PhishDestroy مباشر
العودة إلى الأخبار
المنهجية

إغراق البذور: لماذا يهاجم «فيش ديستروي» علنًا
مواقع «الهجمات» الاحتيالية

نحن لا نخفي ذلك. عندما يكتشف PhishDestroy موقعًا نشطًا للتصيد الاحتيالي يعمل على جمع عبارات البذرة الخاصة بمحافظ العملات المشفرة، فإننا نغمره بكميات هائلة من إدخالات عبارات البذرة ذات التنسيق الصحيح. إليكم بالضبط ما نفعله، ولماذا نفعله، ولماذا لا نخجل من ذلك.

31 مارس 2026 أبحاث PhishDestroy 12 دقيقة للقراءة
إغراق البذور — ساحة المعركة الرقمية لمكافحة التصيد الاحتيالي
عمليات مكافحة التصيد الاحتيالي: عندما لا يكون الإبلاغ وحده كافياً، نتدخل مباشرةً
14,663عمال CF
2/10 ثانيةحد السرعة
5+قنوات التسريب
$0تكلفة المهاجم
<4 ساعاتلاستنفاد EmailJS

المشكلة: هناك موقع تصيد احتيالي قيد التشغيل في الوقت الحالي

تخيل أنك اكتشفت صفحة تصيد احتيالي لمحفظة عملات مشفرة تُعرض إعلانات مدفوعة على جوجل. تبدو الصفحة شرعية. وهي تحظى بزيارات. فهناك مستخدمون حقيقيون يزورونها كل بضع دقائق، ويدخلون عبارات البذرة الخاصة بهم، ثم يفقدون كل ما يملكون.

قم بالإبلاغ عن ذلك إلى «جوجل». قم بالإبلاغ عن ذلك إلى الجهة المسجلة. قم بتقديم بلاغ عن إساءة الاستخدام إلى مزود خدمة الاستضافة. ثم تنتظر.

وفي هذه الأثناء، يضيف المحتال الضحية رقم 47 إلى قائمته. ثم رقم 48. ثم رقم 49.

الفجوة البيروقراطية

تستغرق الإجراءات القياسية للإبلاغ عن الإساءات ما بين 5 و10 أيام عمل. أما مواقع التصيد الاحتيالي النشطة فتتسبب في أضرار مالية لا يمكن تعويضها في غضون ساعات. وهذه الفجوة ليست عيبًا في النظام — بل هي ثغرة هيكلية يستغلها المحتالون عمدًا.

مسار الإبلاغ البيروقراطي مقابل جمع الضحايا بشكل نشط عبر التصيد الاحتيالي
على اليسار: عملية الإبلاغ البطيئة عن حالات الاحتيال. على اليمين: المحتال يجمع الأموال بينما أنت تنتظر.

ما المقصود بـ«غمر البذور»؟

يُعد «إغراق البذور» إحدى تقنيات مكافحة التصيد الاحتيالي حيث تنسيق صالح لكنه فارغ/عديم القيمة يتم إدخال عبارات البذرة الخاصة بمحافظ العملات المشفرة تلقائيًا في نموذج تصيد احتيالي بمعدل محدد.

تلوث قاعدة البيانات
أصبحت عبارات البذرة الحقيقية لا يمكن تمييزها عن المزيفة. ويتطلب كل إدخال التحقق اليدوي، مما يؤدي إلى انخفاض نسبة الإشارة إلى الضوضاء.
الحدود المطبقة على المستوى المجاني لـ Exhaust
EmailJS وFormspree وWeb3Forms — جميعها تفرض حصصًا شهرية صارمة. وقد وصلنا إلى هذه الحدود في غضون ساعات، مما أدى إلى قطع مسار إخطارات المهاجم.
قطع مسار جمع البيانات
عندما تتوقف قنوات التسريب عن العمل، لا تذهب بيانات الضحايا الحقيقيين إلى أي مكان — حتى لو قاموا بإدخال عبارة البذرة الخاصة بهم.
توليد معلومات بحثية
تكشف الفيضانات عن تفاصيل البنية التحتية ورسائل الخطأ وعتبات الحد الأقصى لمعدل الاستخدام التي نستخدمها لتطوير آليات كشف أفضل.
نموذج التصيد الاحتيالي يغرق بعبارات البذور المزيفة
نموذج تصيد يتلقى سيلًا من عمليات إرسال عبارات البذرة المزيفة — تتدهور عملية جمع البيانات التي يقوم بها المهاجم في الوقت الفعلي

لماذا ينجح هذا: تشريح مجموعة أدوات التصيد الاحتيالي الرخيصة

الغالبية العظمى من مواقع التصيد الاحتيالي النشطة في مجال العملات المشفرة هي مجموعات أدوات تعتمد على النسخ واللصق ومبنية على خدمات الجهات الخارجية ضمن الفئة المجانية. هذه هي أكبر نقاط ضعفهم. للاطلاع على تحليل أكثر تفصيلاً، انظر تحقيقنا الشامل.

تحليل مكونات مجموعة أدوات التصيد الاحتيالي — التبعيات الخاصة بالخدمة المجانية
كل قناة لتسريب البيانات هي خدمة مجانية ذات حدود صارمة على عدد عمليات الإرسال — ورخص ثمن هذه المجموعة هو عيبها القاتل
جدول البيانات: الوحدة النمطية
الوحدةحد المستوى المجانيآثار الفيضانات
EmailJSحوالي 200 مشاركة شهريًّااستنفاد الرصيد في غضون ساعات، مما يؤدي إلى توقف تسليم رسائل البريد الإلكتروني
Formspree50 طلبًا شهريًّاتعطلت على الفور تقريبًا
Web3Forms250 طلبًا شهريًّاتم تحييدها بسرعة
واجهة برمجة تطبيقات بوت تيليجراممحدود بمعدل في الثانيةالدخول في حلقات انتظار
الخدمة المجانية من Firebaseحصص القراءة/الكتابةارتفاع تكاليف قواعد البيانات أو الحرمان من الوصول إليها
النتيجة الملاحظة

لقد لاحظنا بشكل مباشر توقف البنية التحتية لعمليات التصيد عن العمل بعد أن استنفد «إغراق البذور» خط أنابيب الإخطارات الخاص بها. ولا يعرف المحتال سبب توقفها عن العمل؛ فهو ببساطة يتوقف عن تلقي البيانات.

نهجنا التقني: Cloudflare Workers، وليس شبكات الروبوتات

شبكة الحافة من Cloudflare المستخدمة لمكافحة التصيد الاحتيالي
14,663 وحدة من وحدات Cloudflare Workers تعمل على مستوى شبكة الحافة — دون استخدام أي بنية تحتية تابعة لجهات خارجية

نحن نستخدم Cloudflare Workers. تنشأ الطلبات من شبكة الحافة الخاصة بـ Cloudflare. لا يتم إساءة استخدام أي عناوين IP سكنية. لا توجد شبكات بوتنت. لا يتم إثقال كاهل خوادم أي طرف ثالث. ولا يتأثر سوى نظام جمع البيانات الخاص بالمحتال.

تدفق الفيضان

تم اكتشاف الموقعتم تأكيد وجود حركة مرور نشطة
تحليل تشريحيتم تعيين قنوات التسريب
توزيع العمالشبكة الحافة CF
2 بذرة / 10 ثوانٍالمعدل المحدد
تم استنفاد الحصةمهاجم أعمى
تم تقديم التقريرالمسار الموازي

تحديد معدل: صارم 2 submissions per 10 seconds. ليس هجوماً من نوع DDoS. بل تلوث بطيء ومتعمد وموجه، على نطاق يجعل حتى المعدلات المتواضعة لكل موقع ذات أهمية عند تطبيقها على عشرات الأهداف المتزامنة.

ما لا نقوم به

نحن لا نسعى إلى تعطيل الخوادم. بل نجعل يوم عمل المحتالين جحيمًا ونجعل قاعدة بياناتهم عديمة القيمة — دون أي تأثير جانبي على البنية التحتية الشرعية.

دراسات حالة حية: التحكم في التلوث في الممارسة العملية

العمليات الواردة أدناه مقتبسة حرفياً من سجلات الإنتاج الخاصة بنا. تم حجب أسماء النطاقات ومعرّفات مزودي الخدمة فقط في الحالات التي قد يساعد فيها نشرها على التهرب؛ أما لقطات اتصالات HTTP فلم يتم تعديلها. كان كلا الهدفين نشطين وقت التدخل، وكان لديهما حركة مرور واردة مؤكدة من إعلانات مدفوعة، وقد تم تصنيفهما بشكل مستقل على أنهما التصيد الاحتيالي بقلم ≥ 2 من الموردين الخارجيين على VirusTotal قبل اتخاذ أي إجراء من جانبنا.

العقيدة العملياتية

تُنفَّذ كل عملية «إغراق بالبذور» في إطار نفس المبادئ الخمسة. ولا توجد استثناءات؛ فأي عملية لا تستوفي هذه المبادئ الخمسة جميعها لا تُنفَّذ.

المبدأ رقم 01
نقاط النهاية العامة فقط
عنوان URL الخاص بالتسريب ومعرّفاته هي نُشر عن طريق صفحة التصيد الاحتيالي باستخدام جافا سكريبت من جانب العميل. ونحن لا نحصل أبدًا على بيانات الاعتماد، ولا نستخدم أسلوب القوة الغاشمة، ولا نقوم بترقية الامتيازات.
المبدأ رقم 02
سعة النقل ضمن الحد الفرعي
يتم تحديد سقف أقصى ثابت لمعدل الطلبات أقل من الحد الأقصى المنصوص عليه في شروط الخدمة التي نشرها المزود نفسه. ولا يمكن تمييز ملفنا الشخصي عن حركة المرور العادية للمحتوى الذي ينشئه المستخدمون.
المبدأ رقم 03
عتبة الإثبات
يتطلب موقع «تارجت» وجود ما لا يقل عن 2 نتائج إيجابية من مزودين مستقلين على موقع «فيروس توتال» بالإضافة إلى التأكيد اليدوي لعملية جمع بيانات الاعتماد.
المبدأ رقم 04
المسار الشرعي الموازي
يتم تقديم تقارير رسمية عن إساءة الاستخدام إلى مزود الاستضافة ومسجل النطاقات ومزود النموذج قبل بمجرد حدوث أي فيضان — مع أرقام تعريف الحالات والأدلة الكاملة.
المبدأ رقم 05
سجل التدقيق الكامل
تنبع جميع عمليات النقل من Cloudflare Workers ضمن مصدر PhishDestroy موقَّع. ويتم تسجيل كل عملية إرسال مع الطابع الزمني والهدف ومعرّف المشغل.

الحالة 1 — Formspark Exfil Endpoint، استنفاد الحصة الشهرية

checkblochn.pages.dev تم تحييده

نمط التهديد: طُعم لاستعادة المحفظة («Dapp Node Sync») يعمل على تسريب عبارات البذرة المكونة من 12 كلمة وفقًا لمعيار BIP-39 إلى نقطة نهاية Formspark خاضعة لسيطرة المهاجم ضمن الفئة المجانية. تم التأكد من وجود حركة مرور إعلانية مدفوعة من منصتين إعلانيتين عند بدء التفاعل.

مساحة الهجوم
checkblochn.pages.dev (Cloudflare Pages)
قناة التسريب
submit-form.com — نقطة نهاية نموذج Formspark
معرّف النموذج
/32BrdUqfX
حقل الحمولة
بذرة BIP-39 المكونة من 12 كلمة عبر message
الحد الأقصى للخدمة المجانية للمزود
50 مشاركة • فترة متجددة مدتها شهر واحد
تكلفة إعادة تعيين حساب المحتال
حساب Formspark جديد + تعديل عبر JavaScript الخاص بالعميل + إعادة النشر

الجدول الزمني للعمليات (بتوقيت UTC، تم إخفاء الهوية حتى لحظة بدء العملية T-zero)

T + 00:00
الاستيعاب — نطاق تم الكشف عنه بواسطة متتبع PhishDestroy من عينة إعلان مدفوع. آلي
T + 00:12
تم التأكد من التشريح — تحديد الشكل المستهدف submit-form.com/32BrdUqfX مستخرج من الصفحة JS؛ تم إجراء هندسة عكسية لشكل الحمولة. التحليل
T + 00:28
VirusTotal: 3 / 95 أبلغ البائعون عن ذلك باعتباره عملية تصيد. تم تجاوز الحد الأدنى.
T + 00:47
تم تقديم بلاغات عن إساءة الاستخدام — قسم الثقة والسلامة في Cloudflare Pages، وإساءة استخدام Formspark، وPorkbun (مسجل النطاقات). تم إصدار أرقام تعريف الحالات. المسار القانوني
T + 01:02
عدد العاملين في مجال مكافحة الفيضانات — المعدل 2 req / 10 s، عامل Cloudflare واحد، سلسلة UA محددة، مصدر موقّع.
T + 01:02
ظهور النتائج الأولى لاستمارة طلب تعويضات الفيضانات 200 OK مع formspark-quota: 64. تم تسجيل القيمة المرجعية.
الساعة 06:08
formspark-quota عند تجاوز الصفر → تتوقف نقطة النهاية عن إعادة التوجيه دون إخطار. ستارة تصريف المياه
الساعة 06:12
الرد النهائي الذي تم تسجيله: formspark-quota: −18. تم فصل عامل في مجال مكافحة الفيضانات.
الساعة 19:30
تقوم خدمة Cloudflare Pages بإيقاف النشر استجابةً لتقرير عن إساءة الاستخدام. تم إزالته

إرسال عبر الشبكة (البذرة عبارة عن شرك تعبيري — 12 كلمة عشوائية وفقًا لمعيار BIP-39 لا علاقة لها بأي محفظة حقيقية)

POST /32BrdUqfX HTTP/1.1 Host: submit-form.com Origin: https://checkblochn.pages.dev Content-Type: application/x-www-form-urlencoded message=Phrase%3A+lecture+sail+coral+swear+fiber+bonus+vanish+layer+observe+rely+orphan+height&source=Unknown+Source&from_name=Dapp+Node+Sync

الاستجابة — T+01:02 (الخط الأساسي، الحصة المتبقية)

HTTP/1.1 200 OK formspark-quota: 64 حالة formspark: جيد نوع المحتوى: application/json; charset=utf-8 { "message": "عبارة: محاضرة، شراع، مرجان، يشتم، ألياف، مكافأة، يتلاشى، طبقة، يراقب، يعتمد، يتيم، ارتفاع" }

الاستجابة — T+06:12 (استنفاد الحصة، تستمر نقطة النهاية في إرجاع الرمز 200 ولكنها لن تقوم بإعادة التوجيه)

HTTP/1.1 200 OK formspark-quota: -18 حالة formspark: جيد
الحصة قبل الفيضان
64
الحصة بعد الفيضان
−18
82
التقديمات الوهمية
~5 ساعات و06 دقائق
مدة الفيضان
0.27 طلب/ثانية
المعدل المتوسط
~11.5 كيلوبايت
إجمالي الحمولة الصادرة
100%
في حدود شروط الخدمة الخاصة بالمزود
0
الطلبات المشروعة المتأثرة

تأثير ملحوظ. من T+06:08 حتى الإزالة النهائية في T+19:30 — أ فترة مدتها 13 ساعة و22 دقيقة — كل ضحية حقيقية وصلت إلى checkblochn.pages.dev وأكملوا مسار الاستعادة، وقدموا عبارة البذرة الخاصة بهم إلى نقطة نهاية أعادت 200 OK ولكنها لم تعد تعيد توجيه المحتوى إلى صندوق الوارد الخاص بالمشغل. صفحة التصيد ظهرت أن تنجح العملية في متصفح الضحية (دون ظهور أي خطأ أو إشارة تحذيرية)، وهو الأمر المرغوب فيه: فرد الفعل التلقائي المتمثل في القول «لم ينجح الأمر» غالبًا ما يدفع المستخدمين إلى إعادة إدخال نفس بيانات الاعتماد على أول موقع مزيف يصادفونه بعد ذلك. وهنا، فإن التفاعل تم إنهاء المكالمة دون علم المشغل.

ما الذي حققه هذا التدخل فعليًّا

فترة حماية مدتها 13 ساعة لكل زائر لاحق للموقع الذي كانت الإعلانات المدفوعة لا تزال تروج له بنشاط. وانتهت هذه الفترة عندما استجابت «Cloudflare Pages» لتقريرنا المتعلق بإساءة الاستخدام الذي تم إرساله عبر المسار الموازي — تمامًا كما كان مخططًا لها. ولم تحل هذه الموجة من الزيارات محل الإزالة القانونية؛ بل غطت تلك الفترة الفاصلة حتى تم تنفيذ الإطاحة القانونية بنجاح.

الحالة 2 — EmailJS Relay، المعرّفات التي ينشرها المشغل

allsyncapp.pages.dev العملية الجارية

نمط التهديد: طُعم «المزامنة» الخاص بالمحفظة، الذي يرسل البذرة التي أدخلتها الضحية عبر البريد الإلكتروني إلى صندوق بريد المشغل عبر EmailJS — خدمة SaaS شرعية للبريد الإلكتروني الخاص بالمعاملات. وتضم صفحة التصيد المعلومات الخاصة بالمشغل service_id, template_id و user_id في لغة جافا سكريبت الخاصة بجانب العميل، لأنه بدون تلك المعرّفات لا يمكن لمتصفح الضحية إتمام عملية الإرسال (POST) التي تؤدي إلى إرسال البريد الإلكتروني. وبالتالي، فإن هذه المعرّفات تشكل جزءًا من «مساحة الهجوم العامة» التي كشف عنها المشغل طواعيةً.

مساحة الهجوم
allsyncapp.pages.dev (Cloudflare Pages)
قناة التسريب
api.emailjs.com — خدمة ترحيل رسائل البريد الإلكتروني المتعلقة بالمعاملات
نقطة النهاية
POST /api/v1.0/email/send-form
المعرّفات التي ينشرها المشغلون
service_id · template_id · user_id (مستخرجة من جافا سكريبت الصفحة)
الحد الأقصى للخدمة المجانية للمزود
200 رسالة بريد إلكتروني • الشهر الجاري
الحدود الصارمة للمعدل (شروط الخدمة)
1 طلب في الثانية · 50 لكل عنوان IP في الساعة

البيانات الملتقطة — نص الحمولة حرفياً من طلب POST الخاص بصفحة التصيد الاحتيالي نفسها

POST /api/v1.0/email/send-form HTTP/1.1 Host: api.emailjs.com Origin: https://allsyncapp.pages.dev Content-Type: multipart/form-data; boundary=----geckoformboundary6a77738bf873975dfc9c8e4a31fa330e _redirect=TECHNICAL.html message=اليقطين رقائق معدنية قرية عملة بلدة تنورة متوسط ساعة برنامج مسرح فقر تأييد lib_version=3.12.1 service_id=service_t0cgr9v template_id=قالب_k16demo user_id=furwEG-MZShqSPIGS

استخراج المعرّف (تعبير منتظم من سطر واحد في مصدر صفحة التصيد)

$ curl -s https://allsyncapp.pages.dev/ | grep -oE '(service_id|template_id|user_id)["'"'"':]+["'"'"']*[A-Za-z0-9_-]+'service_id: "service_t0cgr9v" template_id: "template_k16demo" user_id: "furwEG-MZShqSPIGS"

نقطة عقائدية أساسية. هذه الحالة مفيدة بالذات لأن لم نكتشف أي نقطة نهاية. المشغل تنشر المعرّفات الثلاثة المطلوبة لجعل EmailJS يرسل «البذرة» إلى صندوق بريدهم. وأي متصفح يعرض صفحة التصيد يمتلكها. يقوم «العامل» (Worker) لدينا بما يفعله متصفح الضحية — أي إرسال نموذج بالشكل والمعرّفات التي تحددها الصفحة نفسها بالضبط. والفرق يكمن في الحمولة: كلمات BIP-39 عشوائية بدلاً من بيانات اعتماد المحفظة الحقيقية.

200
الحد الأقصى الشهري (الشراك الخادعة)
1 / ثانية
معدل ToS — نعمل بسرعة 0.1/ثانية
~120 كيلوبايت
الحمولة القصوى الشهرية
0
عبء البنية التحتية لـ EmailJS (في حدود معينة)
402 / 429
رد المزود عند بلوغ الحد الأقصى للرواتب
تم إغلاق الحساب
النتيجة المعتادة لتقرير الإساءة

نمط النتائج. بمجرد بلوغ الحد الأقصى الشهري، تُرجع EmailJS 402 Payment Required أو 429 Too Many Requests ولا يتم إرسال القالب. ويصبح صندوق بريد المحتال خاليًا من أي رسائل. وفي الوقت نفسه، تتلقى إدارة «الثقة والأمان» في EmailJS شكوى رسمية تتضمن معرّفات الخدمة/القالب/المستخدم ورابطًا إلى حزمة الأدلة التي نشرناها — وهو ما يؤدي، وفقًا للسوابق السابقة، إلى تم إنهاؤه، دون قيود على معدل الاستخدام. يجب على المشغل إنشاء حساب EmailJS جديد، وإعادة إنشاء المعرّفات، وتعديل صفحة التصيد التي تم نشرها، وإبطال صلاحية كل رابط توزيع موجود — وهو سير عمل يستغرق عدة ساعات لكل عملية تدوير.

مقارنة أنماط الهجوم: ما لا يُعد «إغراق البذور»

هناك اتهام متكرر مفاده أننا نشن «هجمات» على مواقع التصيد الاحتيالي. لكن هذا التصوير ينهار فور مقارنة ملف تعريف حركة المرور الفعلي بملف تعريف الأنشطة التي يتم الخلط بينها وبينها.

مقارنة بين «إغراق البذور» و«حجب الخدمة» و«البريد العشوائي» وعمليات المداهمة التي تقوم بها أجهزة إنفاذ القانون.
البعدغمر البذور (طريقتنا)هجمات DDoS / إغراق L7إساءة استخدام إرسال الرسائل غير المرغوب فيهاعملية مراقبة سرية قامت بها شرطة لويزيانا
الغرضحماية الضحايا — استكمال حصة «التسريب» الخاصة بالمحتال قبل الوصول إلى الضحية التاليةهجمات رفض الخدمة على البنية التحتيةالربح التجاري / نشر الرسالةجمع الأدلة، والخداع الموجه
معدل الإنتاجية0.1 – 0.3 طلب/ثانية — أدناه شروط الخدمة الخاصة بالمزود103 – 108 طلبات في الثانية — موجهة نحو التشبعمتقطع / آلي بكميات كبيرةعادةً ما يكون التفاعل واحدًا
الهدفنشر مهاجم استهدف نقطة نهاية واحدة لغرض سرقة البياناتخادم الويب / الطبقة الشبكية لمنظمة الضحيةنماذج الاتصال الخاصة بالمواقع الشرعيةالبنية التحتية أو الشخصية المشبوهة
تأثير البنية التحتيةلا شيء — تعمل عدادات المزود وفقًا للسلوك المحدد في شروط الخدمةانقطاع الخدمة، ازدحام في الشبكة الأماميةتراكم الرسائل في صندوق الوارد، وتغير معايير اختبار CAPTCHA، وعبء الإشرافيعتمد على العملية
المستخدمون الشرعيون المتضررونصفر — لا يوجد مستخدمون شرعيون لنماذج التصيد الاحتياليجميعهمالموظفون/المشرفون المسؤولون عن النماذجالتصميم القائم على التجنب
الهوية الأصليةتُسمى «PhishDestroy Cloudflare Workers» — قابلة للتدقيقشبكات الروبوتات، المصادر المزيفة، الانعكاسالوكلاء القابلون للاستبدالالبنية التحتية السرية
نموذج التفويضنقطة النهاية هي مدعو: النموذج يطلب هذا الإدخال صراحةً، ويتم نشر المعرّفات بشكل علني في الصفحةلا شيء — حجم الطلبات بحد ذاته هو الضرريتجاوز الغرض المقصود من الاستخدام، ويتجاهل إشارات منع إساءة الاستخدامالسلطة القانونية
الإجراءات القانونية الموازيةتم تقديم بلاغات عن حالات إساءة المعاملة قبل بدء الفيضان، مع أرقام تعريف الحالاتغير متوفرغير متوفرجزء لا يتجزأ من العملية
هذا التمييز ليس مجرد كلام. إنه قابل للقياس.

يُعد إرسال «seed-flood» عبارة عن طلب POST واحد عبر بروتوكول HTTPS بحجم يبلغ حوالي 140 بايت، ينطلق من أحد عمال Cloudflare (Cloudflare Worker) يحمل مصدرنا المُوقَّع، بجزء ضئيل من المعدل الذي ينشره المزود نفسه باعتباره مقبولاً، ويستهدف نقطة نهاية اختار المشغل تضمين معرّفاتها في صفحة ويب عامة. وهذا هو القطعة الأثرية بأكملها التي يمكن ملاحظتها. فكل العناصر الهيكلية التي تجعل الطلب يُعتبر «هجومًا» — مثل الوصول غير المصرح به، والنية لاستنزاف الموارد، والتشبع الحجمي، وتأثر أطراف ثالثة، وإخفاء المصدر — غير موجودة. والتحليل القانوني التالي ليس دفاعًا إبداعيًّا؛ بل هو طبيعي قراءة النص القانوني بمجرد توضيح الوقائع بشكل واضح.

حفرة فخ للتصيد الاحتيالي يجري ملؤها بالحجارة
لقد نصب المحتال فخاً. ونحن نملؤه بالحجارة.

إن إدخال البيانات في نموذج ويب متاح للجمهور — حتى لو كانت بيانات مزيفة — ليس أمراً غير قانوني في حد ذاته في معظم الأطر. فنحن لا نقتحم أنظمة خاصة، ولا نستغل ثغرات أمنية غير مصرح بها، ولا نعترض الاتصالات. لقد نصب المحتال فخاً. ونحن نملؤه بالحجارة.

إخلاء المسؤولية القانونية

لا تقدم PhishDestroy أي مشورة قانونية. فهذه المسألة تقع في منطقة رمادية حقيقية تختلف باختلاف الاختصاص القضائي. ونحن نعمل ونحن على دراية تامة بهذه التعقيدات.

قام محتال يدير صفحة تصيد احتيالي بـ لا توجد مصلحة مشروعة في تلقي عبارات البذور الحقيقية فقط. ولا يحق لهم الحفاظ على سلامة البنية التحتية الخاصة بجمع البيانات الإجرامية الخاصة بهم.
نظامنا هو محددة الأهداف، ومقيدة من حيث السرعة، ومرتبطة بعمليات تحديد الهوية اليدوية. نقوم بتحديد الأمور وتحليلها والتأكد منها، ثم نتخذ الإجراءات اللازمة.
لقد قمنا بتوثيق حالات حدث فيها غمر البذور بالمياه منعت بشكل مباشر الضحايا من خسارة أموالهم — لأنه بحلول الوقت الذي أرسل فيه المستخدم الحقيقي عبارة البذرة الخاصة به، كان نظام التحصيل الخاص بالمحتال قد تم تعطيله بالفعل.

ماذا يحدث لقاعدة بيانات المحتال؟

يصبح عديم الفائدة — هناك آلاف الإدخالات التي تتطلب التحقق اليدوي، مما يؤدي إلى انهيار نسبة الإشارة إلى الضوضاء. أو إنه ينكسر — توجد حدود قصوى لـ Firebase Spark ومثيلات MongoDB المشتركة. ويترتب على تجاوز هذه الحدود عواقب.

كلا النتيجتين جيدتان

سواء أصبحت قاعدة البيانات عديم الفائدة أو ينقطع تمامًا — عبارات البذرة الخاصة بالضحايا الحقيقيين لا تصل أبدًا إلى المهاجم في شكل يمكن الاستفادة منه. فكل عبارة بذرة لم تتم معالجتها تمثل محفظة لا يمكن استنزافها.

متى نقوم بتشغيل نظام غمر البذور؟

جدول البيانات: المعيار
المعيارتحققلماذا هذا مهم؟
تم تأكيد وجود حركة مرور نشطةمطلوبتؤكد منصات الإعلانات أو أدوات قياس حركة المرور أن مستخدمين حقيقيين يزورون الموقع
تحليل بنية عمليات التصيد الاحتياليمطلوبتم تحديد وحدات التسريب في المستوى المجاني قبل أن نبدأ في إغراق الشبكة
تم تقديم بلاغات عن حالات إساءة المعاملةمطلوبنحن نسعى دائمًا إلى اتباع المسار الشرعي في الوقت نفسه
لا يوجد إزالة ضمن اتفاقية مستوى الخدمة (SLA)محفز نموذجيلم ترد أي استجابة من شركة التسجيل/الاستضافة خلال فترة زمنية معقولة
موقع إعلانات مدفوعة ذات حجم كبيرالمحفز الفوريالإعلان المدفوع يعني أننا نتصرف دون انتظار الإجراءات البيروقراطية

الصورة الأوسع

النظام البيئي للعملات المشفرة يتكبد خسائر مليارات الدولارات سنويًّا إلى التصيد الاحتيالي. لطالما اتسمت استراتيجية الدفاع بأنها رد فعلية. وقد تم إنشاء «PhishDestroy» بهدف تقديم التدخل الاستباقي في هذه الدورة.

الشفافية هي جوهر عملنا

نحن لا نعمل في الخفاء. فنحن ننشر منهجيتنا. ونشرح تقنياتنا. ونوثق مجموعات أدوات التصيد الاحتيالي التي نحللها. ويستحق مجتمع الأمن تقييم أساليب مكافحة التصيد الاحتيالي، لا الاكتفاء باستخدام خدمة تعمل كـ«الصندوق الأسود».

PhishDestroy — اكتشاف البنية التحتية لعمليات التصيد الاحتيالي وتحييدها
المحتالون منظمون. وأدواتهم موحدة. وهذا يعني أن الأدوات المضادة يمكن أن تكون موحدة أيضًا.

ما يمكنك فعله

إذا كنت ترى أن إثراء المجرمين على حساب المحافظ الفارغة أمر غير أخلاقي — فهذا رأيك، ولديك كل الحق في التمسك به. لقد أوضحنا موقفنا.