اقتصاديات التصيد الاحتيالي عبر الاستضافة المجانية
قبل خمس سنوات، كان المهاجم الذي يريد إنشاء موقع مزيف مثل ledger-live-update.com مضطراً لتسجيل النطاق وإعداد DNS وتكوين SSL ونشر خادم. كانت التكلفة الإجمالية تتراوح بين 10 و30 دولاراً ويوماً أو يومين من وقت الإعداد. لم تكن التكلفة عائقاً في حد ذاتها، لكن كل خطوة تركت أثراً يمكن للماسحات الضوئية تتبعه. سجلات WHOIS أظهرت توقيت التسجيل. شهادات SSL ظهرت في سجلات شفافية الشهادات. سجلات DNS كانت عامة. بنت شركات الكشف شهرتها بأكملها على هذه الإشارات تحديداً.
كسرت منصات الاستضافة المجانية هذا النموذج الكشفي بشكل مفاجئ. يُتاح النطاق الفرعي *.vercel.app في ثوانٍ. يشير سجل DNS إلى بنية تحتية Vercel، لا إلى عنوان IP يتحكم فيه المهاجم. شهادة SSL صادرة من Vercel لـ *.vercel.app وتُشارَك بين كل موقع آخر على المنصة. بحث WHOIS يعيد بيانات Vercel، لا بيانات المهاجم. كل إشارة خارجية تستخدمها الماسحات للإشارة إلى نطاق جديد مخفية خلف المنصة.
الأمر ذاته ينطبق على Netlify (*.netlify.app) وCloudflare Pages (*.pages.dev) وGitHub Pages (*.github.io) وSurge (*.surge.sh) وFirebase (*.web.app) وRender (*.onrender.com) وعشرات المنصات الأصغر. كل واحدة منها توفر استضافة مجانية على نطاق فرعي مشترك يمكن لأي محتال المطالبة به في وقت أقل مما يستغرق تحضير القهوة.
كيف يبدو إعداد التصيد الاحتيالي في الواقع
النمط الأكثر شيوعاً هو موقع مساعدة محفظة أجهزة مزيف. يسجل المحتال شيئاً مثل hardware-identity-ledger.vercel.app أو ledger-recovery-app.vercel.app أو trezor-verify.vercel.app. الصفحة نسخة طبق الأصل من تدفق الإعداد الحقيقي لـ Ledger Live أو Trezor Suite. تطلب من المستخدم "التحقق" أو "الاستيراد" من محفظته عن طريق كتابة عبارة الاسترداد المكونة من 24 كلمة في نموذج. يرسل النموذج هذه الكلمات إلى خادم يتحكم فيه المهاجم. في غضون دقائق، يكون المهاجم قد استورد المحفظة على جهازه الخاص واستنزف كل أصل يمكنه إيجاده.
النوع الذي يستهدف المحافظ البرمجية يستخدم الحيلة ذاتها لكن يتخطى نموذج عبارة الاسترداد. بدلاً من ذلك، يعرض زر "ربط المحفظة" الذي يُشغّل معاملة Web3. عادةً ما تكون المعاملة setApprovalForAll أو توقيع eth_sign على كتلة بيانات غامضة، أو موافقة Permit2 غير محدودة. المستخدمون الذين ينقرون "تأكيد" دون قراءة المحاكاة يمنحون المهاجم إذناً بتحريك رموزهم في أي وقت مستقبلاً.
رأينا مؤخراً أيضاً روابط *.vercel.app تُستخدم لإنشاء "شارات هوية محافظ أجهزة" مزيفة — صفحات تدّعي التحقق من حساب تويتر أو X عن طريق لمس جهاز المحفظة. تبدو هذه غير ضارة للوهلة الأولى لأنها تطلب توقيعاً لا عبارة استرداد، لكن حمولة التوقيع كثيراً ما تكون مصممة للسماح بعمل ضار مستقبلي في مكان آخر. الصفحة نفسها لا تفعل شيئاً مفيداً. التوقيع الذي تلتقطه هو ما يسبب الضرر.
لماذا يشارك حتى موظفو العملات المشفرة الشرعيون هذه الروابط
هذا هو الجزء الذي يفاجئ معظم الناس. نرى موظفين موثقين في شركات محافظ أجهزة كبرى ينشرون روابط *.vercel.app من حساباتهم الشخصية كمشاريع جانبية أو تجارب هاكاثون أو نماذج أولية. هم ليسوا خبيثين. النية حقيقية لمشاركة شيء بنوه. المشكلة هي السابقة.
عندما يشارك مستخدم تويتر بشارة Ledger موثقة أو علامة موظف Trezor رابط hardware-identity.vercel.app، يتعلم المستخدم الذي يقرأ التغريدة درساً محدداً: "روابط Vercel آمنة إذا شاركها موظف Ledger". هذا هو الدرس الذي يعتمد عليه المهاجم. في الأسبوع التالي تماماً، يسجل المهاجم hardware-identity-app.vercel.app، وينشر المحتوى ذاته من حساب مزيف يستخدم علامة تجارية مشابهة، وينقر المستخدم لأنه تعلم بالفعل الوثوق بهذا النمط.
الحل على الجانب الشرعي بسيط. يجب على شركات محافظ الأجهزة وبروتوكولات DeFi الكبرى نشر جميع الأدوات الرسمية على نطاقاتها الفرعية الخاصة، لا على استضافة مجانية مشتركة. verify.ledger.com قابل للتحقق لأن المستخدم يمكنه التحقق من النطاق. hardware-identity.vercel.app غير قابل للتحقق لأن أي شخص يمكنه نشر أي نطاق فرعي.
لماذا تفوت الماسحات وأدوات الثقة عادةً هذا النوع
تعمل معظم منتجات كشف التصيد الاحتيالي عن طريق البحث عن النطاق في قاعدة بيانات السمعة. بالنسبة لموقع مزيف على نطاق فرعي *.vercel.app، يعطي هذا البحث أحد إجابتين. إما أن البحث يتحقق من vercel.app نفسه، وفي هذه الحالة تكون النتيجة "موثوق، مزود استضافة شرعي كبير". أو يتحقق من hardware-identity-ledger.vercel.app تحديداً ويعيد "لا بيانات، لا تاريخ، ربما آمن". لا تُشير أي من الإجابتين إلى الصفحة كتصيد احتيالي.
الكشف الفعّال يجب أن ينظر في المحتوى، لا في النطاق. تحديداً، ثلاث إشارات مهمة. أولاً، هل تطلب الصفحة عبارة استرداد مكونة من 12 أو 24 كلمة. ثانياً، هل تتضمن الصفحة تدفق "ربط محفظة" يُشغّل setApprovalForAll أو موافقة Permit2 غير محدودة. ثالثاً، هل تعرض الصفحة أصول العلامة التجارية (شعار Ledger أو ثعلب MetaMask أو علامة Trezor) على نطاق لا يوجد في قائمة السماح الرسمية لتلك العلامة.
هذا هو منطق الكشف الذي تُشغّله إضافة SafeBrowz محلياً والذي تعرضه واجهة برمجة تطبيقات SafeBrowz لتطبيقات المحافظ ووكلاء الذكاء الاصطناعي. نتتبع أكثر من 500 علامة تجارية عبر أكثر من 100 لغة، بما في ذلك محافظ الأجهزة مثل Ledger وTrezor وTangem وOneKey وBitBox وColdcard وNGRAVE وSecuX وKeepKey وEllipal. عندما يظهر أي من أسماء العلامات التجارية هذه على نطاق فرعي استضافة مجانية غير موجود في قائمة السماح الرسمية للعلامة، تُوضع الصفحة كمحاولة انتحال هوية علامة تجارية قبل أن تتصل محفظة المستخدم.
هل vercel.app آمن؟ هل Vercel شرعي؟
الإجابة الصادقة هي: Vercel نفسها منصة استضافة شرعية وممولة جيداً تستخدمها آلاف الشركات الحقيقية، ومعظم روابط *.vercel.app ليست تصيداً احتيالياً. المنصة آمنة بنفس الطريقة التي يكون فيها Gmail آمناً. المنصة نفسها ليست التهديد. التهديد هو أن أي شخص يمكنه المطالبة بنطاق فرعي *.vercel.app في خمس دقائق، تماماً كما يمكن لأي شخص إنشاء عنوان Gmail. لذا فإن السؤال "هل vercel.app آمن" له نفس إجابة "هل عناوين Gmail آمنة": المنصة بخير، المرسل المحدد هو ما يجب عليك التحقق منه.
بالنسبة لنشاط العملات المشفرة تحديداً، القاعدة أكثر صرامة. إذا كان رابط *.vercel.app يطلب منك استيراد محفظة أو التوقيع على معاملة أو إدخال عبارة استرداد، فاعتبره خبيثاً بشكل افتراضي. العلامات التجارية الشرعية لمحافظ الأجهزة وبروتوكولات DeFi لا تنشر تدفقات محافظ الإنتاج على استضافة مجانية مشتركة. تنشر على نطاقاتها الجذرية الخاصة حيث يمكن التحقق من شهادة SSL وسجلات DNS وأثر الملكية. رابط *.vercel.app الذي يجري عمليات محفظة يكاد يكون دائماً إعداداً للتصيد الاحتيالي، بغض النظر عما يدّعيه نص الصفحة.
إذا وجدت رابط Vercel معيناً تشك في كونه تصيداً احتيالياً وتريد الإبلاغ عنه، فإن Vercel تدير تدفق الإبلاغ عن الإساءة على vercel.com/abuse. يمكن الإبلاغ عن صفحات Cloudflare على cloudflare.com/abuse. تذهب تقارير Netlify إلى abuse@netlify.com.
علامات تحذيرية يمكن التحقق منها في 5 ثوانٍ
- ينتهي الرابط بـ .vercel.app أو .netlify.app أو .pages.dev أو .github.io أو .web.app أو .surge.sh أو .onrender.com. هذه منصات استضافة مجانية. الصفحة الرسمية لأي محفظة أجهزة أو بورصة أو علامة تجارية رئيسية لا تُستضاف أبداً على بنية تحتية مشتركة مجانية. الصفحة الرسمية على نطاق العلامة الجذري الخاص أو نطاق فرعي منه.
- تطلب الصفحة عبارة استرداد مكونة من 12 أو 24 كلمة. لا توجد محفظة شرعية تطلب عبارة الاسترداد خارج واجهة المستخدم الخاصة بها في وضع عدم الاتصال. إذا كانت صفحة ويب تطلبها، فهي صفحة تصيد احتيالي بغض النظر عن مدى جودة تصميمها.
- تطلب الصفحة "التحقق" أو "استيراد" محفظتك للحصول على إسقاط جوي أو مكافأة أو شارة. هذا محفز هندسة اجتماعية شائع. الإسقاطات الجوية الشرعية لا تتطلب استيراد محفظة على موقع طرف ثالث.
- يُشغّل تدفق ربط المحفظة معاملة لا تفهمها. إذا أظهر النافذة المنبثقة للمحفظة
setApprovalForAllأو توقيعeth_signلسداسية عشرية غامضة أو Permit2 مع منفذ غير محدود، فاعتبره خبيثاً بشكل افتراضي. اقرأ المحاكاة. ارفض إذا كان أي شيء غير واضح. - تتم مشاركة الصفحة في تغريدة أو رسالة مباشرة أو قناة Discord أو مجموعة Telegram بلغة إلحاح. "لديك 24 ساعة للتحقق." "ينتهي اللقطة في ساعتين." الإلحاح أداة تصيد احتيالي. العلامات التجارية الشرعية لا تعطي نوافذ مدتها ساعتان للنشاط الحقيقي.
ما يجب على علامات محافظ الأجهزة فعله
إذا كنت تعمل في علامة تجارية لمحافظ الأجهزة أو بروتوكول DeFi وتقرأ هذا، فإن الحل الأنظف هو أيضاً الأرخص. انشر جميع تجارب الموظفين وإرسالات هاكاثون وأدوات النماذج الأولية على نطاق فرعي تتحكم فيه. experimental.<brand>.com أو labs.<brand>.com أو verify.<brand>.com جميعها تعمل. احجز النطاقات الفرعية. أضفها إلى سجلات DMARC وSPF وDKIM. درّب كل موظف على استخدامها لأي مشروع جانبي يُشارَك علناً.
الفائدة على جانب المستخدم هائلة. بمجرد أن تنشر العلامة التجارية باستمرار على نطاقها الخاص، يمكن تدريب المستخدمين على التحقق حسب النطاق. تصبح "تحقق دائماً من أن الرابط ينتهي بـ <brand>.com" قاعدة قابلة للاستخدام.
كيف يتعامل SafeBrowz مع التصيد الاحتيالي عبر الاستضافة المجانية
تتعامل إضافة SafeBrowz مع أي رابط على نطاق فرعي استضافة مجانية يحتوي على كلمة مفتاحية لعلامة تجارية متتبعة كصفحة عالية المخاطر. تُوقف الصفحة حتى يُفحص محتواها بحثاً عن مؤشرات انتحال هوية العلامة التجارية. إذا عرضت الصفحة شعار Ledger أو طلبت عبارة استرداد أو حاولت ربط محفظة يطلب موافقة عالية المخاطر، تُحجب الصفحة بتحذير ملء الشاشة قبل أن يتمكن المستخدم من التفاعل.
يعمل الكشف على كل متصفح Chromium (Chrome وEdge وBrave وOpera وVivaldi وArc) وعلى Firefox لسطح المكتب وFirefox لنظام Android وعلى Microsoft Edge لنظام Android. الطبقة المجانية تغطي كل ما سبق. تضيف طبقة Premium مسحاً عميقاً بالذكاء الاصطناعي لأنماط انتحال هوية العلامة التجارية التي لا تغطيها القواعد المحلية بعد، بالإضافة إلى كشف توقيع JavaScript لأدوات استنزاف المحافظ (Inferno وPink وAngel وMS وAtomic) التي تلتقط رمز تشغيل المعاملة الفعلي.
يُكشف أيضاً عن محرك الكشف ذاته كواجهة برمجية عامة على api.safebrowz.com/v1/detect، لذا يمكن لتطبيقات المحافظ ووكلاء الذكاء الاصطناعي التحقق من أي رابط قبل السماح للمستخدم بالنقر.
الصورة الأكبر
التصيد الاحتيالي عبر الاستضافة المجانية ليس مشكلة Vercel أو Netlify. إنه مشكلة هيكلية مع النطاقات الفرعية المشتركة كأساس. كل منصة تسمح للمستخدمين المجهولين بالمطالبة بنطاق فرعي على نطاق أصلي موثوق تخلق سطح هجوم للتصيد الاحتيالي، بغض النظر عن مدى شرعية النطاق الأصلي. Cloudflare Workers وReplit وRender وFly.io وAWS Amplify — القائمة طويلة وتزداد طولاً. يجب على مستخدمي العملات المشفرة التعامل مع أي رابط على أي من هذه المنصات بنفس الشك الذي سيطبقونه على نطاق .xyz جديد.
إذا طلب منك محفظة أجهزة أو بورصة أو بروتوكول DeFi كبير القيام بشيء يتعلق بأموالك، يجب أن ينتهي الرابط بالنطاق الجذري الخاص بتلك العلامة التجارية. ليس نطاقاً فرعياً مجانياً يحاكيها. ليس رابطاً مختصراً. ليس رمز QR من غريب. النطاق الجذري الخاص بالعلامة التجارية. هذه هي خطوة التحقق الوحيدة القابلة للتوسع.
احجب صفحات التصيد الاحتيالي عبر الاستضافة المجانية قبل النقر
SafeBrowz إضافة متصفح مجانية لـ Chrome وFirefox وEdge تحجب صفحات محافظ الأجهزة المزيفة ونماذج تسجيل الدخول المزيفة ونطاقات أدوات استنزاف العملات المعروفة في الوقت الفعلي. تعمل على النطاقات الفرعية للاستضافة المجانية وتسجيلات النطاقات الجديدة ونطاقات الاحتيال المؤقتة على حد سواء. تضيف طبقة Premium كشف JavaScript لأدوات استنزاف المحافظ بسعر 14.99 دولاراً سنوياً. الحماية الأساسية مجانية إلى الأبد.