الانتقال إلى المحتوى الرئيسي
العودة إلى الأخبار
عندما لا تُتّبع تقارير الإساءة — تقاعس الجهة المسجلة عن الاستجابة
تحقيق • مدة القراءة: 15—18 دقيقة

عندما لا تُتبع تقارير الإساءة: كيف يصبح مسجّلو النطاقات شركاءً صامتين في الجرائم الإلكترونية

نرسل تقارير عن الانتهاكات مدعومة بالأدلة — نتائج الكشف من VirusTotal، ولقطات شاشة، وبيانات القوائم السوداء، ونتائج فحوصات برامج مكافحة الفيروسات. وتتلقى جهات التسجيل هذه التقارير دون أن تتخذ أي إجراء. وتظل بعض نطاقات التصيد الاحتيالي قائمة 1,788 ساعة و 13 تقريرًا منفصلاً. هذا ليس عطلًا في النظام — بل هو خيار تصميمي. وإليكم البيانات.

النظام المعطوب

يتبع كل تقرير عن انتهاك نرسله بروتوكولاً واضحاً: عنوان URL للنطاق، والفئة (التصيد الاحتيالي، برامج استنزاف العملات المشفرة، الكازينوهات المزيفة)، وعدد حالات الكشف على VirusTotal، والأدلة المصورة (لقطات الشاشة)، وحالة الإدراج في القائمة السوداء. هذه ليست شكاوى غامضة — بل هي ملفات أدلة جنائية. ومع ذلك، يظل نطاق تلو الآخر متاحاً على الإنترنت لمدة أسابيع وشهور بعد التقرير الأول.

لا يوجد معيار عالمي يحدد كيفية تعامل مسجلي النطاقات مع بلاغات إساءة الاستخدام. لا توجد اتفاقية مستوى الخدمة (SLA). ولا يوجد وقت استجابة إلزامي. ولا توجد مقاييس للمساءلة. ويقرر كل مسجل بنفسه ما إذا كان سيقوم بالتعامل مع النطاق الذي تم الإبلاغ عنه من قبل 16 محركًا لمكافحة الفيروسات يستحق الاهتمام — أو ردًا نموذجيًّا وإغلاق التذكرة.

1,788 ساعة
payscrow[.]bet — لا يزال نشطًا منذ 75 يومًا على الرغم من وجود 6 بلاغات و16 حالة اكتشاف عبر VirusTotal. مسجل النطاق: Tucows / Identity Digital.

من الذي يتفوق على 16 محركًا لمكافحة الفيروسات؟

هذا هو السؤال الذي لا يرغب أي مسجل في الإجابة عليه. متى كاسبرسكي، ESET، فورتينيت، بيت ديفندر، صوفوس، G-Data وعشرة مزودي خدمات أمنية آخرين يصنفون نطاقًا ما على أنه ضار على موقع VirusTotal — فيتخذ فريق مكافحة إساءة الاستخدام التابع لمسجل النطاقات قرارًا "لا حاجة لاتخاذ أي إجراء" — من الذي أجرى تلك المكالمة بالضبط؟

تأملوا مدى سخافة الأمر: محلل واحد معني بحالات إساءة الاستخدام في إحدى شركات التسجيل يتجاوز في قراره المعلومات الاستخباراتية المشتركة المتعلقة بالتهديدات الصادرة عن 16 محركًا مستقلًا لمكافحة الفيروسات، حيث يمتلك كل منها مليارات من نقاط البيانات، ومختبرات بحثية مخصصة، وعقودًا من الخبرة. وعلى أي أساس؟ ما هي البنية التحتية للمسح التي يستخدمها فريق مكافحة إساءة الاستخدام في NiceNIC أو GlobalDomainGroup والتي تتفوق على تلك الخاصة بشركة كاسبرسكي؟

الجواب بسيط: لا شيء. إنهم لا يقومون بالمسح. ولا يقومون بالتحقق. فإما أنهم لا يلقون نظرة على التقرير على الإطلاق، أو أنهم يعتمدون على حساب مالي: النطاق النشط يدر إيرادات؛ أما النطاق المعلق فلا يدر أي إيرادات.

farewex[.]com — تم إرسال 13 بلاغًا عن إساءة الاستخدام. 13 حالة اكتشاف عبر VirusTotal. ظل النشاط مستمرًا لمدة 1,352 ساعة (56 يومًا). تلقى مسجل النطاق (apiname.com / Verisign) أدلة من شركات برامج مكافحة الفيروسات، ومنصات استخبارات التهديدات، وقسم الامتثال التابع لـ ICANN. لا يزال النطاق نشطًا. من الذي قرر أن هذا أمر مقبول؟

دعونا نوضح ما يعنيه ذلك: قام أحد الموظفين في الجهة المسجلة بفحص الأدلة المقدمة من 13 شركة أمنية مستقلة و13 تقريرًا منفصلاً عن حالات إساءة الاستخدام — وقرر أن تقديره الشخصي هو الأفضل. هذا ليس خطأً. بل هو سياسة متبعة.

لا توجد سلطة يحترمونها

اذكر اسم شركة واحدة متخصصة في برامج مكافحة الفيروسات تعتبرها جهات التسجيل مرجعاً موثوقاً. لن تستطيع ذلك — لأنه لا توجد شركة من هذا القبيل.

  • كاسبرسكي — هل يكتشف النطاق؟ تم تجاهله.
  • ESET — هل يُعتبر ذلك محاولة تصيد؟ تم تجاهله.
  • فورتينيت — هل يتم حظره على مستوى الشبكة؟ تم تجاهله.
  • BitDefender — تحذير لملايين المستخدمين؟ تم تجاهله.
  • Google Safe Browsing — أكبر نظام أمان على الإنترنت في العالم؟ ما زال يُهمل.

هناك لا يوجد حد للكشف وهو ما يُلزم مسجّل النطاقات باتخاذ إجراء. ليس 5 محركات بحث. ولا 10. ولا 16. فقد يتم وضع علامة تحذير على نطاق ما من قِبل جميع مزودي برامج مكافحة الفيروسات على موقع VirusTotal، ويظهر في قوائم سوداء متعددة، ويتم تقديم عشرات البلاغات عن إساءة استخدامه — ومع ذلك، لا يقع على عاتق مسجّل النطاقات أي التزام قابل للتنفيذ لاتخاذ أي إجراء.

هذه ليست ثغرة في النظام. هذا هو النظام. لقد نجحت صناعة تسجيل النطاقات في تجنب أي معيار ملزم من شأنه أن يُلزمها باحترام النتائج التي يتوصل إليها باحثو الأمن أو مزودي برامج مكافحة الفيروسات أو منصات استخبارات التهديدات. فعندما يكتشف 16 محركًا من أصل 70 نطاقًا ما — فهذا ليس مجرد «احتمال». بل هو إجماع. ومع ذلك، فإن فريق مكافحة إساءة الاستخدام التابع لمسجل النطاقات، الذي لا يمتلك أي بنية تحتية للمسح ويحظى بمصلحة مالية في إبقاء النطاق نشطًا، يتجاهل هذا الإجماع.

0
عدد شركات برامج مكافحة الفيروسات التي تعمل شركات التسجيل التابعة لها على تسجيل نتائجها ملزم للاتخاذ إجراءات بشأنها. لا «كاسبرسكي». ولا «إيسيت». ولا «جوجل». لا شيء على الإطلاق.
جدار الصمت في القطاع — أكثر من 50,000 نطاق تم الإبلاغ عنها وما زالت متاحة على الإنترنت، تم حجبها من قبل NiceNIC وTucows وGlobalDomainGroup وapiname وPorkbun وDynadot وEndurance
تم تقديم أكثر من 50,000 بلاغ عن إساءة الاستخدام. ولا يزال جدار المسجل صامدًا. وتظل النطاقات متاحة على الإنترنت.

الحافز المالي

تفرض شركات تسجيل النطاقات رسومًا سنوية على كل نطاق. وكل تعليق للنطاق يمثل خسارة في الإيرادات. وكل عملية إزالة للنطاق تنطوي على مخاطر استرداد الأموال. وهناك حافز مالي مباشر وقابل للقياس للحفاظ على النطاقات نشطة — ولا توجد عقوبة مالية في حالة تجاهل بلاغات إساءة الاستخدام.

ولكن هذا لا ينطبق على جميع مزودي البنية التحتية. Cloudflare، على سبيل المثال، تعالج بلاغات الإساءة بكفاءة ولا تحقق إيرادات من تسجيلات النطاقات بنفس الطريقة. وهذا التمييز مهم: فعندما تستفيد الشركة التي تعالج بلاغك من بقاء النطاق متاحًا على الإنترنت، يكون تضارب المصالح هيكليًّا.

الأدلة: بيانات حية مستمدة من تقاريرنا

فيما يلي مثال مأخوذ من سجل تصعيد حالات الإساءة لشهر مارس 2026. يمثل كل إدخال نطاقًا حقيقيًّا للتصيد الاحتيالي تم لا يزال نشطًا حتى وقت كتابة هذا التقرير، على الرغم من التقارير السابقة وحالات الكشف المؤكدة.

المجالالتقاريرالنشاط (بالساعات)VTBLإساءة استخدام نظام التسجيل
payscrow[.]bet61,788 ساعة16Tucows
6chicken9[.]top41,783 ساعة41القدرة على التحمل
apphyena[.]trade21,781 ساعة3NiceNIC
airdrop[.]autos31,364 ساعة41Gname
amlstats[.]com71,363 ساعة141Tucows
amlscore[.]info71,363 ساعة91Tucows
amlwallets[.]io41,363 ساعة101nic.io
aavleaderboard[.]assetavenue[.]capital21,359 ساعة1الهوية الرقمية
airdropchime[.]com21,359 ساعة1Namecheap
farewex[.]com131,352 ساعة13apiname.com
app[.]whitewhalesmeme[.]com41,330 ساعة14فيريساين
zordex[.]us31,314 ساعة14apiname.com
alhpatrademarket[.]com21,278 ساعة15GlobalDomainGroup
angelferno[.]com21,278 ساعة71NiceNIC
ansol[.]cc41,278 ساعة41NiceNIC
amltrackerbot[.]com21,278 ساعة61Tucows
amlstatement[.]info41,228 ساعة16بوركبون
a8vx[.]top21,049 ساعة16Dynadot
amlinfo[.]now21,033 ساعة2بوركبون
xwinner[.]cc41,026 ساعة14GlobalDomainGroup
xerowex[.]com61,021 ساعة14apiname.com
menty[.]sbs4985 ساعة16gen.xyz
perowex[.]com5971هـ14apiname.com
amlbot[.]im4965 ساعة6nic.im
3capitalstrading[.]com2879 هـ2GlobalDomainGroup
naebex[.]com5826 ساعة11PDR
casbatle[.]com2803h2NiceNIC
amlchecknow[.]digital2751 هـ6PDR
sollfalare[.]top2730 ساعة3القدرة على التحمل
marketcsgo[.]net2717 ساعة15GlobalDomainGroup
dinadrop[.]com2717 ساعة6GlobalDomainGroup
dotabuff[.]org2674 هـ2PIR
casesbattle[.]org2652 ساعة2PIR
763182819[.]top2618 ساعة15Gname
kahcas[.]com5539هـ14INWX
qizaro[.]cc5535 ساعة12GlobalDomainGroup
apexresolvefix[.]com2496 ساعة3كوزموتاون
amlriskscore[.]ru2448 ساعة1cctld.ru
patricksstash[.]to2427 ساعة2tonic.to
stashhpatrick[.]cc2427 ساعة5NiceNIC
stake2win[.]me2402h14domain.me
wazbee[.]me2388 ساعة16domain.me
dexscreener[.]at2328 ساعة16nic.at
2fa[.]walletpinet[.]com116فيريساين
appether[.]fi1131

VT = حالات الكشف التي سجلتها VirusTotal من بين حوالي 70 محركًا. "نشط" = عدد الساعات المنقضية منذ أول كشف في وقت الإبلاغ عن الحادثة. البيانات: سجل الإبلاغ عن حالات إساءة الاستخدام في PhishDestroy، 19–21 مارس 2026.

الأرقام لا تكذب

متوسط وقت النشاط

943 هـ

~39 يومًا في المتوسط عبر جميع المجالات التي تتوفر عنها ساعات نشاط معروفة

الحد الأقصى لوقت النشاط

1,788 ساعة

payscrow[.]bet — 75 يومًا، 6 تقارير، VT:16

إجمالي عدد التقارير المرسلة

150+

التقارير المجمعة عبر جميع المجالات في هذه العينة وحدها

النطاقات التي تبلغ قيمة VT فيها 10 أو أكثر

22

ما يقرب من نصف جميع النطاقات — التي تم التأكد من أنها خبيثة من قبل أكثر من 10 برامج مكافحة فيروسات، ولا تزال نشطة

المخالفون المتكررون: تفاصيل حسب المسجلين

ليست جميع شركات التسجيل متساوية. تُظهر بياناتنا أنماطًا واضحة — حيث تظهر بعض شركات التسجيل مرارًا وتكرارًا ضمن القوائم ذات الأداء الأسوأ.

apiname.com

  • farewex[.]com — 1,352 ساعة، 13 بلاغًا، VT:13
  • zordex[.]us — 1,314 ساعة، 3 بلاغات، VT:14
  • xerowex[.]com — 1,021 ساعة، 6 بلاغات، VT:14
  • perowex[.]com — 971 ساعة، 5 بلاغات، VT:14

4 نطاقات. الإجمالي: 4,658 ساعة من البنية التحتية الإجرامية. 27 بلاغًا تم تجاهلها.

GlobalDomainGroup

  • xwinner[.]cc — 1,026 ساعة، VT:14
  • marketcsgo[.]net — 717 ساعة، VT:15
  • dinadrop[.]com — 717 ساعة، VT:6
  • qizaro[.]cc — 535هـ، VT:12
  • csgomy[.]com — 356 ساعة، VT:9
  • tastdrop[.]com — 357 ساعة، عدد الزيارات: 2
  • casebatle[.]com — 327 ساعة، عدد الزيارات: 6
  • casebatltle[.]com — 327 ساعة، عدد المشاهدات: 2
  • chestix[.]net — 293 ساعة، VT:1
  • ggddrop[.]com — 365 ساعة، عدد المشاهدات: 1

10 مجالات. أكبر مجموعة منفردة في مجموعة البيانات الخاصة بنا. إنه نمط، وليس مصادفة.

Tucows / IdentityDigital

  • payscrow[.]bet — 1,788 ساعة، 6 بلاغات، VT:16
  • amlstats[.]com — 1,363 ساعة، 7 بلاغات، الزيارات: 14، الإحالات: 1
  • amlscore[.]info — 1,363 ساعة، 7 بلاغات، VT:9، BL:1
  • amltrackerbot[.]com — 1,278 ساعة، 2 بلاغات، VT:6، BL:1

Tucows: 22 بلاغًا إجمالاً، و5,792 ساعة من عمليات الاحتيال. تلقى موقع amlstats 7 بلاغات — بلاغ واحد كل أسبوع — وتمكن من التعامل معها جميعًا.

NiceNIC (nicenic.net)

  • apphyena[.]trade — 1,781 ساعة، عدد الزيارات: 3
  • angelferno[.]com — 1,278 ساعة، عدد الزيارات: 7، عدد المشاهدات: 1
  • ansol[.]cc — 1,278 ساعة، 4 بلاغات، VT:4، BL:1
  • casbatle[.]com — 803h، VT:2
  • stashhpatrick[.]cc — 427 ساعة، VT:5
  • casebaetle[.]com — 310 ساعة، عدد الزيارات: 2
  • casebattle[.]info — التقرير الأول، VT:1
  • appalmanak[.]live — التقرير الأول، VT:2

8 مجالات. ما يزيد عن 5,877 ساعة إجمالاً. تم التحقيق فيها سابقًا: تقييم NiceNIC — لم يتم العثور على أي استخدامات مشروعة.

بوركبون

  • amlstatement[.]info — 1,228 ساعة، 4 بلاغات، VT:16
  • amlinfo[.]now — 1,033 ساعة، 2 بلاغات، عدد الزيارات: 2
  • amlspace[.]com — 712 ساعة، بلاغان، VT:1

amlstatement[.]info: 16 حالة اكتشاف من قبل برامج مكافحة الفيروسات، و4 بلاغات، و51 يومًا من التواجد على الإنترنت. ما الذي اعتبره فريق مكافحة إساءة الاستخدام في Porkbun أمرًا مقبولًا؟

Dynadot

  • a8vx[.]top — 1,049 ساعة، بلاغان، VT:16
  • aave[.]events — التقرير الأول، VT:2، BL:1
  • aavetrading[.]net — التقرير الأول، VT:9

a8vx[.]top: تم رصد 16 حالة اختراق افتراضي (VT) و44 يومًا من النشاط الإجرامي. Dynadot هي شركة تسجيل معتمدة من ICANN.

domain.me

  • wazbee[.]me — 388 ساعة، عدد الزيارات: 16
  • stake2win[.]me — 402h، VT:14

سُجلت في كلا النطاقين 14–16 حالة اكتشاف من قبل برامج مكافحة الفيروسات. ولا يزال كلاهما نشطًا بعد التقرير الثاني.

الشركاء الصامتون في الجرائم الإلكترونية — مخطط شبكي يُظهر شركات التسجيل المتصلة بـ Hub ABUSE IGNORED مع ساعات من التقاعس عن اتخاذ أي إجراء
كل عقدة هي جهة تسجيل معتمدة من ICANN. وكل رقم يمثل عدد الساعات التي ظلت فيها البنية التحتية الإجرامية المؤكدة متصلة بالإنترنت بعد تلقي بلاغات عن إساءة الاستخدام.

إجمالي ساعات عدم اتخاذ أي إجراء من جانب أمين السجل

NiceNIC
5,877 ساعة
Tucows
5,792 ساعة
GlobalDomainGroup
5,520 ساعة وأكثر
apiname.com
4,658 ساعة
بوركبون
2,973 ساعة
القدرة على التحمل
2,513 ساعة
Dynadot
1,049 ساعة وأكثر
domain.me
790h

إجمالي الساعات النشطة لجميع النطاقات المبلغ عنها لكل مسجل في مجموعة بياناتنا لشهر مارس 2026. ولا يمثل هذا إجمالي حالات إساءة استخدام المسجلين — بل يقتصر على ما لاحظناه في عينة واحدة فقط.

ما نرسله مقابل ما يفعلونه

يتضمن كل تقرير عن إساءة استخدام PhishDestroy ما يلي:

يتضمن تقريرنا ما يلي

  • عنوان URL للنطاق وبيانات التسجيل
  • نتيجة VirusTotal مع أسماء الشركات المصنعة
  • لقطة شاشة بمساحة الصفحة الكاملة لموقع التصيد الاحتيالي
  • تصنيف الفئات (التصيد الاحتيالي، برامج استنزاف الأموال، كازينوهات احتيالية)
  • حالة الإدراج في القائمة السوداء من مصادر متعددة
  • URLscan.io أو نتائج فحص مماثلة
  • سجل التقارير السابقة والجدول الزمني

رد أمين السجل

  • لا توجد استجابة على الإطلاق (الحالة الأكثر شيوعًا)
  • إقرار بالاستلام، لا حاجة لاتخاذ أي إجراء
  • "سنقوم بمراجعة الأمر" — تمر الأسابيع، ويظل النطاق كما هو
  • "لا يمكننا التحقق من صحة هذا الادعاء" — على الرغم من رصد 16 حالة من فيروس فيروس التهاب الأنف
  • تم إغلاق التذكرة دون التوصل إلى حل
  • طلب بشأن الأدلة التي تم تقديمها بالفعل

بعد تقاعس مكتب التسجيل، قمنا بتصعيد الأمر إلى الامتثال لمعايير ICANN (compliance@icann.org). في كل حالة من الحالات المذكورة أعلاه، أُدرجت ICANN في نسخة من التقرير الثاني أو التقارير اللاحقة. والنتائج؟ غياب تام أيضًا.

معيار ICANN الذي لا وجود له

ICANN's اتفاقية اعتماد المسجلين (RAA)، البند 3.18 تُلزم الجهات المسجلة بتعيين جهة اتصال معنية بحالات إساءة الاستخدام و"اتخاذ إجراءات معقولة وسريعة للتحقيق في البلاغات المتعلقة بإساءة الاستخدام والرد عليها بالشكل المناسب".

في الواقع، تعني عبارة «معقول وسريع» ما يقرره المسجل. وهناك:

  • لا يوجد حد أقصى لوقت الاستجابة — يمكن لمسجل النطاقات أن ينتظر أسابيع ثم يدعي أن ذلك كان «معقولاً»
  • لا يوجد حد أدنى إلزامي للتعليق — اكتشاف 16 حالة لـ VT لا يؤدي تلقائيًا إلى أي شيء
  • لا توجد متطلبات للإبلاغ العلني — لا يتعين على الجهات المسجلة الإفصاح عن عدد البلاغات التي تتلقاها أو التي تتخذ إجراءات بشأنها
  • لا توجد عقوبة ذات مغزى — نادرًا ما قامت منظمة ICANN بسحب الاعتماد بسبب التقاعس عن التصدي لحالات إساءة الاستخدام

والنتيجة: أن مزودي خدمات التسجيل يتعاملون مع معالجة حالات إساءة الاستخدام باعتبارها مركز تكلفة يجب تقليله إلى أدنى حد، وليس التزامًا أمنيًا يجب الوفاء به.

ما ينبغي أن يكون عليه المعيار: إقرار خلال 24 ساعة. اتخاذ إجراء خلال 72 ساعة بالنسبة للنطاقات التي تبلغ قيمة VT فيها 10 أو أكثر. التعليق التلقائي بعد تلقي 3 تقارير مستقلة أو أكثر. إصدار تقارير ربع سنوية علنية حول مؤشرات إساءة الاستخدام. فرض عقوبات مالية في حالة عدم الامتثال المتكرر.

يتخذون إجراءات ضد «الاستيلاء على الأخطاء المطبعية» — لكن ليس ضد «التصيد الاحتيالي»

وإليكم ما يجعل الأمر أكثر سخافةً. فبعض شركات التسجيل نفسها التي تتجاهل بلاغات التصيد الاحتيالي لشهور، تتسم بكفاءة فائقة في نوع واحد محدد من إساءة الاستخدام: الاستيلاء على الأسماء النطاقية عن طريق الأخطاء المطبعية — النطاقات التي تشبه أسماء العلامات التجارية المعروفة بشكل يسبب الالتباس.

لماذا؟ لأن «الاستيلاء على الأخطاء المطبعية» يستهدف الشركات التي لديها ميزانيات قانونية. عندما تتقدم «جوجل» أو «آبل» أو «مايكروسوفت» بشكوى بموجب سياسة UDRP بشأن نطاق مشابه، تتخذ جهات التسجيل الإجراءات اللازمة في غضون أيام. فخطر التعرض للمقاضاة وعقوبات ICANN بسبب إساءة استخدام العلامات التجارية هو خطر حقيقي وفوري.

ولكن ماذا لو سرق نطاق تصيد احتيالي أموالاً من ضحايا أفراد؟ أو ماذا لو استنزف برنامج سرقة العملات المشفرة مدخرات شخص ما التي جمعها طوال حياته؟ أو ماذا لو سرق كازينو مزيف بيانات بطاقات الائتمان من اللاعبين؟ لا يوجد فريق قانوني للشركة. لا توجد دعوى بموجب سياسة UDRP. لا توجد حاجة ملحة. يطبق قسم مكافحة إساءة الاستخدام التابع لمسجل النطاقات معيارًا مختلفًا — وهو معيار لا تؤدي فيه الخسارة المالية التي تتكبدها الضحية إلى نفس رد الفعل الذي يثيره القلق المتعلق بالعلامة التجارية لأي علامة تجارية.

تقرير حول الاستيلاء على الأسماء من خلال الأخطاء المطبعية

  • مالك العلامة التجارية يرفع دعوى بموجب سياسة UDRP
  • يرد أمين السجل في غضون أيام
  • تم قفل/تعليق النطاق على الفور
  • العواقب القانونية للتقاعس عن اتخاذ الإجراءات اللازمة

تقرير عن التصيد الاحتيالي/الاحتيال

  • الضحايا/الباحثون يقدمون بلاغات عن حالات الإساءة
  • يتجاهل أمين السجل الأمر لأسابيع/أشهر
  • يظل النطاق نشطًا حتى تاريخ انتهاء صلاحيته
  • لا عواقب على التقاعس عن العمل

الرسالة واضحة: تحمي شركات تسجيل النطاقات العلامات التجارية، وليس الأفراد. إنهم يستجيبون للسلطة القانونية، لا لأدلة الضرر. تحتوي تقاريرنا على أدلة أكثر موضوعية من أي طلب مقدم بموجب سياسة UDRP — عمليات الفحص عبر VirusTotal، واكتشافات برامج مكافحة الفيروسات، وتأكيدات القوائم السوداء، ولقطات الشاشة — ومع ذلك تظل دون رد.

نحن نقوم بعملهم — مجانًا

PhishDestroy هو مشروع مستقل وغير تجاري. نقوم بفحص النطاقات. ونصنف التهديدات. ونُعد تقارير VirusTotal. ونلتقط لقطات شاشة. ونكتب تقارير مفصلة عن حالات إساءة الاستخدام ونرسلها إلى جهات التسجيل وسجلات النطاقات ومنظمة ICANN. نحن نقوم بالأعمال الأمنية التي ينبغي أن يقوم بها مسجّلو النطاقات بأنفسهم.

وها هي الحقيقة المزعجة: بعض شركات التسجيل تقوم فعلاً بهذا العمل. تقوم بعض شركات التسجيل بتشغيل بنية تحتية خاصة بها لفحص النطاقات، وتستخدم مصادر معلومات استخباراتية خاصة حول التهديدات، وتقوم بشكل استباقي بتعليق النطاقات الخبيثة قبل أن يقوم أي شخص بالإبلاغ عنها. هذه الشركات موجودة بالفعل. وهي تثبت أن ذلك ممكن.

مكاتب التسجيل الفعالة

  • تشغيل أدوات الفحص الداخلية (الخاصة، غير العامة)
  • التعليق الاستباقي لنطاقات الاحتيال الواضحة
  • الرد على بلاغات الإساءة في غضون ساعات
  • التعاون مع الباحثين وسلطات إنفاذ القانون
  • قبول بيانات VirusTotal والقائمة السوداء كأدلة

تُثبت شركات التسجيل هذه أن الاستجابة السريعة لحالات إساءة الاستخدام أمر ممكن من الناحيتين التقنية والاقتصادية.

شركات التسجيل التي تحمي المحتالين

  • لا توجد أي بنية تحتية للمسح الضوئي على الإطلاق
  • انتظر صدور التقارير، ثم تجاهلها
  • ردود نموذجية، التذكرة مغلقة، النطاق نشط
  • رفض استلام التقارير (نمط NameSilo)
  • إبطال مفعول 16 محركًا لمكافحة الفيروسات دون أي دليل

لقد فضَّل هؤلاء المسجلون تحقيق الأرباح على حساب السلامة. ويحظى تقاعسهم عن العمل بدعم من مجتمع الأمن الذي يقوم بمهامهم مجانًا.

السؤال ليس ما إذا كان من الممكن الاستجابة السريعة لحالات الإساءة أم لا. نعم، هذا صحيح. السؤال هو: لماذا يختار بعض مسجلي النطاقات عدم القيام بذلك؟ والجواب، في كل مرة، يعود إلى الحافز الهيكلي نفسه: تدر النطاقات النشطة إيرادات، أما النطاقات المعلقة فلا.

المعايير المرجعية التي ينبغي تطبيقها

إن الإطار اللازم لمساءلة مسجلي النطاقات موجود بالفعل — لكنه لا يُطبق:

اتفاقية التسجيل (RAA) التابعة لـ ICANN، المادة 3.18

الـ اتفاقية اعتماد الجهة المسجلة تُلزم شركات التسجيل بالاحتفاظ ببيانات جهات الاتصال المعنية بحالات إساءة الاستخدام والتحقيق في البلاغات على وجه السرعة. إلا أن تطبيق هذه الأحكام غير موجود فعليًّا.

APWG

الـ مجموعة العمل المعنية بمكافحة التصيد الاحتيالي تنشر تقارير ربع سنوية عن اتجاهات التصيد الاحتيالي توضح حجم المشكلة. وتشارك شركات تسجيل النطاقات في مجموعة العمل المعنية بالتصيد الاحتيالي (APWG) — ومع ذلك تواصل تجاهل هذه التقارير.

إجراءات لجنة التجارة الفيدرالية (FTC)

الـ رسالة تحذير من لجنة التجارة الفيدرالية (FTC) موجهة إلى NameSilo (ديسمبر 2024) أشارت صراحةً إلى عدم معالجة مشكلة الاحتيال. وقد أشارت ICANN نفسها إلى قسم الامتثال يتلقى الشكاوى التي نرفعها إليه، لكنه لا يرد بأي رد.

DNSAI

الـ معهد مكافحة إساءة استخدام DNS (من قبل PIR) تعمل على تطوير أدوات مثل DAAR وتشجيع أفضل الممارسات. ومع ذلك، يستضيف سجل PIR الخاص بها موقعي dotabuff[.]org (674 ساعة نشط، VT:2) و casesbattle[.]org (652 ساعة).

50,000 نطاق وما زال العدد في ازدياد

الأمثلة المذكورة أعلاه هي عينة من أسبوع واحد. إن الحجم الفعلي مذهل.

50 ألف+
نطاقات التصيد الاحتيالي النشطة في قائمة التدمير التي وردت بشأنها بلاغات عن إساءة الاستخدام. ومعظمها لا يزال متصلاً بالإنترنت.

مصدر المعلومات المتجدد باستمرار حول التهديدات على content_active.txt تحتوي على أكثر من 50,000 نطاق تم الإبلاغ عنها على أنها ضارة. وقد تلقى كل نطاق منها تقريرًا واحدًا على الأقل بشأن إساءة الاستخدام، بينما تلقى العديد منها عدة تقارير. وقد تلقت شركات التسجيل الأدلة — عمليات الفحص التي أجراها موقع VirusTotal، ولقطات الشاشة، وتأكيدات إدراج النطاقات في القوائم السوداء — لكنها فضلت مصلحة عملائها على سلامة الجمهور.

لأن هذا هو ما يعنيه الأمر: خيار. عميل شركة التسجيل هو الشخص الذي سجل النطاق — أي المحتال. عميل شركة التسجيل ليس الجدة التي خسرت مدخراتها بسبب صفحة مصرفية مزيفة، ولا مستخدم العملات المشفرة الذي سُرق محتوى محفظته، ولا اللاعب الذي سُرق حسابه على «ستيم». شركة التسجيل هي التي اختارت المحتال. في كل مرة.

50,000 نطاق، ولا أي مساءلة — سلسلة إنتاج لنطاقات التصيد الاحتيالي تحمل علامة «لا إجراء» من NiceNIC وTucows وGlobalDomainGroup وapiname وPorkbun
سلسلة معالجة تقارير الإساءة: تصل النطاقات مصحوبة باكتشافات VT:16، وتُختم بعبارة «لا إجراء»، ثم تستمر في المسار. وتظهر أسماء المسجلين مضيئة فوق السطر الذي أنشأوه.

من التقرير إلى الضحايا: كل ساعة مهمة

بمجرد إرسالنا لتقرير عن انتهاك، يبدأ العد التنازلي. ومنذ تلك اللحظة، يكون المسجل على علم رسمي أن أحد النطاقات الخاضعة لإدارتهم يُستخدم لارتكاب عمليات احتيال. وكل ساعة من التقاعس عن اتخاذ إجراء بعد تلقي هذا الإخطار هي ساعة من التواطؤ عن علم.

العديد من المجالات في مجموعة البيانات الخاصة بنا لا تقتصر بقاؤها على بضعة تقارير فحسب — بل تستمر حتى تنتهي فترة التسجيل. إنهم يمرون بالدورة الكاملة: التسجيل، والاحتيال، والإبلاغ عنهم، والإبلاغ عنهم مرة أخرى، وتحويل القضية إلى ICANN، ومواصلة الاحتيال، وانتهاء الصلاحية بشكل طبيعي. وقد حصل مسجل النطاق على رسوم التسجيل. وحصل المحتال على الأموال المسروقة. أما الضحايا فلم يحصلوا على شيء.

NameSilo وقد أنكرت علنًا تلقيها بلاغات عن حالات إساءة، رغم أن لدينا أدلة موثقة على إرسالها. وعندما تكذب جهة التسجيل بشأن تلقي البلاغات لتفادي المساءلة، فما هي سبل الانتصاف المتاحة للضحايا؟ لعل الوقت قد حان لإجراء تدقيق مستقل في طريقة تعامل جهات التسجيل مع حالات الإساءة — تدقيق يقارن بين البلاغات المرسلة والإجراءات المتخذة، مع نشر النتائج علنًا.

إن تعليق نطاق في الوقت المناسب ليس مجرد إجراء إداري. كما أنه ليس مجرد «مصدر إزعاج للمسجل». إنها عملية إنقاذ. كل نطاق يتم حظره في الوقت المناسب هو محفظة لم تُستنزف، وبيانات اعتماد لم تُسرق، وحساب توفير لم يُفرغ. إن شركات تسجيل النطاقات التي تصور عمليات الإزالة على أنها «رقابة» أو «تعطيل للأعمال» تكشف بوضوح مصالح من تخدم بالضبط.

هل ينبغي على شركات التسجيل تعويض الضحايا؟

إليكم السؤال الذي ترفض صناعة تسجيل النطاقات بأسرها التطرق إليه:

إذا تلقى مسجل النطاقات بلاغًا عن إساءة استخدام مدعومًا بالأدلة — يتضمن نتائج الكشف من VirusTotal ولقطات شاشة وتأكيدات من القوائم السوداء — واختار عدم اتخاذ أي إجراء، فهل يكون مسجل النطاقات مسؤولاً عن الأضرار التي تلحق بالضحايا بعد ذلك؟

فكر في الأمر. بمجرد أن يتلقى المسجل التقرير، فإنه لم يعد جاهلاً. وقد تم إبلاغهم، مع تقديم أدلة، بأن نطاقًا خاضعًا لسيطرتهم يُستخدم لسرقة الأموال وبيانات الاعتماد والهويات. ومنذ تلك اللحظة، فإن استمرار التقاعس عن اتخاذ أي إجراء لا يُعد إهمالًا — بل هو قرار مدروس للسماح بوقوع ضرر.

  • هل المسجل مستعد لتحمل المسؤولية؟ عن كل دولار يُسرق عبر نطاق تم تحذيرهم منه؟
  • هل المسجل مستعد لتعويض الضحايا؟ من الذي تكبد خسائر مالية بعد تقديم بلاغ عن الانتهاك وتجاهله؟
  • هل يقوم الفريق القانوني التابع لمسجل الأسماء ألا تدرك أن القول بأن «لقد قمنا بالمراجعة ولم نجد أي مشكلة» — في حين أن 16 محركًا لمكافحة الفيروسات تختلف في رأيها — ليس موقفًا يمكن الدفاع عنه؟

إذا كانت الإجابة على الأسئلة الثلاثة جميعها «لا» — فلا يوجد سبب مشروع للاحتفاظ بالنطاق نشطًا. التعليق أولاً، والتحقيق لاحقاً. هكذا يعمل مزودو البنية التحتية المسؤولون. هكذا تعمل شركة Cloudflare. وهكذا يعمل مزودو خدمات الاستضافة مثل Hetzner وOVH بشكل متزايد. أما مسجلو النطاقات فهم وحدهم الذين ما زالوا متمسكين بنموذج تفضل فيه مصلحة المحتال على سلامة الضحية.

من يدفع الثمن

كل ساعة يظل فيها نطاق التصيد الاحتيالي متاحًا على الإنترنت تُترجم مباشرةً إلى ضحايا:

  • نطاقات استنزاف العملات المشفرة (farewex، perowex، xerowex، naebex) — محافظ تم إفراغها في ثوانٍ. تمثل الساعات الـ4,658 الإجمالية لنطاقات موقع apiname.com آلاف الحالات المحتملة لاستنزاف أموال المحافظ.
  • الكازينوهات المزيفة / عمليات الاحتيال المتعلقة بلعبة CS:GO (casebattle variants، csgomy، ggddrop، tastdrop) — الاحتيال على بطاقات الائتمان، وسرقة الهوية، والتلاعب بنتائج الألعاب لاستهداف اللاعبين.
  • انتحال هوية خدمة مزيفة (dexscreener[.]at، trustwallet[.]receipts[.]sh، amlbot[.]im، dotabuff[.]org) — انتحال هوية العلامات التجارية مما يؤدي إلى سرقة بيانات الاعتماد والخسائر المالية.
  • البنية التحتية لعمليات الفرز (patricksstash، stashhpatrick) — بيع بيانات الدفع المسروقة إلى مجرمين آخرين.
75
أيام أن موقع payscrow[.]bet كان لا يزال يعمل — وهو ما يعادل ترك سارق جيوب في مركز تجاري لمدة 2.5 أشهر بعد أن تم إبلاغ الأمن بوجوده، وعرض اللقطات عليه، وتحديد هوية المشتبه به.

ما الذي يجب أن يتغير

النموذج الحالي معيب في صميمه. تستفيد شركات التسجيل من بقاء النطاقات نشطة. ولا تملك ICANN أي سلطة تنفيذية. ولا يتوفر للضحايا أي سبيل للانتصاف. وإليكم ما من شأنه معالجة هذه المشكلة:

  1. اتفاقية مستوى الخدمة (SLA) الإلزامية للاستجابة لحالات إساءة الاستخدام: الرد في غضون 24 ساعة، اتخاذ الإجراء الأولي في غضون 72 ساعة، مسار التصعيد في غضون 7 أيام. قابل للقياس. قابل للتدقيق.
  2. عتبة التعليق التلقائي: يجب تعليق أي نطاق يحتوي على 10 حالات اكتشاف على الأقل من VirusTotal و2 تقارير مستقلة أو أكثر، إلى حين مراجعته — وليس العكس.
  3. تقارير الشفافية المتعلقة بحالات الإساءة العلنية: يجب على كل مسجل معتمد من ICANN أن ينشر كل ثلاثة أشهر: التقارير الواردة، ومتوسط وقت الاستجابة، والإجراءات المتخذة، والنطاقات الموقوفة.
  4. الغرامات المالية في حالة عدم الامتثال: فرض غرامات متدرجة على الجهات المسجلة التي تتقاعس عن اتخاذ الإجراءات بشكل منهجي. وسحب الاعتماد من المخالفين المتكررين.
  5. أمين المظالم المستقل المعني بحالات الإساءة: هيئة مستقلة يمكنها مراجعة قرارات الجهة المسجلة، والتدخل في حالات التقاعس عن اتخاذ الإجراءات، وتسريع إجراءات التعليق في حالات التهديدات الخطيرة.
  6. قائمة الحظر المشتركة بين الجهات المسجلة: عندما يتم التأكد من أن أحد المسجلين هو من مرتكبي الانتهاكات المتكررة، يجب إخطار جميع جهات التسجيل المعتمدة. لا مزيد من «التسوق» بين النطاقات.

ما الذي فعلته PhishDestroy حيال ذلك

نحن لا نكتفي بكتابة التقارير وانتظار أن تصحح الصناعة أوضاعها بنفسها. بل نبني أنظمة تفرض الشفافية وتفرض عواقب على التقاعس عن العمل.

قاعدة بيانات التهديدات العامة

لقد أنشأنا ونقوم بصيانة قائمة التدمير — قاعدة بيانات عامة يتم تحديثها باستمرار وتضم أكثر من 50,000 نطاق ضار. ويُبلغ كل تقرير إساءة استخدام نرسله الآن الجهة المسجلة بما يلي: سيتم إدراج هذا النطاق في قاعدة بيانات عامة. سيتمكن الضحايا المحتملون لنطاقات عملائهم من معرفة تاريخ تقديم البلاغ ومدة تجاهل المسجل له. وهذا أمر مزعج للمسجلين — وهذا هو المقصود.

صفحات التهديدات الخاصة بالمجالات

كل نطاق نقوم بوضع علامة عليه أصبح له الآن صفحة مخصصة على phishdestroy.io/domain — مع تحليل شامل، ووصف للتهديد تم إنشاؤه بواسطة الذكاء الاصطناعي، و مسار الاستجابة للتهديدات Pipeline تُظهر مراحل المعالجة بدقة: الكشف، وإرسال التقرير، والتصعيد، وإخطار ICANN. يتم تحديث الحالات في الوقت الفعلي. ونقوم حالياً بإضافة طوابع زمنية دقيقة لكل تقرير متابعة من أجل الشفافية الكاملة. يمكن لأي شخص أن يرى بالضبط متى تم إخطار المسجل ومدة تقاعسه عن اتخاذ أي إجراء.

نظام التصعيد — عدم الإبلاغ عن الفيضانات

نحن نفعل ذلك لا إغراق مكاتب التسجيل بتقارير مكررة. في 98% من الحالات، نرسل تقريرًا أوليًّا واحدًا ولا نكرره — وذلك بسبب الحدود اليومية لعدد رسائل البريد الإلكتروني، ولأننا نعتقد أن التكرار الجماعي هو نهج خاطئ. ولا نرسل تقرير متابعة إلا عندما يكون النطاق أعيد تصنيفها على أنها نشطة أثناء عملية فحص جديدة. لو أرسلنا رسائل غير مرغوب فيها إلى كل نطاق نشط يوميًا، فسيبلغ العدد 50,000 رسالة بريد إلكتروني يوميًا. لكننا لا نفعل ذلك. يقوم نظام التصعيد لدينا بإنشاء تقارير متابعة (رقم 2، رقم 3، إلخ) تتضمن ملخصات للتهديدات تم تحليلها بواسطة الذكاء الاصطناعي، ونتائج VirusTotal المحدثة، وعدد الساعات التي تجاهل فيها مسجل النطاق التهديد.

أداة إعادة الإبلاغ المجتمعية

في روبوتنا على Telegram @PhishDestroy_bot، يمكن للمستخدمين الآن إرسال إعادة الإبلاغ بالنسبة للنطاقات التي وجدوا أنها لا تزال نشطة بعد تقريرنا الأولي. ونظرًا لأن عددًا كبيرًا جدًّا من مسجلي النطاقات يسمحون للمحتالين بالعمل بحرية ويتجاهلون الأضرار الكارثية التي يتسببون فيها، فإننا نمنح المجتمع منبرًا للتعبير عن رأيه. فإذا لم يستمع إلينا مسجل النطاقات، فربما يستمع إلى الكم الهائل من التقارير المستقلة الواردة من مستخدمين حقيقيين.

ملاحظة موجهة إلى أصحاب المشاريع الاحتيالية ومسجلي النطاقات المهملين: إذا كنت تعتقد أننا «نهاجمك» بتقارير كثيرة — فهذا ليس صحيحًا. فنحن نرسل تقريرًا واحدًا لكل حالة اكتشاف. وإذا كنت تتلقى العديد من التقارير، فذلك لأن لديك العديد من النطاقات الخبيثة. فالتقارير كلها مختلفة، وتتعلق بنطاقات مختلفة، وتحتوي على أدلة مختلفة. والمشكلة ليست في حجم التقارير التي نرسلها — بل هي محفظة نطاقاتك.

PhishDestroy — نحن لا نحمي العلامات التجارية. ولا ندافع عن الضحايا. نحن نقضي على البنية التحتية لعمليات التصيد الاحتيالي والخداع.

الخلاصة

عندما تشير 16 محركًا لمكافحة الفيروسات إلى أن نطاقًا ما ضار، ويكتفي مسجل النطاقات بالقول «لا إجراء»، فإن هذا المسجل لا يمارس حُكمه — بل يحمي إيراداته. وعندما تظل 13 بلاغًا منفصلاً عن إساءة الاستخدام دون رد ويظل النطاق نشطًا لمدة 1,352 ساعة، فإن مسجل النطاقات لا يقوم بمعالجة تراكم العمل المتأخر — بل إنه يتيح ارتكاب الجرائم.

البيانات الواردة في هذا المقال ليست نظرية. إنها سجلنا الفعلي لحالات تصعيد الإساءات خلال أسبوع واحد في مارس 2026 — وما وراءها يكمن أكثر من 50,000 نطاق تم الإبلاغ عنها في قناتنا الإخبارية الخاصة بالتهديدات التي يتم تحديثها باستمرار. هذه المشكلة ليست مشكلة منفردة تقتصر على مسجل واحد. إنها فشل على نطاق القطاع أن النظام البيئي لتسجيل النطاقات لا يهتم بإصلاح هذه المشكلة، لأن النموذج الحالي مربح.

لا توجد أي شركة متخصصة في برامج مكافحة الفيروسات تكون نتائجها ملزمة لمسجلي النطاقات. ولا يوجد حد أدنى للكشف عن الفيروسات يستلزم اتخاذ إجراء إلزامي. ولا توجد اتفاقية مستوى الخدمة (SLA)، ولا مساءلة، ولا عواقب. فمسجل النطاقات يحصل على الرسوم، ويتجاهل التقارير، بينما تدفع الضحايا الثمن.

لا يُعتبر مسجّلو النطاقات مزودي بنية تحتية محايدين. إنهم «حراس البوابة» الذين يختارون — كل يوم، ومع كل بلاغ يتم تجاهله — الإبقاء على البنية التحتية الإجرامية متاحة على الإنترنت. إنهم على علم بالضرر الذي تسببه. ولديهم القدرة على وقفها. لكنهم يختارون عدم القيام بذلك. وحتى يأتي شخص ما لطرح السؤال الوحيد الذي يهم — "هل أنتم على استعداد لتعويض ضحايا النطاقات التي رفضتم تعليقها؟" — لن يتغير شيء.

صمت الصناعة إزاء هذه المسألة هو أبلغ إجابة على الإطلاق.

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

الأبحاث ذات الصلة

شركات التسجيل التي تتيح ارتكاب عمليات الاحتيال العالمية
كيف تحافظ شركات «NameSilo» و«Webnic» و«NiceNIC» على استمرار البنية التحتية للاحتيال من خلال تجاهل بلاغات إساءة الاستخدام.
تقييم NiceNIC
تم فحص كل نطاق من نطاقات NiceNIC — ولم يتم العثور على أي استخدامات مشروعة في المحفظة بأكملها.
تحقيق NiceNIC
فضح IANA 3765 — مسجل ICANN الذي يغذي الجرائم الإلكترونية العالمية، حيث بلغت درجة التصيد الاحتيالي الخاصة به 1,141.74.
إشعار بشأن الشفافية. PhishDestroy هو مشروع مستقل وغير تجاري. قد تعكس أبحاثنا تحيزًا متأصلًا ضد البنية التحتية للاحتيال والخدمات التي تتيحها. ونشجع القراء على تقييم جميع المواد بشكل نقدي ومستقل. اقرأ بيان الشفافية الكامل الخاص بنا →