إغراق البذور: لماذا يهاجم «فيش ديستروي» علنًا
مواقع «الهجمات» الاحتيالية
نحن لا نخفي ذلك. عندما يكتشف PhishDestroy موقعًا نشطًا للتصيد الاحتيالي يعمل على جمع عبارات البذرة الخاصة بمحافظ العملات المشفرة، فإننا نغمره بكميات هائلة من إدخالات عبارات البذرة ذات التنسيق الصحيح. إليكم بالضبط ما نفعله، ولماذا نفعله، ولماذا لا نخجل من ذلك.

المشكلة: هناك موقع تصيد احتيالي قيد التشغيل في الوقت الحالي
تخيل أنك اكتشفت صفحة تصيد احتيالي لمحفظة عملات مشفرة تُعرض إعلانات مدفوعة على جوجل. تبدو الصفحة شرعية. وهي تحظى بزيارات. فهناك مستخدمون حقيقيون يزورونها كل بضع دقائق، ويدخلون عبارات البذرة الخاصة بهم، ثم يفقدون كل ما يملكون.
قم بالإبلاغ عن ذلك إلى «جوجل». قم بالإبلاغ عن ذلك إلى الجهة المسجلة. قم بتقديم بلاغ عن إساءة الاستخدام إلى مزود خدمة الاستضافة. ثم تنتظر.
وفي هذه الأثناء، يضيف المحتال الضحية رقم 47 إلى قائمته. ثم رقم 48. ثم رقم 49.
تستغرق الإجراءات القياسية للإبلاغ عن الإساءات ما بين 5 و10 أيام عمل. أما مواقع التصيد الاحتيالي النشطة فتتسبب في أضرار مالية لا يمكن تعويضها في غضون ساعات. وهذه الفجوة ليست عيبًا في النظام — بل هي ثغرة هيكلية يستغلها المحتالون عمدًا.

ما المقصود بـ«غمر البذور»؟
يُعد «إغراق البذور» إحدى تقنيات مكافحة التصيد الاحتيالي حيث تنسيق صالح لكنه فارغ/عديم القيمة يتم إدخال عبارات البذرة الخاصة بمحافظ العملات المشفرة تلقائيًا في نموذج تصيد احتيالي بمعدل محدد.

لماذا ينجح هذا: تشريح مجموعة أدوات التصيد الاحتيالي الرخيصة
الغالبية العظمى من مواقع التصيد الاحتيالي النشطة في مجال العملات المشفرة هي مجموعات أدوات تعتمد على النسخ واللصق ومبنية على خدمات الجهات الخارجية ضمن الفئة المجانية. هذه هي أكبر نقاط ضعفهم. للاطلاع على تحليل أكثر تفصيلاً، انظر تحقيقنا الشامل.

| الوحدة | حد المستوى المجاني | آثار الفيضانات |
|---|---|---|
| EmailJS | حوالي 200 مشاركة شهريًّا | استنفاد الرصيد في غضون ساعات، مما يؤدي إلى توقف تسليم رسائل البريد الإلكتروني |
| Formspree | 50 طلبًا شهريًّا | تعطلت على الفور تقريبًا |
| Web3Forms | 250 طلبًا شهريًّا | تم تحييدها بسرعة |
| واجهة برمجة تطبيقات بوت تيليجرام | محدود بمعدل في الثانية | الدخول في حلقات انتظار |
| الخدمة المجانية من Firebase | حصص القراءة/الكتابة | ارتفاع تكاليف قواعد البيانات أو الحرمان من الوصول إليها |
لقد لاحظنا بشكل مباشر توقف البنية التحتية لعمليات التصيد عن العمل بعد أن استنفد «إغراق البذور» خط أنابيب الإخطارات الخاص بها. ولا يعرف المحتال سبب توقفها عن العمل؛ فهو ببساطة يتوقف عن تلقي البيانات.
نهجنا التقني: Cloudflare Workers، وليس شبكات الروبوتات

نحن نستخدم Cloudflare Workers. تنشأ الطلبات من شبكة الحافة الخاصة بـ Cloudflare. لا يتم إساءة استخدام أي عناوين IP سكنية. لا توجد شبكات بوتنت. لا يتم إثقال كاهل خوادم أي طرف ثالث. ولا يتأثر سوى نظام جمع البيانات الخاص بالمحتال.
تدفق الفيضان
تحديد معدل: صارم 2 submissions per 10 seconds. ليس هجوماً من نوع DDoS. بل تلوث بطيء ومتعمد وموجه، على نطاق يجعل حتى المعدلات المتواضعة لكل موقع ذات أهمية عند تطبيقها على عشرات الأهداف المتزامنة.
نحن لا نسعى إلى تعطيل الخوادم. بل نجعل يوم عمل المحتالين جحيمًا ونجعل قاعدة بياناتهم عديمة القيمة — دون أي تأثير جانبي على البنية التحتية الشرعية.
دراسات حالة حية: التحكم في التلوث في الممارسة العملية
العمليات الواردة أدناه مقتبسة حرفياً من سجلات الإنتاج الخاصة بنا. تم حجب أسماء النطاقات ومعرّفات مزودي الخدمة فقط في الحالات التي قد يساعد فيها نشرها على التهرب؛ أما لقطات اتصالات HTTP فلم يتم تعديلها. كان كلا الهدفين نشطين وقت التدخل، وكان لديهما حركة مرور واردة مؤكدة من إعلانات مدفوعة، وقد تم تصنيفهما بشكل مستقل على أنهما التصيد الاحتيالي بقلم ≥ 2 من الموردين الخارجيين على VirusTotal قبل اتخاذ أي إجراء من جانبنا.
العقيدة العملياتية
تُنفَّذ كل عملية «إغراق بالبذور» في إطار نفس المبادئ الخمسة. ولا توجد استثناءات؛ فأي عملية لا تستوفي هذه المبادئ الخمسة جميعها لا تُنفَّذ.
الحالة 1 — Formspark Exfil Endpoint، استنفاد الحصة الشهرية
checkblochn.pages.dev تم تحييدهنمط التهديد: طُعم لاستعادة المحفظة («Dapp Node Sync») يعمل على تسريب عبارات البذرة المكونة من 12 كلمة وفقًا لمعيار BIP-39 إلى نقطة نهاية Formspark خاضعة لسيطرة المهاجم ضمن الفئة المجانية. تم التأكد من وجود حركة مرور إعلانية مدفوعة من منصتين إعلانيتين عند بدء التفاعل.
messageالجدول الزمني للعمليات (بتوقيت UTC، تم إخفاء الهوية حتى لحظة بدء العملية T-zero)
submit-form.com/32BrdUqfX مستخرج من الصفحة JS؛ تم إجراء هندسة عكسية لشكل الحمولة. التحليل2 req / 10 s، عامل Cloudflare واحد، سلسلة UA محددة، مصدر موقّع.200 OK مع formspark-quota: 64. تم تسجيل القيمة المرجعية.formspark-quota عند تجاوز الصفر → تتوقف نقطة النهاية عن إعادة التوجيه دون إخطار. ستارة تصريف المياهformspark-quota: −18. تم فصل عامل في مجال مكافحة الفيضانات.إرسال عبر الشبكة (البذرة عبارة عن شرك تعبيري — 12 كلمة عشوائية وفقًا لمعيار BIP-39 لا علاقة لها بأي محفظة حقيقية)
الاستجابة — T+01:02 (الخط الأساسي، الحصة المتبقية)
الاستجابة — T+06:12 (استنفاد الحصة، تستمر نقطة النهاية في إرجاع الرمز 200 ولكنها لن تقوم بإعادة التوجيه)
تأثير ملحوظ. من T+06:08 حتى الإزالة النهائية في T+19:30 — أ فترة مدتها 13 ساعة و22 دقيقة — كل ضحية حقيقية وصلت إلى checkblochn.pages.dev وأكملوا مسار الاستعادة، وقدموا عبارة البذرة الخاصة بهم إلى نقطة نهاية أعادت 200 OK ولكنها لم تعد تعيد توجيه المحتوى إلى صندوق الوارد الخاص بالمشغل. صفحة التصيد ظهرت أن تنجح العملية في متصفح الضحية (دون ظهور أي خطأ أو إشارة تحذيرية)، وهو الأمر المرغوب فيه: فرد الفعل التلقائي المتمثل في القول «لم ينجح الأمر» غالبًا ما يدفع المستخدمين إلى إعادة إدخال نفس بيانات الاعتماد على أول موقع مزيف يصادفونه بعد ذلك. وهنا، فإن التفاعل تم إنهاء المكالمة دون علم المشغل.
فترة حماية مدتها 13 ساعة لكل زائر لاحق للموقع الذي كانت الإعلانات المدفوعة لا تزال تروج له بنشاط. وانتهت هذه الفترة عندما استجابت «Cloudflare Pages» لتقريرنا المتعلق بإساءة الاستخدام الذي تم إرساله عبر المسار الموازي — تمامًا كما كان مخططًا لها. ولم تحل هذه الموجة من الزيارات محل الإزالة القانونية؛ بل غطت تلك الفترة الفاصلة حتى تم تنفيذ الإطاحة القانونية بنجاح.
الحالة 2 — EmailJS Relay، المعرّفات التي ينشرها المشغل
allsyncapp.pages.dev العملية الجاريةنمط التهديد: طُعم «المزامنة» الخاص بالمحفظة، الذي يرسل البذرة التي أدخلتها الضحية عبر البريد الإلكتروني إلى صندوق بريد المشغل عبر EmailJS — خدمة SaaS شرعية للبريد الإلكتروني الخاص بالمعاملات. وتضم صفحة التصيد المعلومات الخاصة بالمشغل service_id, template_id و user_id في لغة جافا سكريبت الخاصة بجانب العميل، لأنه بدون تلك المعرّفات لا يمكن لمتصفح الضحية إتمام عملية الإرسال (POST) التي تؤدي إلى إرسال البريد الإلكتروني. وبالتالي، فإن هذه المعرّفات تشكل جزءًا من «مساحة الهجوم العامة» التي كشف عنها المشغل طواعيةً.
البيانات الملتقطة — نص الحمولة حرفياً من طلب POST الخاص بصفحة التصيد الاحتيالي نفسها
استخراج المعرّف (تعبير منتظم من سطر واحد في مصدر صفحة التصيد)
نقطة عقائدية أساسية. هذه الحالة مفيدة بالذات لأن لم نكتشف أي نقطة نهاية. المشغل تنشر المعرّفات الثلاثة المطلوبة لجعل EmailJS يرسل «البذرة» إلى صندوق بريدهم. وأي متصفح يعرض صفحة التصيد يمتلكها. يقوم «العامل» (Worker) لدينا بما يفعله متصفح الضحية — أي إرسال نموذج بالشكل والمعرّفات التي تحددها الصفحة نفسها بالضبط. والفرق يكمن في الحمولة: كلمات BIP-39 عشوائية بدلاً من بيانات اعتماد المحفظة الحقيقية.
نمط النتائج. بمجرد بلوغ الحد الأقصى الشهري، تُرجع EmailJS 402 Payment Required أو 429 Too Many Requests ولا يتم إرسال القالب. ويصبح صندوق بريد المحتال خاليًا من أي رسائل. وفي الوقت نفسه، تتلقى إدارة «الثقة والأمان» في EmailJS شكوى رسمية تتضمن معرّفات الخدمة/القالب/المستخدم ورابطًا إلى حزمة الأدلة التي نشرناها — وهو ما يؤدي، وفقًا للسوابق السابقة، إلى تم إنهاؤه، دون قيود على معدل الاستخدام. يجب على المشغل إنشاء حساب EmailJS جديد، وإعادة إنشاء المعرّفات، وتعديل صفحة التصيد التي تم نشرها، وإبطال صلاحية كل رابط توزيع موجود — وهو سير عمل يستغرق عدة ساعات لكل عملية تدوير.
مقارنة أنماط الهجوم: ما لا يُعد «إغراق البذور»
هناك اتهام متكرر مفاده أننا نشن «هجمات» على مواقع التصيد الاحتيالي. لكن هذا التصوير ينهار فور مقارنة ملف تعريف حركة المرور الفعلي بملف تعريف الأنشطة التي يتم الخلط بينها وبينها.
| البعد | غمر البذور (طريقتنا) | هجمات DDoS / إغراق L7 | إساءة استخدام إرسال الرسائل غير المرغوب فيها | عملية مراقبة سرية قامت بها شرطة لويزيانا |
|---|---|---|---|---|
| الغرض | حماية الضحايا — استكمال حصة «التسريب» الخاصة بالمحتال قبل الوصول إلى الضحية التالية | هجمات رفض الخدمة على البنية التحتية | الربح التجاري / نشر الرسالة | جمع الأدلة، والخداع الموجه |
| معدل الإنتاجية | 0.1 – 0.3 طلب/ثانية — أدناه شروط الخدمة الخاصة بالمزود | 103 – 108 طلبات في الثانية — موجهة نحو التشبع | متقطع / آلي بكميات كبيرة | عادةً ما يكون التفاعل واحدًا |
| الهدف | نشر مهاجم استهدف نقطة نهاية واحدة لغرض سرقة البيانات | خادم الويب / الطبقة الشبكية لمنظمة الضحية | نماذج الاتصال الخاصة بالمواقع الشرعية | البنية التحتية أو الشخصية المشبوهة |
| تأثير البنية التحتية | لا شيء — تعمل عدادات المزود وفقًا للسلوك المحدد في شروط الخدمة | انقطاع الخدمة، ازدحام في الشبكة الأمامية | تراكم الرسائل في صندوق الوارد، وتغير معايير اختبار CAPTCHA، وعبء الإشراف | يعتمد على العملية |
| المستخدمون الشرعيون المتضررون | صفر — لا يوجد مستخدمون شرعيون لنماذج التصيد الاحتيالي | جميعهم | الموظفون/المشرفون المسؤولون عن النماذج | التصميم القائم على التجنب |
| الهوية الأصلية | تُسمى «PhishDestroy Cloudflare Workers» — قابلة للتدقيق | شبكات الروبوتات، المصادر المزيفة، الانعكاس | الوكلاء القابلون للاستبدال | البنية التحتية السرية |
| نموذج التفويض | نقطة النهاية هي مدعو: النموذج يطلب هذا الإدخال صراحةً، ويتم نشر المعرّفات بشكل علني في الصفحة | لا شيء — حجم الطلبات بحد ذاته هو الضرر | يتجاوز الغرض المقصود من الاستخدام، ويتجاهل إشارات منع إساءة الاستخدام | السلطة القانونية |
| الإجراءات القانونية الموازية | تم تقديم بلاغات عن حالات إساءة المعاملة قبل بدء الفيضان، مع أرقام تعريف الحالات | غير متوفر | غير متوفر | جزء لا يتجزأ من العملية |
يُعد إرسال «seed-flood» عبارة عن طلب POST واحد عبر بروتوكول HTTPS بحجم يبلغ حوالي 140 بايت، ينطلق من أحد عمال Cloudflare (Cloudflare Worker) يحمل مصدرنا المُوقَّع، بجزء ضئيل من المعدل الذي ينشره المزود نفسه باعتباره مقبولاً، ويستهدف نقطة نهاية اختار المشغل تضمين معرّفاتها في صفحة ويب عامة. وهذا هو القطعة الأثرية بأكملها التي يمكن ملاحظتها. فكل العناصر الهيكلية التي تجعل الطلب يُعتبر «هجومًا» — مثل الوصول غير المصرح به، والنية لاستنزاف الموارد، والتشبع الحجمي، وتأثر أطراف ثالثة، وإخفاء المصدر — غير موجودة. والتحليل القانوني التالي ليس دفاعًا إبداعيًّا؛ بل هو طبيعي قراءة النص القانوني بمجرد توضيح الوقائع بشكل واضح.
التحليل القانوني — هل هذا قانوني؟ هل هذا أخلاقي؟

إن إدخال البيانات في نموذج ويب متاح للجمهور — حتى لو كانت بيانات مزيفة — ليس أمراً غير قانوني في حد ذاته في معظم الأطر. فنحن لا نقتحم أنظمة خاصة، ولا نستغل ثغرات أمنية غير مصرح بها، ولا نعترض الاتصالات. لقد نصب المحتال فخاً. ونحن نملؤه بالحجارة.
لا تقدم PhishDestroy أي مشورة قانونية. فهذه المسألة تقع في منطقة رمادية حقيقية تختلف باختلاف الاختصاص القضائي. ونحن نعمل ونحن على دراية تامة بهذه التعقيدات.
ماذا يحدث لقاعدة بيانات المحتال؟
يصبح عديم الفائدة — هناك آلاف الإدخالات التي تتطلب التحقق اليدوي، مما يؤدي إلى انهيار نسبة الإشارة إلى الضوضاء. أو إنه ينكسر — توجد حدود قصوى لـ Firebase Spark ومثيلات MongoDB المشتركة. ويترتب على تجاوز هذه الحدود عواقب.
كلا النتيجتين جيدتان
سواء أصبحت قاعدة البيانات عديم الفائدة أو ينقطع تمامًا — عبارات البذرة الخاصة بالضحايا الحقيقيين لا تصل أبدًا إلى المهاجم في شكل يمكن الاستفادة منه. فكل عبارة بذرة لم تتم معالجتها تمثل محفظة لا يمكن استنزافها.
متى نقوم بتشغيل نظام غمر البذور؟
| المعيار | تحقق | لماذا هذا مهم؟ |
|---|---|---|
| تم تأكيد وجود حركة مرور نشطة | مطلوب | تؤكد منصات الإعلانات أو أدوات قياس حركة المرور أن مستخدمين حقيقيين يزورون الموقع |
| تحليل بنية عمليات التصيد الاحتيالي | مطلوب | تم تحديد وحدات التسريب في المستوى المجاني قبل أن نبدأ في إغراق الشبكة |
| تم تقديم بلاغات عن حالات إساءة المعاملة | مطلوب | نحن نسعى دائمًا إلى اتباع المسار الشرعي في الوقت نفسه |
| لا يوجد إزالة ضمن اتفاقية مستوى الخدمة (SLA) | محفز نموذجي | لم ترد أي استجابة من شركة التسجيل/الاستضافة خلال فترة زمنية معقولة |
| موقع إعلانات مدفوعة ذات حجم كبير | المحفز الفوري | الإعلان المدفوع يعني أننا نتصرف دون انتظار الإجراءات البيروقراطية |
الصورة الأوسع
النظام البيئي للعملات المشفرة يتكبد خسائر مليارات الدولارات سنويًّا إلى التصيد الاحتيالي. لطالما اتسمت استراتيجية الدفاع بأنها رد فعلية. وقد تم إنشاء «PhishDestroy» بهدف تقديم التدخل الاستباقي في هذه الدورة.
نحن لا نعمل في الخفاء. فنحن ننشر منهجيتنا. ونشرح تقنياتنا. ونوثق مجموعات أدوات التصيد الاحتيالي التي نحللها. ويستحق مجتمع الأمن تقييم أساليب مكافحة التصيد الاحتيالي، لا الاكتفاء باستخدام خدمة تعمل كـ«الصندوق الأسود».

ما يمكنك فعله
- يرجى تقديم التقرير إلى التصفح الآمن من Google, PhishTank، ومسجل النطاق
- أرسله إلينا — نحن نعطي الأولوية للتهديدات النشطة التي تشهد حركة مرور عالية
- تحقق قاعدة بياناتنا الخاصة بعلم التشريح لفهم ما تراه أمامك
- نشر الوعي — لا يعرف معظم الضحايا كيف تبدو صفحة التصيد الاحتيالي التي تستهدف «عبارة البذرة» إلا بعد فوات الأوان
إذا كنت ترى أن إثراء المجرمين على حساب المحافظ الفارغة أمر غير أخلاقي — فهذا رأيك، ولديك كل الحق في التمسك به. لقد أوضحنا موقفنا.


