثابت هو الإلحاح إضافةً إلى وسيلة دفع غير قابلة للاسترجاع (بطاقات هدايا، تحويل بنكي، عملات رقمية) لا يستعملها أي محصّل ضرائب شرعي على الإطلاق.

IRS لا تتصل لتطالب بدفع فوري. IRS لا تهدد بالاعتقال عبر الهاتف. IRS لا تقبل بطاقات الهدايا كوسيلة دفع تحت أي ظرف، أبداً. إن استعملت المكالمة أياً من هذه الإشارات، أغلق الخط. أبلغ TIGTA عبر tigta.gov (استخدم نموذج "Reporting IRS Impersonation Scams") وأبلغ FTC على reportfraud.ftc.gov. إن كنت غير متأكد بشأن فاتورة ضريبية حقيقية، اتصل بـ IRS مباشرةً على 1-800-829-1040 برقم تبحث عنه أنت بنفسك، لا برقم أعطاك إياه المتصل.

تصيد مزيف بـ"نموذج 1099 من [جهة عمل أو منصة]" بمرفق خبيث

هذا التنويع يستهدف عمال الاقتصاد المؤقت، والمستقلين، وأي شخص حصل سابقاً على نموذج حقيقي من 1099-NEC أو 1099-K أو 1099-MISC أو 1099-INT. تصل الرسالة في أواخر يناير أو فبراير بعنوان مثل "1099 الخاص بك لعام 2025 من Uber جاهز"، أو "1099-NEC من DoorDash مرفق"، أو "مهم: 1099-K من PayPal"، أو "1099-MISC من Upwork متاح للتحميل".

النص قصير. يقول إن مستندك الضريبي مرفق. والمرفق عادةً ملف PDF أو ملف Microsoft Word باسم مثل 1099-NEC-2025.pdf.html أو Uber_1099_Final.doc أو DoorDash_Tax_Form.zip. فتح المرفق إما يشغّل نموذج جمع لبيانات الاعتماد (نسخة HTML)، أو يجلب حمولة عن بُعد (ملف doc بماكرو)، أو يفكّ ضغط ملف خبيث ثنائي (نسخة zip). الحمولات الشائعة في 2024 و2025 تضمّنت سارقات معلومات مثل Lumma وRedLine وVidar، التي تستخلص كلمات السر من المتصفح، ومحافظ العملات الرقمية، وملفات تعريف الجلسات خلال دقائق.

توزيع 1099 الحقيقي من المنصات الكبرى (Uber وDoorDash وLyft وPayPal وVenmo وCoinbase وUpwork) يحدث داخل لوحة الضرائب على المنصة نفسها، عبر حسابك الموجود. قد ترسل المنصة بريداً يقول إن المستند جاهز، لكن المستند يُحمَّل من داخل المنصة، لا من مرفق رسالة. إن وصلك بريد 1099 بملف مرفق، فلا تفتحه. سجّل الدخول مباشرةً على المنصة وحمّل المستند من قسم الضرائب. أعد توجيه أي بريد مشبوه إلى phishing@irs.gov وإلى عنوان "abuse" الخاص بالمنصة المنتحَلة.

رسائل نصية عن حالة الحوافز أو الاسترداد تشير إلى نطاقات مشابهة لمواقع حكومية

هذا التنويع يعود إلى الواجهة في كل مرة تكون فيها أخبار حقيقية عن ائتمانات ضريبية، أو توقيت الاسترداد، أو نقاشات في الكونغرس بشأن الحوافز. نص الرسالة يقول: "IRS: لديك دفعة تأثير اقتصادي بقيمة ١٬٤٠٠ دولار لم تُطالَب بها. تحقق من الأهلية: irs-stimulus-claim.us/v/3K9F" أو "خزانة الولايات المتحدة: تم تحديث حالة استردادك. تحقق على gov-refund-status.com/r/8J2L".

الوجهة موقع مشابه إما لـ IRS.gov أو لموقع الخزانة. النموذج يطلب رقم الضمان الاجتماعي، وتاريخ الميلاد، ورقم التوجيه ورقم الحساب المصرفي، وأحياناً صورة من رخصة القيادة. وبعض التنويعات تتسلسل إلى نموذج بطاقة باسم "رسوم تحقق صغيرة" مزيفة. البيانات تغذّي حزم سرقة الهوية وعُدّد احتيال ACH التي تُباع منفصلةً.

IRS الحقيقية لا ترسل أبداً رسائل نصية بلا طلب بشأن الاستردادات أو دفعات الحوافز. ولم يُعتمد أي برنامج فيدرالي جديد للحوافز في 2026، وأي رسالة عن "حوافز لم يُطالَب بها" في 2026 هي تصيد. حالة الاسترداد تُفحَص على irs.gov/refunds أو في تطبيق IRS2Go للهاتف المحمول، وكلاهما يتطلب إدخالك أنت لرقم الضمان الاجتماعي وتفاصيل الإقرار، لا رابطاً في رسالة نصية. أعد توجيه الرسالة إلى 7726 (رمز قطاع الاتصالات للإبلاغ عن الرسائل المزعجة) وإلى phishing@irs.gov.

سرقة الهوية عبر W-2 مسروق: إعادة توجيه الاسترداد قبل أن تتقدم بإقرارك

هذا التنويع هو الصامت والمكلف. الضحية لا تتلقى رسالة تصيد على الإطلاق. المهاجم يكون قد حصل بالفعل على معلومات W-2 الخاصة بالضحية (عبر تسرّب بيانات لدى صاحب العمل، أو هجوم تصيد على قسم الموارد البشرية، أو صندوق بريد مسروق، أو تسرّب بيانات سابق تضمّن SSN وتفاصيل صاحب العمل)، ويستخدمها لتقديم إقرار ضريبي فيدرالي احتيالي مبكراً في الموسم، عادةً في أواخر يناير أو أوائل فبراير، قبل أن يقدّم دافع الضرائب الحقيقي إقراره.

الإقرار الاحتيالي يدّعي استرداداً كبيراً ويوجّهه إلى حساب يتحكم به المهاجم (غالباً بطاقة مدينة مدفوعة مسبقاً، أو حساب مصرفي تابع لـ"بغل أموال"، أو حساب فينتك مفتوح بهوية مركّبة). وبحلول الوقت الذي يجلس فيه الضحية الحقيقي مع TurboTax أو H&R Block في مارس أو أبريل ويحاول تقديم إقراره، ترفض IRS الإقرار برمز IND-510 أو ما شابه، قائلةً إن إقراراً قد قُدّم بالفعل تحت رقم الضمان الاجتماعي ذاته.

إقرار سرقة الهوية لدى IRS (نموذج 14039) هو مسار الاسترداد الرسمي. قدّمه فور أن تشكّ في سرقة هوية مرتبطة بالضرائب. اقرنه بـرقم تعريف شخصي لحماية الهوية (IP PIN) الذي تتيحه IRS الآن لأي دافع ضرائب يطلبه عبر irs.gov/ippin. الـ IP PIN هو رمز من ستة أرقام يجب أن يرافق إقرارك الحقيقي؛ أي إقرار احتيالي بلا هذا الرمز يُرفَض تلقائياً. اطلب أيضاً نسخة مجانية من سجل الأجور والدخل عبر irs.gov/transcripts لترى ما أُبلِغ عنه باسمك؛ وجمّد ائتمانك لدى المكاتب الثلاثة (Equifax وExperian وTransUnion)؛ وقدّم بلاغاً عبر identitytheft.gov للحصول على خطة الاسترداد من FTC، وعبر ic3.gov لتقرير FBI.

كيف يعمل التواصل الحقيقي من IRS

هذا أنفع شيء يجب حفظه. كل تنويع أعلاه يفشل في هذا الاختبار.

  • التواصل الأول بريد ورقي. ترسل IRS رسالة فعلية (إشعار من سلسلة CP أو LT أو 5071C) إلى العنوان المسجّل قبل أي تواصل آخر. لا رسائل نصية. لا بريد إلكتروني. لا وسائل تواصل اجتماعي. لا مكالمات هاتفية تطالب بالدفع.
  • الرسائل الآمنة تمر عبر حسابك الإلكتروني لدى IRS. سجّل الدخول على irs.gov/account لرؤية الإشعارات الحقيقية، وسجل الدفعات، وأي مشكلات في الاسترداد. لوحة التحكم هي مصدر الحقيقة.
  • نطاق IRS الوحيد هو irs.gov. ليس .us، ولا .com، ولا .help، ولا .online. أي امتداد آخر مزيف.
  • IRS لا تقبل بطاقات الهدايا. نقطة. خيارات الدفع الحقيقية هي الخصم المباشر، وIRS Direct Pay على irs.gov/payments، وEFTPS، والبطاقة عبر معالج معتمد، والشيك، والحوالة المالية. أي شيء آخر هو الاحتيال.
  • IRS لا تهدد بالاعتقال عبر الهاتف. التحصيل الحقيقي يتدرج عبر إشعارات مكتوبة على مدى شهور وسنوات، لا بمكالمة هاتفية مدتها ستون ثانية.
  • الاستردادات تُفحَص على irs.gov/refunds أو في IRS2Go. لا رابط في رسالة نصية هو الطريق الصحيح أبداً.

نطاقات المرسل الحقيقية لـ TurboTax وH&R Block

إن كان بريد إعداد الضرائب حقيقياً، فهو يأتي من إحدى هذه. أي شيء آخر يحمل اسم العلامة هو نطاق مشابه.

  • TurboTax / Intuit: @intuit.com، @turbotax.intuit.com. الروابط الحقيقية تذهب إلى intuit.com أو turbotax.intuit.com. ليس turbotax-secure.com، ولا intuit-verify.help، ولا turbotax-account-unlock.co.
  • H&R Block: @hrblock.com، @emails.hrblock.com. الروابط الحقيقية تذهب إلى hrblock.com. ليس hrblock-refund.com، ولا hrblock-deposit-verify.help.
  • IRS: irs.gov فقط. IRS لا تبدأ التواصل عبر البريد الإلكتروني على الإطلاق. أي بريد "من IRS" إما إشعار حقيقي من سلسلة CP تم مسحه ضوئياً عبر خدمة إعداد ضرائب فوّضتها أنت، أو أنه تصيد.
  • Cash App Taxes (Credit Karma Tax سابقاً): @cash.app. الروابط الحقيقية تذهب إلى cash.app/taxes.
  • TaxSlayer: @taxslayer.com. الروابط الحقيقية تذهب إلى taxslayer.com.
  • TaxAct: @taxact.com. الروابط الحقيقية تذهب إلى taxact.com.

إن لم تستطع تذكّر النطاق الصحيح، فالخطوة الأكثر أماناً هي ذاتها دائماً. أغلق البريد. افتح تبويب متصفح جديد. اكتب اسم العلامة في شريط العناوين بنفسك. سجّل الدخول مباشرةً. أي إشعار حقيقي سيظهر في لوحة التحكم.

علامات حمراء مشتركة بين التنويعات السبع

  • إلحاح بمهلة محسوبة بالساعات. "تحقق خلال 24 ساعة وإلا فقدت استردادك"، "ادفع خلال الساعة وإلا واجهت الاعتقال"، "إجراء مطلوب قبل منتصف الليل".
  • رابط أو مرفق بدلاً من تعليمة بتسجيل الدخول مباشرةً. الإشعارات الحقيقية تقول "سجّل الدخول على irs.gov/account" أو "ادخل إلى حسابك على TurboTax". الإشعارات المزيفة تدفع نحو رابط بضغطة واحدة.
  • نطاق مشابه بشُرَط. العلامات الحقيقية نادراً ما تستعمل الشُرَط أو كلمات إضافية. irs-tax-refund.us وturbotax-secure-login.com وhrblock-refund-release.com كلها نطاقات مشابهة.
  • امتداد TLD غير قياسي. IRS تستعمل .gov فقط. Intuit وH&R Block تستعملان .com فقط. أي .us أو .help أو .co أو .shop أو .online لهذه العلامات هو تصيد.
  • طلب SSN، أو رقم التوجيه المصرفي، أو صورة رخصة القيادة في صفحة واحدة. العمليات الضريبية الحقيقية لا تجمع كل هذا أبداً في نموذج خارجي واحد. العملية الشرعية تحدث داخل برنامج الإعداد الذي تثق به أصلاً.
  • بطاقات هدايا، أو تحويل بنكي، أو عملات رقمية، أو "رسوم معالجة" كوسيلة دفع. دفعات الضرائب الفيدرالية تستعمل IRS Direct Pay أو EFTPS أو معالجات البطاقات أو الشيك. لا شيء غير ذلك.
  • تهديدات بالاعتقال أو الترحيل أو سحب الرخصة. التحصيل الحقيقي لـ IRS يتدرج خلال شهور بالكتابة. لا يحدث في مكالمة هاتفية.
  • أخطاء إملائية أو صياغة غريبة. "استردادك يجري معالجته حالياً"، "تأكّيد الحساب"، "Internal Revneue Service" كلها ظهرت في حملات حقيقية.

روتين التحقق في عشر ثوانٍ لأي رسالة مرتبطة بالضرائب

طبّقه على كل بريد ورسالة نصية ومكالمة قبل أن تتصرف.

  1. توقّف عشر ثوانٍ. الإلحاح هو السلاح الرئيسي للاحتيال. أبطئ. لا شيء يتعلق بالضرائب يستحق فعلاً قراراً في ستين ثانية.
  2. انظر إلى عنوان المرسل الكامل (لا إلى الاسم الظاهر فقط). "IRS" كاسم ظاهر مع irs-notice@verify-portal.com كعنوان فعلي هو تصيد.
  3. انظر إلى الرابط دون النقر. مرّر فوقه على سطح المكتب، اضغط لفترة طويلة على الهاتف. الرابط الحقيقي سيظهر. إن لم يكن irs.gov أو intuit.com أو hrblock.com، فعامله مزيفاً.
  4. أغلق الرسالة وتحقق مباشرةً. افتح تبويب متصفح جديد. اكتب بنفسك irs.gov/account أو turbotax.intuit.com أو hrblock.com. سجّل الدخول. إن كانت المشكلة حقيقية، فستكون في لوحة تحكمك.
  5. إن لم تكن متأكداً، الصق الرابط في أداة فحص أمان الروابط المجانية من SafeBrowz. ستحصل على حكم خلال ثانيتين.

ماذا تفعل إن كنت قد أدخلت معلومات في موقع مزيف بالفعل

إن قرأت هذا وتذكّرت لحظة قريبة، فهذا ترتيب الخطوات.

  • إن أدخلت تفاصيل البطاقة: جمّد البطاقة فوراً من تطبيق بنكك. اطلب بطاقة بديلة. قدّم اعتراضات على أي رسوم غير مألوفة. في الولايات المتحدة، تغطي Regulation E بطاقات الخصم إن أُبلِغ عنها خلال 60 يوماً؛ بطاقات الائتمان عادةً محمية لفترة أطول بموجب Fair Credit Billing Act.
  • إن أدخلت SSN أو تاريخ ميلاد أو تفاصيل توجيه مصرفية: قدّم إقرار سرقة هوية إلى IRS على irs.gov/Form-14039. اطلب IP PIN على irs.gov/ippin. اطلب نسخة مجانية من سجل الأجور والدخل على irs.gov/transcripts لترى ما أُبلِغ عنه باسمك.
  • جمّد ائتمانك لدى المكاتب الثلاثة: Equifax (equifax.com/personal/credit-report-services)، وExperian (experian.com/freeze)، وTransUnion (transunion.com/credit-freeze). كل تجميد مجاني ويمكن رفعه خلال دقائق حين تحتاج إلى ائتمان.
  • قدّم خطة الاسترداد لدى FTC على identitytheft.gov. تولّد خطوات استرداد مخصصة بناءً على ما تكشّف، وتشمل إقرارات مملوءة مسبقاً.
  • قدّم بلاغاً على ic3.gov (مركز شكاوى جرائم الإنترنت لدى FBI) كي تتغذّى به التحقيقات الفيدرالية.
  • إن جرى اختراق حسابك على TurboTax أو H&R Block أو غيرهما من برامج الإعداد: سجّل الدخول مباشرةً (لا تستخدم الرابط في بريد التصيد)، غيّر كلمة السر، فعّل التحقق بخطوتين، واتصل بخط الاحتيال لدى مقدّم الخدمة. TurboTax: 1-800-944-8596. H&R Block: 1-800-472-5625.
  • إن قُدِّم إقرار احتيالي باسمك: قدّم إقرارك الحقيقي على ورق (نعم، ورق) مع نموذج 14039. أرسله بالبريد إلى العنوان الموجود في تعليمات النموذج. توقّع تأخيرات معالجة بأشهر بينما تعمل IRS على القضية. لـ IRS وحدة متخصصة لحماية الهوية على 1-800-908-4490.

كيف تُبلِّغ عن كل تنويع

  • رسائل تصيد تنتحل IRS أو TurboTax أو H&R Block: أعد توجيهها (مع كامل ترويسات الرسالة) إلى phishing@irs.gov. ثم احذفها.
  • مكالمات هاتفية لانتحال IRS: بلّغ عبر نموذج "Reporting IRS Impersonation Scams" لدى TIGTA على tigta.gov. وبلّغ أيضاً FTC على reportfraud.ftc.gov.
  • رسائل تصيد نصية: أعد توجيه الرسالة إلى 7726 (تُهجَّى SPAM على لوحة مفاتيح الهاتف)، فيتم توجيهها إلى مشغّلك. ثم بلّغ على reportfraud.ftc.gov.
  • سرقة هوية (SSN مستعمل لتقديم إقرار احتيالي): نموذج 14039 إلى IRS، إضافةً إلى خطة الاسترداد لدى FTC على identitytheft.gov.
  • تبليغ عام عن خسائر احتيالية: FBI IC3 على ic3.gov لأي حالة تتضمن خسارة مالية أو نشاطاً إلكترونياً.
  • BBB Scam Tracker: قدّم بلاغاً على bbb.org/scamtracker لإضافة القضية إلى قاعدة بيانات Better Business Bureau العامة (مفيد لتحذير الآخرين في منطقتك).

آخر تحديث 2026-05-30

ملاحظة تحريرية حول المصادر: التنويعات السبع الواردة في هذا الدليل أوصاف مركّبة من حملات حقيقية وُثّقت في 2024 و2025 ضمن قائمة IRS Dirty Dozen 2024، وبرنامج IRS لتلقي بلاغات phishing@irs.gov، والمفتش العام للخزانة لإدارة الضرائب (TIGTA)، وبيانات FTC Consumer Sentinel Network لعام 2024 (الصادرة في فبراير 2025)، وتقرير FBI Internet Crime Report لعام 2024 (الصادر في أبريل 2025)، وتقارير Krebs on Security، وقاعدة BBB Scam Tracker. نطاقات المرسل المحددة، والروابط المشابهة، والمبالغ في الأمثلة توضيحية للنمط، لا واقعة بعينها. قنوات الاسترداد الحقيقية (phishing@irs.gov ونموذج 14039 وIP PIN وidentitytheft.gov وic3.gov وTIGTA و7726 وBBB Scam Tracker) رسمية وحالية وقت النشر. يجب على المستخدمين التحقق من كل قناة ومن أي رقم هاتف بأنفسهم قبل التصرف. TurboTax وH&R Block وCash App Taxes وTaxSlayer وTaxAct مذكورة باعتبارها العلامات الأكثر انتحالاً، وليست منتسبة إلى SafeBrowz ولا راعية له.

كيف يصدّ SafeBrowz هذا التهديد

يعتمد SafeBrowz على بنية كشف ثلاثية الطبقات: محلي + واجهات + ذكاء اصطناعي.

  • الطبقة الأولى، الكشف المحلي: أكثر من 60 نمطاً لعناوين URL وأكثر من 550 توقيعاً مرتبطاً بعلامات تجارية محددة، تعمل مباشرةً داخل متصفحك. هذه هي الطبقة التي تلتقط turbotax-secure-login.com وhrblock-refund-release.com وirs-tax-refund.us وirs-stimulus-claim.us وما يشبهها من تنويعات الشُرَط واللواحق وقت النقر، قبل أن يُحمَّل نموذج جمع بيانات الاعتماد. توقيعات Intuit وTurboTax وH&R Block وCash App وIRS ومئات العلامات الأخرى مدمَجة في الإضافة.
  • الطبقة الثانية، فحوصات الواجهات: Google Safe Browsing وPhishTank وURLhaus تتقاطع من جانب الخادم. تلتقط نطاقات التصيد المعروفة لحظة الإبلاغ عنها في أي مكان من العالم، بما في ذلك النطاقات المشابهة العابرة في موسم الضرائب التي تُحرَق وتُستبدل كل بضعة أيام.
  • الطبقة الثالثة، الفحص العميق بالذكاء الاصطناعي (Premium): تحليل المحتوى يرصد صفحات مشابهة جديدة لم تظهر بعد في أي قائمة حظر. صفحة دخول TurboTax مزيفة أُطلِقت قبل ساعتين، أو نسخة مزيفة جديدة من IRS لم يُبلَّغ عنها في أي مكان. تعمل بأكثر من 100 لغة، ومفيدة للتصيد الضريبي بالإسبانية المستهدف للمجتمعات اللاتينية.

توقيعات الكشف مشتقّة من أبحاث استخبارات التهديدات وقاعدة العلامات التجارية الداخلية لدينا، لا من بيانات تصفح المستخدمين. SafeBrowz لا يُخزِّن سجلات تصفح للمستخدمين.

احجب صفحات TurboTax وH&R Block وIRS المزيفة قبل أن تُحمَّل

SafeBrowz إضافة متصفح مجانية لـ Chrome وFirefox وEdge، تحجب صفحات دخول إعداد الضرائب المزيفة، وبوابات IRS المزيفة، والمواقع المشابهة لـ"حالة الاسترداد" قبل أن تُحمَّل. أكثر من 550 علامة تجارية في قاعدة البيانات، منها Intuit وTurboTax وH&R Block وCash App Taxes وTaxSlayer وTaxAct وIRS. تحليل المحتوى بالذكاء الاصطناعي يلتقط النطاقات المشابهة الجديدة في موسم الضرائب بأكثر من 100 لغة. مجاناً للأبد، بلا حاجة لحساب. افحص أي رابط ضريبي أولاً عبر أداة فحص أمان الروابط المجانية.

Chrome أضف إلى Chrome Firefox أضف إلى Firefox Edge أضف إلى Edge

الأسئلة الشائعة

هل تتصل IRS أو ترسل رسالة نصية أو بريداً إلكترونياً أولاً؟

لا. تبدأ IRS التواصل بالبريد الورقي، في كل مرة. إشعار من سلسلة CP أو LT أو 5071C يصل إلى العنوان المسجّل في إقرارك الأخير. وفقط بعد تجاهل الإشعارات المكتوبة، يتابع موظفو IRS في بعض حالات التحصيل المحدودة عبر الهاتف، وحتى في تلك الحالات لا يطالبون أبداً ببطاقات هدايا، ولا يهددون بالاعتقال، ولا يطلبون تفاصيل مصرفية على الخط. إن كان تواصلك الأول رسالة نصية أو بريداً إلكترونياً أو مكالمة تطالب بالدفع، فهو تصيد أو احتيال هاتفي. أعد توجيه الرسائل إلى phishing@irs.gov. أبلغ عن المكالمات لـ TIGTA على tigta.gov.

كيف أعرف إن كان بريد TurboTax حقيقياً؟

رسائل Intuit الحقيقية تأتي من @intuit.com أو @turbotax.intuit.com وتربط فقط إلى intuit.com أو turbotax.intuit.com. لا يوجد turbotax-secure.com، ولا turbotax-verify.help، ولا intuit-account-unlock.co. سير العمل الأكثر أماناً هو تجاهل رابط البريد كلياً، وفتح تبويب متصفح جديد، وكتابة turbotax.intuit.com يدوياً، وتسجيل الدخول مباشرةً. أي إشعار حقيقي للحساب سيكون مرئياً في لوحة التحكم. إن كان ثمة خطأ حقيقي، فالرسالة داخل التطبيق هي مصدر الحقيقة.

ما نموذج IRS 14039 ومتى أقدّمه؟

نموذج 14039 هو إقرار سرقة هوية IRS. قدّمه حين تعتقد أن SSN الخاص بك استُخدم لتقديم إقرار ضريبي احتيالي، أو حين ترفض IRS إقرارك الحقيقي لأن إقراراً قد قُدّم سابقاً تحت SSN الخاص بك. يمكنك تقديمه إلكترونياً عبر identitytheft.gov (الذي يولّد نسخة مملوءة مسبقاً)، أو إرساله بالبريد إلى العنوان الموجود في تعليمات النموذج. اقرنه بطلب IP PIN على irs.gov/ippin كي تُحجَب أي إقرارات احتيالية مستقبلية تلقائياً.

ما IP PIN وكيف أحصل عليه؟

رقم تعريف شخصي لحماية الهوية (IP PIN) رقم من ستة أرقام تخصصه لك IRS ويجب أن يرافق إقرارك الضريبي الحقيقي. أي إقرار يُقدَّم تحت SSN الخاص بك بلا IP PIN صحيح يُرفَض تلقائياً. يمكن لأي دافع ضرائب طلبه (لا فقط ضحايا سرقة الهوية) على irs.gov/ippin. يتغيّر الرقم كل عام ويُبلَّغ به عبر حسابك الإلكتروني لدى IRS. هو أكثر حماية فعّالة ضد تنويع سرقة هوية W-2.

كيف أبلّغ عن رسالة نصية مزيفة من H&R Block؟

أعد توجيه الرسالة إلى 7726 (الحروف تُهجَّى SPAM على لوحة مفاتيح الهاتف)، فيتم توجيهها إلى نظام مشغّلك للإبلاغ عن الرسائل المزعجة. أبلغ أيضاً على reportfraud.ftc.gov، وفكّر في إرسال تفاصيل الرسالة إلى H&R Block على security@hrblock.com (الصندوق القياسي لاستقبال إساءة استخدام العلامة). لا تنقر الرابط أولاً "لترى ما هو"، ولا ترد STOP، لأن ذلك يؤكد أن الرقم نشط. فقط أعد التوجيه، ثم احذف.

أعطيت SSN لموقع IRS مزيف. ما أول شيء أفعله اليوم؟

جمّد ائتمانك لدى المكاتب الثلاثة أولاً (Equifax وExperian وTransUnion). مجاني ويستغرق نحو عشر دقائق إجمالاً. ثم اطلب IP PIN من IRS على irs.gov/ippin كي يُرفَض أي إقرار ضريبي احتيالي تحت SSN الخاص بك. قدّم نموذج 14039 (إقرار سرقة الهوية) وأكمل خطة الاسترداد لدى FTC على identitytheft.gov، التي تولّد خطوات شخصية بناءً على ما تكشّف. وقدّم بلاغاً على ic3.gov. كلما كانت التجميدات وIP PIN في مكانها أسرع، صغرت النافذة المتاحة للمهاجم لاستخدام البيانات.

مقالات SafeBrowz ذات صلة