كيفية الوقاية من عمليات الاحتيال عبر "القش" أو رموز QR
ربما قمت بمسح عشرات رموز QR هذا الشهر دون تردد – في مطعم، أو عند عداد مواقف السيارات، أو ربما عند جهاز الدفع عند الخروج. هذه الثقة التلقائية هي بالضبط ما يستغله المحتالون في الوقت الحالي، والأرقام يصعب تجاهلها.
ارتفع التصيد الاحتيالي عبر رموز QR – المعروف باسم "القشينغ" – بنسبة 587% من عام 2022 إلى عام 2023، وقفز بنسبة 25% أخرى في عام 2025، حيث تم توجيه أكثر من 26 مليون أمريكي بالفعل إلى مواقع ضارة بهذه الطريقة. وهنا يكمن الجزء المزعج: فقط 39% من المستهلكين يمكنهم اكتشاف رموز QR المصابة بشكل موثوق قبل فوات الأوان، مما يعني أن الغالبية العظمى تقوم بالمسح بشكل أعمى تمامًا.
إذن، ما الذي يحدث بالفعل، وكيف ينجح المهاجمون في ذلك، وماذا يمكنك أن تفعل حيال ذلك؟ دعنا نحلل الأمر.
ما هو "القويشينغ" – ولماذا هو فعال للغاية
القويشينغ (QR + phishing) هو ممارسة إخفاء الروابط الخطيرة داخل رموز QR لإعادة توجيه الأشخاص إلى مواقع ويب مزيفة، أو سرقة بيانات الاعتماد، أو تثبيت برامج ضارة. فكر في الأمر على أنه اختراق كلاسيكي لرمز QR – ولكنه مغلف بتنسيق لا يمكن للعين البشرية فك تشفيره.
هذه هي المشكلة الأساسية في أمان رموز QR: على عكس الرابط العادي في البريد الإلكتروني الذي يمكنك التمرير فوقه ومعاينته، لا يكشف رمز QR عن أي شيء حتى يقوم متصفحك بتحميل الوجهة بالفعل. لا يوجد نطاق به أخطاء إملائية يمكن اكتشافها، ولا نص رابط مشبوه يمكن ملاحظته. خطر رموز QR غير مرئي بحكم تصميمها – وهذا بالضبط ما يجعل التصيد عبر رموز QR فعالاً للغاية مقارنة بالعمليات الاحتيالية التقليدية.
لهذا السبب ظهرت رموز QR في 22% من جميع هجمات التصيد الاحتيالي في 2024–2025. فهي تتجاوز معظم مرشحات البريد الإلكتروني الآلية لأن أدوات الأمان لا تستطيع قراءة عنوان URL المشفر داخل الصورة.
هل يمكن أن تتعرض للاختراق عن طريق مسح رمز QR ضوئيًا؟
يساعدك فهم المشهد الكامل لتهديدات رموز QR على التعرف على التهديدات قبل أن تصبح ضحية. فيما يلي أنماط الهجوم الأكثر شيوعًا في عام 2025.
خدعة الملصقات المزيفة
تتضمن الطريقة المادية الأكثر انتشارًا ملصقات رموز QR مزيفة توضع مباشرة فوق الرموز الشرعية – على عدادات مواقف السيارات، أو طاولات المطاعم، أو لافتات النقل، أو واجهات المتاجر. تعتقد أنك تفتح رابط خريطة أو تدفع في جهاز دفع. في الواقع، تذهب تفاصيل بطاقتك مباشرة إلى بوابة مزيفة للمحتال. يمكن أن ينقذك فحص مادي سريع – للتحقق مما إذا كان الرمز مسطحًا أو يبدو وكأنه مركب – من هذا الأمر تمامًا.
الاختراق عبر البريد الإلكتروني وأدوات Office
نظرًا لأن الناس عادةً ما يقومون بمسح رموز QR باستخدام هواتفهم، فإن عناوين URL المضمنة تتجاوز أدوات أمان أجهزة الكمبيوتر المكتبية مثل جدران الحماية وأدوات حظر عناوين URL في نقاط النهاية. وهذا يجعل اختراق رموز QR عبر البريد الإلكتروني فعالًا بشكل خاص. تبدو الرسالة وكأنها مرسلة من Microsoft أو البنك الذي تتعامل معه أو قسم تكنولوجيا المعلومات في شركتك – مع وجود الشعارات والتنسيق الاحترافي.
تستخدم نسبة كبيرة تبلغ 27% من هجمات القويشينغ هذه تنبيهات مزيفة للمصادقة متعددة العوامل: "انتهت صلاحية جلستك – امسح ضوئيًا لإعادة التحقق." تم تصميم هذا الإلحاح لمنعك من التفكير مرتين.
رموز QR المخفية في المستندات والبريد العادي
هذا أحد المخاطر الأكثر إغفالًا عند مسح رموز QR ضوئيًا: تم الكشف عن نصف مليون رسالة بريد إلكتروني تصيدية تحتوي على رموز QR مضمنة في مرفقات PDF في منتصف عام 2024 وحده. يبدو المستند شرعيًا – فاتورة، كشف حساب، إشعار توصيل – ويبدو رمز QR بداخله اختصارًا ملائمًا. كما أشارت لجنة التجارة الفيدرالية (FTC) إلى ارتفاع مفاجئ في عمليات الاحتيال عبر البريد العادي، حيث تصل روابط برامج ضارة عبر رموز QR مطبوعة على قسائم طرود مزيفة أو فواتير خدمات.
حملات "القويشينغ" المدعومة بالذكاء الاصطناعي
أحدث تطور وأكثره إثارة للقلق في تهديدات الأمن السيبراني المتعلقة بـ"القويشينغ" يتضمن صفحات تصيد تم إنشاؤها بواسطة الذكاء الاصطناعي والتي يكاد يكون من المستحيل تمييزها عن الصفحات الحقيقية. يمكن للمهاجمين الآن إنشاء صفحة حجز مزيفة أو صفحة تسجيل دخول إلىPayPal مقنعة في غضون دقائق، مصممة خصيصًا لهدف معين، مع علامة تجارية واقعية ونصوص مخصصة. وقد جعل هذا منع الاحتيال باستخدام رموز QR أصعب بكثير بالنسبة للأفراد والمؤسسات على حد سواء.
لكن التهديد يتجاوز بكثير صفحات تسجيل الدخول المزيفة. يتم الآن استخدام الذكاء الاصطناعي في كل مرحلة من مراحل سلسلة الهجوم – من اختيار الهدف إلى التسليم إلى التهرب.
- إغراء مخصص للغاية. كان التصيد الاحتيالي التقليدي يعتمد على طُعم عام – "تم تعليق حسابك". تستمد الحملات المدعومة بالذكاء الاصطناعي البيانات من المصادر المتاحة للجمهور: جهة عملك، ومدينتك، ومشترياتك الأخيرة. والنتيجة هي عملية احتيال باستخدام رمز الاستجابة السريعة تبدو وكأنها كُتبت خصيصًا لك، لأنها في الواقع كذلك. فاتورة مزيفة من مورد تعرفه. إشعار "تسليم فائت" يطابق عنوانك الفعلي. هذا المستوى من التخصيص هو ما يجعل التصيد الاحتيالي الحديث صعبًا للغاية في التمييز عنه للوهلة الأولى.
- تعزيز الصوت والتزييف العميق. في الهجمات ذات القيمة الأعلى – التي تستهدف عادةً الموظفين في مجال المالية أو الموارد البشرية – تسبق المكالمات الصوتية التي تم إنشاؤها بواسطة الذكاء الاصطناعي أو رسائل الفيديو المزيفة العميقة رمز الاستجابة السريعة (QR) الخبيث. تُنشئ المكالمة الثقة ("مرحبًا، هذا هو الدعم الفني – ستتلقى رمز التحقق قريبًا")، ويصل رمز الاستجابة السريعة (QR) بعد لحظات عبر البريد الإلكتروني أو الرسائل القصيرة. بحلول الوقت الذي يقوم فيه الهدف بمسحه ضوئيًا، يكون قد تم إعداده بالفعل للامتثال.
- بنية تحتية آلية على نطاق واسع. ما كان يتطلب في السابق خبرة تقنية لإعداده – مثل النطاقات المزيفة وشهادات SSL والمواقع المشابهة – يمكن الآن إنشاؤه وتبديله تلقائيًا. ينشر المهاجمون مئات الصفحات التصيدية قصيرة العمر في وقت واحد، ويتنقلون بين النطاقات بسرعة كافية لتجاوز قوائم الحظر. لهذا السبب تعاني أدوات الأمان التقليدية القائمة على عناوين URL: فبحلول الوقت الذي يتم فيه الإبلاغ عن نطاق ما، يكون قد تم استبداله بالفعل.
- التهرب مدمج في التصميم. يمكن الآن لنماذج الذكاء الاصطناعي المدربة على أنماط الكشف الأمني إنشاء رموز QR وصفحات هبوط مصممة خصيصًا لتجنب تشغيل المرشحات. فهي تحاكي البنية المرئية للصفحات الشرعية بدقة عالية – أحجام الخطوط الصحيحة، وحقول النماذج ذات المظهر الأصلي، ورسائل الخطأ الواقعية عند إدخال بيانات اعتماد خاطئة (حيلة كلاسيكية لجمع محاولات متعددة لإدخال كلمة المرور).
التأثير العملي واضح: الإشارات المرئية والسياقية التي كانت تساعد الناس في السابق على التعرف على عمليات الاحتيال أصبحت غير موثوقة. أصبح الشك في المصدر – وليس المظهر فقط – هو المرشح الأكثر أهمية الآن.
من هم الأكثر استهدافًا؟
لا تتوزع المخاطر الأمنية لرموز QR بالتساوي. تواجه بعض الصناعات تعرضًا أعلى بشكل كبير بسبب طبيعة استخدامها لرموز QR وقيمة البيانات التي تتعامل معها.
| القطاع | سبب استهدافها | وسيلة الهجوم الشائعة |
|---|---|---|
| القطاع المالي والمصرفي | بيانات اعتماد عالية القيمة، بيانات الدفع | صفحات تسجيل دخول مزيفة لتطبيقات البنوك، بوابات PayPal / Venmo مزيفة مع جمع بيانات الاعتماد |
| الرعاية الصحية | بيانات المرضى الحساسة، الأنظمة القديمة | نماذج مزيفة للمرضى يتم إرسالها عبر البريد الإلكتروني، ورموز QR على أوراق التسجيل المطبوعة |
| التعليم | قاعدة مستخدمين كبيرة، وعي أمني منخفض | بوابات تسجيل دخول Wi-Fi مزيفة في الحرم الجامعي، رموز QR في مواد الدورة التدريبية بصيغة PDF |
| ة التجزئةوالتجارة الإلكترونية | معالجة المدفوعات، حركة مرور عالية | عمليات احتيال باستخدام ملصقات على أجهزة الدفع الشرعية، ورموز خصم أو حجز ولاء مزيفة |
| المطاعم والسياحة | استخدام مكثف لرموز QR، ووضعها في الأماكن العامة | استبدال رموز QR الخاصة بقوائم الطعام بصفحات طلبات مزيفة، وبوابات Wi-Fi مزيفة في الردهات |
| الحكومة | استغلال ثقة الجمهور | نماذج تصاريح مزيفة، بوابات دفع ضرائب مزيفة تحاكي المواقع الرسمية |
| اللوجستيات | استعجال تسليم الطرود | عناوين URL مزيفة للتتبع يتم إرسالها عبر الرسائل القصيرة، ورموز QR على إيصالات التسليم المزيفة |
| العقارات | المعاملات عالية القيمة | صفحات إعلانات عقارات مزيفة، ونماذج توقيع مستندات احتيالية، مع سرقة بيانات الاعتماد |
يتمتع موظفو قطاع التجزئة بأعلى معدل فشل في الكشف عن الأنشطة الخبيثة لرموز QR، في حين أن قطاعات التمويل والتصنيع والرعاية الصحية هي باستمرار من بين القطاعات الأكثر استهدافًا. والجدير بالذكر أن المشكلات الأمنية المتعلقة برموز QR في قطاع الرعاية الصحية تنطوي على عواقب خطيرة بشكل خاص – حيث تكون بيانات المرضى وبيانات اعتماد التأمين والأنظمة الداخلية كلها على المحك.
أنشئ
رمز الاستجابة السريعة الآن!
ضع رابط رمز الاستجابة السريعة الخاص بك، وأضف اسمًا لرمز الاستجابة السريعة الخاص بك، وحدد فئة المحتوى وقم بإنشاء!
كيفية منع "القشيش": أفضل الممارسات الأمنية لرموز QR
فيما يلي تفصيل عملي للحفاظ على الأمان – سواء كنت مستخدمًا فرديًا أو صاحب عمل أو مسؤولاً عن المواد التسويقية التي تتضمن رموز QR.
1. قم دائمًا بمعاينة عنوان URL قبل فتحه
تعرض معظم الهواتف الذكية الحديثة رابط الوجهة فورًا بعد المسح الضوئي، قبل أن يقوم متصفحك بتحميل أي شيء. هذه العادة التي تستغرق عشر ثوانٍ هي أساس أمان رموز QR – لا تتجاهلها.
عند التحقق من عنوان URL، انتبه إلى:
- HTTPS مقابل HTTP – عدم وجود تشفير هو علامة خطر فورية؛
- الروابط المختصرة – خدمات مثل bit.ly و tinyurl وما شابهها تخفي الوجهة الحقيقية؛
- النطاقات التي تحتوي على أخطاء إملائية – "paypa1.com" أو "arnazon.com" هي حيل كلاسيكية؛
- النطاقات غير ذات الصلة – رمز QR لمطعم يشير إلى نطاق لا علاقة له بالمكان؛
- سلاسل إعادة التوجيه – غالبًا ما تشير القفزات المتعددة قبل الوصول إلى الصفحة الفعلية إلى وجود هجوم عبر رمز الاستجابة السريعة.
استخدم تطبيقًا آمنًا لمسح رموز QR – لا تكتفِ باستخدام الكاميرا الافتراضية لهاتفك. سيقوم مدقق أمان رموز QR المناسب بتمييز النطاقات الخبيثة المعروفة قبل فتح أي شيء، مما يوفر لك طبقة حماية حقيقية بدلاً من مجرد الراحة.
2. افحص رموز QR فعليًا في الأماكن العامة
يعد اكتشاف التلاعب مصدر قلق حقيقي في المواقع ذات الازدحام الشديد. قبل مسح أي شيء في الأماكن العامة، انظر عن كثب: هل الرمز ملتصق تمامًا بالسطح، أم يبدو مرتفعًا قليلاً؟ هل الحواف نظيفة، أم يبدو أنه ملصق تم وضعه فوق شيء آخر؟
هذا مهم بشكل خاص عند عدادات مواقف السيارات ومحطات النقل وأي مكان يتعلق بأمن الدفع برموز QR – وهي بالضبط المواقع التي يستهدفها المحتالون أكثر من غيرها، لأن الإلحاح والتشتت يعملان لصالحهم.
3. لا تقم أبدًا بمسح رموز QR من رسائل البريد الإلكتروني غير المتوقعة
هذا هو المكان الذي يسبب فيه التصيد الاحتيالي باستخدام رموز QR أكبر قدر من الضرر. لا تطلب منك الشركات الشرعية – مثل البنوك ومزودي البرمجيات وأقسام الموارد البشرية – مسح رمز QR للتحقق من هويتك أو إعادة تعيين كلمة مرورك عبر البريد الإلكتروني. إذا تلقيت رسالة من هذا القبيل، فانتقل مباشرةً إلى الموقع الإلكتروني الرسمي للشركة عن طريق كتابة العنوان يدويًا.
لا تقم أبدًا بمسح رمز QR من صورة أو مرفق PDF لم تكن تتوقعه، بغض النظر عن مدى رسميته. ينطبق هذا أيضًا على الرسائل المعاد توجيهها عبر WhatsApp والرسائل النصية القصيرة – فقد تجاوز المتسللون الذين يستخدمون رموز QR حدود البريد الإلكتروني.
4. استخدم أداة فحص أمان رموز QR مناسبة
لا توفر جميع تطبيقات المسح الضوئي نفس مستوى الحماية. تكتفي الكاميرا العادية بقراءة النمط – أما الماسح الضوئي الأكثر أمانًا لرموز QR فيقوم بمقارنة عنوان URL الوجهة بشكل فعال مع قواعد بيانات التهديدات في الوقت الفعلي. ابحث عن التطبيقات التي توفر صراحةً ميزات أمان لقارئ رموز QR: معاينة عنوان URL، وكشف البرامج الضارة، والتحقق من سمعة النطاق.
يعد التحقق من رموز QR قبل الاستجابة لها أكثر العادات فعالية التي يمكنك اكتسابها. إذا لم يعرض لك التطبيق الرابط قبل فتحه، فابحث عن تطبيق آخر يفعل ذلك.
5. هل رموز QR آمنة؟ علامات التحذير التي يجب ألا تتجاهلها
انتبه لهذه العلامات التحذيرية بغض النظر عن السياق – سواء كنت تقوم بمسح رمز QR لصفحة على وسائل التواصل الاجتماعي، أو شبكة Wi-Fi، أو جهة اتصال vCard، أو رابط دفع:
- لغة الخوف أو الاستعجال المرتبطة بالرمز ("امسح الآن أو ستفقد الوصول")؛
- الرموز التي تصل عبر رسائل SMS أو بريد إلكتروني أو رسائل WhatsApp غير مرغوب فيها؛
- رموز QR من مرفقات PDF أو صور من مرسلين مجهولين؛
- الرموز التي تطلب منك تثبيت تطبيق غير مألوف من متاجر التطبيقات؛
- روابط الدفع التي تمر عبر عدة عمليات إعادة توجيه قبل الوصول إلى صفحة الدفع؛
- أي رمز يعد بالوصول المجاني إلى Spotify أو YouTube أو محتوى مميز.
6. هل قمت بالفعل بمسح شيء مريب؟ تصرف على الفور
الأخطاء واردة – وإليك كيفية الحد من الضرر. افصل اتصالك بشبكة Wi-Fi والبيانات المتنقلة على الفور لقطع الاتصال بخادم المهاجم. قم بإجراء فحص باستخدام تطبيق أمان موثوق به للهواتف المحمولة. قم بتغيير أي كلمات مرور تم إدخالها بعد الفحص، مع إعطاء الأولوية للحسابات المالية وحسابات العمل. تحقق من سجل التثبيت في متاجر التطبيقات بحثًا عن أي شيء غير مألوف، وقم بإلغاء الأذونات غير المعروفة، واتصل بمصرفك على الفور إذا كانت هناك أي تفاصيل دفع متضمنة.
للشركات: الحفاظ على موثوقية رموز QR الخاصة بك
إذا كانت مؤسستك تستخدم رموز QR في الحملات التسويقية، أو عمليات التجارة الإلكترونية، أو قوائم العقارات، أو نماذج التسجيل في الرعاية الصحية، أو قوائم المطاعم – فإن تأمين رموز QR هو جزء من مسؤوليتك تجاه المستخدمين.
تشمل ميزات أمان رموز QR الفعالة للشركات استخدام رموز منمقة مع شعارك وألوان علامتك التجارية (التي يصعب تزويرها بشكل مقنع)، وإبلاغ المستخدمين بوضوح بما يجب أن يتوقعوا رؤيته بعد المسح الضوئي، وفحص الرموز المعروضة للجمهور بشكل روتيني بحثًا عن علامات التلاعب.
علاوة على ذلك، فإن مسألة أمان أداة إنشاء رموز QR تكتسب أهمية كبيرة. فمولد رموز QR الأكثر أمانًا هو الذي يقوم بفحص عنوان URL الوجهة عند الإنشاء – حيث يحجب الروابط الضارة والرسائل غير المرغوب فيها والمحتوى المحظور قبل نشر الرمز على الإطلاق. وهذا بالضبط ما تفعله Me-QR: يتم فحص كل رمز QR ديناميكي يتم إنشاؤه عبر الخدمة تلقائيًا للتأكد من خلوه من البرامج الضارة ومحتوى التصيد الاحتيالي وانتهاكات السياسات، بحيث لا تتعرض أنت ولا عملاؤك لمخاطر أمنية متعلقة برموز QR من خلال المواد الخاصة بك.
كن يقظًا، امسح بذكاء
مخاطر استخدام رموز QR ليست متأصلة في التكنولوجيا نفسها – بل تكمن في المكان الذي يقود إليه الرمز وما إذا كنت تهتم بالتحقق منه. الحفاظ على أمانك لا يعني تجنب رموز QR — بل يعني معرفة ما الذي يجب البحث عنه قبل المسح.
تحقق من عنوان URL. افحص الرمز المادي. استخدم ماسحًا ضوئيًا آمنًا لرموز QR يقوم بالتحقق نيابة عنك. يعتمد المحتالون وراء عمليات اختراق رموز QR هذه على وضع التشغيل التلقائي. وإحصائيًا، هم محقون في ذلك – حيث لا يزال 61% من الناس يقومون بالمسح دون التحقق من المكان الذي يقود إليه الرمز. هذا الرقم هو نقطة الضعف الفعلية. قم بسدها، وستكون قد فعلت بالفعل أكثر من معظم الناس.
إدارة رموز QR الخاصة بك!
اجمع كل رموز QR الخاصة بك في مكان واحد ، واعرض الإحصائيات ، وغيّر المحتوى عن طريق إنشاء حساب
اشتراك
هل كانت هذه المقالة مفيدة؟
اضغط على نجمة لتقييمها!
شكرًا لتصويتك!
التقييم المتوسط: 5/5 الأصوات: 2
كن أول من يقيم هذا المنشور!
