احتيالات رمز QR (كويشينج): التهديد المختبئ في العلن

احتيالات رموز QR, المعروفة بـ"كويشينج", في ازدياد مستمر في 2026. تعلّم كيف تسرق رموز QR المزيفة أموالك وبياناتك، وأين يضعها المحتالون، وكيف تفحص بأمان قبل النقر.

· Truvizy Research Team · 8 min read

TL;DR

الكويشينج هو تصيد رمز QR: يستبدل المحتالون رموز QR الشرعية على قوائم المطاعم وعدّادات الوقوف وملصقات الطرود والملصقات العامة برموز تُعيد توجيهها إلى مواقع سرقة البيانات. لأن كاميرا هاتفك تُعاين فقط عنوان URL صغيراً قبل الفتح، معظم الناس لا يلاحظون الاستبدال. تحقق دائماً من عنوان URL الوجهة قبل فتح أي رابط رمز QR، واستخدم ماسح رموز QR مع فحوصات أمان مدمجة، وعند الشك اكتب العنوان الرسمي للموقع يدوياً.

تصل إلى موقف سيارات، تمسح رمز QR على كشك الدفع، وتُدخل بطاقتك الائتمانية للدفع. تبدو المعاملة مكتملة. في وقت لاحق تلك الليلة، يتصل بك بنكك بشأن ثلاثة رسوم احتيالية من الخارج. لم تسلّم بطاقتك لأحد. لم تنقر على بريد إلكتروني مشبوه. كل ما فعلته هو مسح رمز QR, وهذا كان كافياً. مرحباً في الكويشينج: الاحتيال الأسرع نمواً الذي لم يسمع عنه معظم الناس.

صُمِّمت رموز QR للراحة, امسح وانطلق. لكن نفس التجربة السلسة التي تجعلها جذابة للشركات تجعلها خطيرة في أيدي المحتالين. خلافاً لرابط بريد إلكتروني مشبوه يمكنك التمرير فوقه للمعاينة، لا يكشف رمز QR عن شيء حتى بعد توجيه كاميرتك نحوه. بحلول الوقت الذي ترى فيه عنوان URL الوجهة، كثير من الضحايا قد نقروا بالفعل على "فتح". هذه الفجوة المؤلمة هي بالضبط ما يستغله الكويشينج.

ما هو الكويشينج؟

الكويشينج, مزيج من "QR" و"phishing" (التصيد), هو ممارسة تضمين عناوين URL ضارة داخل رموز QR لإعادة توجيه الضحايا إلى مواقع احتيالية. يمكن أن يتخذ الاحتيال عدة أشكال: الاستبدال المادي لرمز شرعي بملصق مزيف في الأماكن العامة، وإرسال رموز QR عبر البريد الإلكتروني أو الرسائل النصية لتجاوز مرشحات البريد العشوائي التقليدية، أو إنشاء وثائق مزيفة (فواتير وإشعارات وقوف وإشعارات طرود) تعرض رموزاً احتيالية بشكل بارز.

صنّف مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي الكويشينج تهديداً ناشئاً ذا أولوية في 2024، والأرقام تفاقمت منذ ذلك الحين. وثّقت شركات الأمن السيبراني زيادة بنسبة 587% في هجمات التصيد المستندة إلى رمز QR بين 2024 و2025. أصبحت التقنية شائعة لدى عصابات الاحتيال المنظمة لأنها رخيصة التنفيذ وصعبة الكشف على نطاق واسع، ومصممة خصيصاً للتحايل على أدوات أمان البريد الإلكتروني التي لا تستطيع قراءة عناوين URL المضمّنة في الصور.

الكويشينج جزء من تحوّل أوسع في أساليب الاحتيال نحو هجمات تستهدف الأجهزة المحمولة. كما وثّقنا في تحليلنا لـكيف يسرّع الذكاء الاصطناعي تطور الاحتيال، يستهدف المحتالون تحديداً الأدوات والعادات التي تبنّاها الناس في عصر الهاتف الذكي, ورموز QR من أكثر عادات الهواتف المحمولة انتشاراً خلال السنوات الخمس الماضية.

كيف تعمل احتيالات رموز QR

آليات هجوم الكويشينج بسيطة بشكل مخادع. يُولّد المهاجم رمز QR يُشفّر عنوان URL ضار, عادةً نسخة مستنسخة من صفحة تسجيل دخول بنكية أو بوابة دفع أو خدمة حكومية. الصفحة المزيفة مصممة لتبدو مطابقة للصفحة الشرعية، وتلتقط أي بيانات اعتماد أو معلومات دفع يُدخلها الضحية.

في الهجمات المادية، يطبع المحتال الرمز الاحتيالي على ملصق ويضعه فوق الرمز الشرعي على عدّاد وقوف أو طاولة مطعم أو لوحة إعلانات عامة. الاستبدال يستغرق ثوانٍ. يمكن للمهاجم بعدها مغادرة المنطقة وجمع البيانات المسروقة عن بُعد. ملصق واحد موضوع جيداً على عدّاد وقوف مزدحم يمكنه التقاط عشرات الضحايا يومياً.

مخطط يُظهر كيف يستبدل محتال ملصق رمز QR شرعي بآخر احتيالي على عدّاد وقوف
مخطط يُظهر كيف يستبدل محتال ملصق رمز QR شرعي بآخر احتيالي على عدّاد وقوف

الكويشينج عبر البريد الإلكتروني يتبع نهجاً مختلفاً. يرسل المهاجمون رسائل تنتحل صفة بنوك أو أقسام موارد بشرية أو شركات شحن، مدّعين أن المستلم بحاجة للتحقق من حسابه أو تتبع شحنة, مع تضمين رمز QR لـ"المسح بهاتفك لأمان إضافي". هذه التعليمة مقصودة: نقل التفاعل إلى جهاز محمول يُبعد الضحية عن حاسوب الشركة مع أدواته الأمنية إلى هاتف شخصي بحمايات أقل.

على الصفحة المزيفة، تواجه الضحية نموذج مصقول لجمع بيانات الاعتماد. الهجمات الأكثر تقدماً تستخدم تقنيات التتابع في الوقت الفعلي: بينما تُدخل الضحية اسم المستخدم وكلمة المرور، يُدخل المهاجم تلك البيانات في الموقع الحقيقي في نفس الوقت، ثم يُعيد توجيه طلب المصادقة الثنائية للضحية, متجاوزاً حماية المصادقة الثنائية بالكامل.

غير متأكد من رابط رمز QR؟ الصق عنوان URL في Truvizy للتحقق منه بحثاً عن مؤشرات التصيد قبل إدخال أي معلومات.

أين تظهر رموز QR المزيفة

عدّادات الوقوف وأكشاك الدفع من أكثر المواقع استهدافاً في الولايات المتحدة. وثّق قسم النقل في تكساس عشرات ملصقات رموز QR المزيفة على عدّادات الوقوف في المدن الكبرى في 2024. أدخل الضحايا تفاصيل بطاقاتهم الائتمانية الكاملة متوقعين دفع رسوم الوقوف وسلّموا بياناتهم المالية مباشرة للمحتالين. يعمل الاحتيال بشكل جيد خاصة لأن الدفع مقابل الوقوف يكون تحت الضغط, السائقون في الغالب يتسرعون ولا يتفحصون واجهة الدفع بعناية.

طاولات وقوائم المطاعم أصبحت ناقلاً رئيسياً مع انتشار تناول الطعام بدون تلامس بعد الجائحة. ملصق برمز QR احتيالي موضوع فوق أو بجانب رمز شرعي يمكنه إعادة توجيه الزبائن إلى قائمة طعام أو صفحة دفع مزيفة. في بعض الحالات، تعرض الصفحة المزيفة حتى قائمة مقنعة قبل إعادة التوجيه إلى نموذج لجمع بيانات الاعتماد يدّعي أن المطعم تحوّل للطلب الإلكتروني.

ملصقات إعادة الطرود تمثّل فئة هجوم سريعة النمو. يتلقى الضحايا طروداً, أحياناً غير مطلوبة، وأحياناً كجزء من حملة جائزة مزيفة, تحتوي على ملصقات إعادة برموز QR. يُفترض أن مسح الرمز يبدأ الإعادة لكنه بدلاً من ذلك يقود إلى بوابة بائع تجزئة مزيفة تطلب معلومات بطاقة الائتمان "لمعالجة الاسترداد".

محطات النقل العام وحافلات الوقوف تحمل خطراً كبيراً لأن اللافتات تُدار من قبل البلديات بقدرة رصد محدودة. يمكن أن تمر الرموز الاحتيالية على خرائط العبور أو أكشاك التذاكر أو شاشات الدفع دون أن تُكشف لأيام قبل الإزالة. في المملكة المتحدة، أزال Transport for London مئات رموز QR الاحتيالية من المحطات في 2025.

الهجمات المستندة إلى البريد الإلكتروني والوثائق تستهدف الشركات بقدر ما تستهدف المستهلكين. فواتير مزيفة تحتوي على رموز QR لـ"الدفع الآمن" وإشعارات موارد بشرية مزيفة تطلب من الموظفين مسح رمز لتحديث معلومات الرواتب وإشعارات توصيل طرود مزيفة جميعها ناقلات هجوم شائعة للمؤسسات. كما نوقش في دليلنا لـكشف التصيد الإلكتروني، الهجمات المستندة إلى البريد تزداد تطوراً في استخدامها للعناصر البصرية للتهرب من التصفية الآلية.

نشرات الجمعيات الخيرية والتبرع المزيفة تستغل الكرم. بعد الكوارث الطبيعية أو أحداث الأخبار الكبرى، تظهر نشرات احتيالية برموز QR للتبرع على لوحات الإعلانات المجتمعية وفي محلات البقالة ووسائل التواصل الاجتماعي. تُلاحق الرموز صفحات دفع خيرية مزيفة مقنعة تلتقط التبرعات وتفاصيل البطاقات دون إجراء أي تبرع حقيقي.

لماذا احتيالات QR فعّالة جداً

تنبع فعالية الكويشينج من عدم تطابق الثقة الجوهري. رموز QR مرتبطة بالراحة والحداثة, توضعها الشركات الشرعية على موادها الرسمية. تدرّب الناس من خلال سنوات الاستخدام على الوثوق بالسياق المادي لرمز QR أكثر من وثوقهم برابط بريد إلكتروني عشوائي. الرمز على طاولة مطعم أو عدّاد وقوف يحمل موافقة ضمنية من الموقع نفسه.

تطبيقات الكاميرا توفر احتكاكاً ضئيلاً. معظم الهواتف الذكية تتعرف تلقائياً على رموز QR وتعرض معاينة صغيرة لعنوان URL يرفضها المستخدمون بشكل غريزي دون قراءة. نافذة المعاينة صغيرة وعنوان URL طويل في الغالب أو مختصر، والنزعة الطبيعية للدماغ للتعرف على الأنماط تعني أن المستخدمين كثيراً ما يرون ما يتوقعونه بدلاً من ما هو موجود فعلاً. عنوان URL مثل "secure-payment-parkingzone.com" يُقرأ كـ"وقوف" من قبل مستخدم مشتت بينما يُشير إلى خطر لمستخدم يقظ.

تصل إلى عدّاد وقوف وتمسح رمز QR. تُظهر كاميرا هاتفك عنوان URL للمعاينة: 'parking-pay-secure-city.com/pay'. العدّاد في مدينة أمريكية كبرى. ماذا يجب أن تفعل؟

  1. افتح الرابط فوراً, يذكر المدينة إذن لا بد أنه شرعي
  2. افحص عنوان URL بعناية: هل يتطابق مع النطاق الرسمي لمدينتك؟
  3. تجاهل المعاينة وامض قدماً في الدفع
  4. مسح الرمز مرة أخرى لمعرفة ما إذا كان يُظهر رابطاً مختلفاً

Answer: النطاقات ذات الأسماء العامة مثل 'parking-pay-secure-city.com' تُعدّ علامة تحذيرية كبرى. سيكون لنظام الوقوف الرسمي في مدينتك نطاقاً محدداً ومعروفاً (مثل paybyphone.com أو موقع.gov الرسمي لمدينتك). تحقق دائماً من أن عنوان URL الوجهة يتطابق مع النطاق الرسمي المتوقع قبل إدخال أي معلومات دفع, أو استخدم فتحة البطاقة المادية إذا كانت متاحة.

السياق المحمول يُزيل أيضاً كثيراً من أدوات الأمان المتوفرة على أجهزة سطح المكتب. حماية نقاط النهاية للشركات وإضافات المتصفح التي تُشير إلى مواقع التصيد وعادة التمرير فوق الروابط لمعاينتها لا تنتقل إلى الهاتف المحمول. على الهاتف، المستخدم في الغالب وحيد.

كيف تكتشف رمز QR مزيف

افحص الرمز جسدياً. ابحث عن ملصقات موضوعة فوق مواد مطبوعة. الملصقات المزيفة في الغالب لها نوع ورق مختلف قليلاً، أو عدم محاذاة طفيف مع عناصر التصميم المحيطة، أو حواف مرئية حيث يتداخل الملصق مع النص المطبوع. مرر ظفرك على السطح, الملصق المتعدد الطبقات عادة ما يكون له حافة ارتفاع خفية.

اقرأ عنوان URL الكامل قبل النقر. بعد مسح كاميرتك للرمز، تظهر إشعارات أو لافتات معاينة. توقف قبل النقر واقرأ عنوان URL الكامل. ابحث عن: اسم الشركة المتوقع في النطاق (وليس لاحقة أو بادئة)، ونطاق عالي المستوى شرعي (.com أو.gov أو.org, وليس امتدادات غير عادية كـ.xyz أو.top)، وغياب كلمات إضافية مثل "secure" أو "login" أو "verify" أو "payment" مضافة إلى ما يبدو اسم علامة تجارية.

كن متشككاً في الاستعجال. الرموز المقترنة بعبارات مثل "امسح فوراً" أو "عرض محدود الوقت" أو "مطلوب للوصول" مصممة لجعلك تتصرف قبل التفكير. الشركات الشرعية لا تستخدم عادةً لغة عاجلة عالية الضغط حول رموز QR للدفع.

قارن مع القنوات الرسمية. قبل مسح رمز QR من بريد إلكتروني أو وثيقة تدّعي أنها من بنكك أو قسم الموارد البشرية أو شركة شحن، تحقق مما إذا كانت تلك المنظمة أرسلت الاتصال فعلاً بالتواصل معها مباشرة عبر موقعها الرسمي أو تطبيقها. لا تستخدم أبداً معلومات الاتصال المقدّمة في نفس الرسالة التي تحتوي على رمز QR. لتقييم الروابط والمحتوى المشبوه من مصادر غير معروفة، أداة فحص Truvizy يمكنها مساعدتك في تقييم المخاطر قبل الالتزام بأي إجراء.

استخدم البديل عند توفره. إذا كان رمز QR هو الخيار الوحيد للدفع في عدّاد وقوف أو كشك، فكّر في استخدام فتحة البطاقة المادية أو الدفع عبر تطبيق رسمي قمت بتنزيله من متجر تطبيقات موثّق أو إيجاد طريقة أخرى. لا ينبغي أبداً أن تتفوق الراحة على الأمان عندما تكون معلومات الدفع أو الهوية معرّضة للخطر.

قائمة تحقق لمسح رموز QR بأمان, تحقق من عنوان URL وافحص الرمز المادي واستخدم التطبيقات الرسمية
قائمة تحقق لمسح رموز QR بأمان, تحقق من عنوان URL وافحص الرمز المادي واستخدم التطبيقات الرسمية

ماذا تفعل إذا تعرضت للاحتيال

إذا مسحت رمزاً وفتحت الرابط وأدخلت معلومات, تصرف بسرعة. كل دقيقة تأخير تمنح المهاجم وقتاً أطول لاستخدام بياناتك.

إذا أدخلت تفاصيل بطاقة الدفع: اتصل بخط الاحتيال التابع لبنكك فوراً (استخدم الرقم الموجود على ظهر بطاقتك، وليس أي رقم من الموقع المشبوه). اطلب تجميد البطاقة أو استبدالها. اطلب من البنك تعليم أي رسوم من لحظة إدخال المعلومات.

إذا أدخلت بيانات تسجيل الدخول: غيّر كلمة مرورك فوراً من جهاز منفصل موثوق. فعّل المصادقة الثنائية إذا لم تكن نشطة. تحقق من أي أجهزة أو جلسات غير مألوفة مسجّلة في الحساب وأزلها. إذا كنت تستخدم نفس كلمة المرور في أماكن أخرى, غيّرها أيضاً.

ضع تنبيه احتيال على ملفك الائتماني مع أحد مكاتب الائتمان الثلاثة الرئيسية (Equifax وExperian وTransUnion), هذا يُخطر الاثنين الآخرين تلقائياً. إذا كنت تعتقد أن هويتك قد تعرضت للاختراق، فكّر في تجميد الائتمان الذي هو مجاني ويمنع فتح حسابات جديدة باسمك. دليلنا الشامل حول الوقاية من سرقة الهوية يغطي عملية التعافي الكاملة بالتفصيل.

احمِ نفسك من احتيالات رموز QR والتهديدات المحمولة الأخرى باكتشاف الاحتيال المدعوم بالذكاء الاصطناعي.

حماية نفسك مستقبلاً

أهم عادة واحدة هي التوقف قبل النقر. يعتمد تصميم الكويشينج بالكامل على حقيقة أن مسح رمز QR يبدو تلقائياً وفورياً. كسر هذه الاستجابة التلقائية, حتى لثانيتين لقراءة عنوان URL, يُعطّل الهجوم. اجعلها قاعدة: معاينة عنوان URL أولاً، فتح ثانياً.

استخدم تطبيقاً مخصصاً لمسح رموز QR يُجري فحوصات أمان في الوقت الفعلي على عنوان URL المُفكَّك قبل عرضه عليك. هذه التطبيقات المتاحة مجاناً من كبار موردي الأمان تعمل كفاحص عناوين URL مدمج في سير عمل المسح. وهي المكافئ المحمول للتمرير فوق رابط قبل النقر.

حافظ على تحديث نظام تشغيل وبراوزر هاتفك. تُغلق تصحيحات الأمان في الغالب ثغرات تستغلها هجمات تنزيل drive-by عند زيارة موقع ضار. الهاتف غير المحدّث أكثر عرضة بكثير للمرحلة الثانية من هجوم الكويشينج، حتى لو ظلت بياناتك الاعتمادية آمنة.

فعّل المصادقة الثنائية باستخدام تطبيق مصادقة, وليس عبر الرسائل النصية. كما أشرنا في دليلنا لـالتصيد والاحتيال عبر الرسائل النصية، يمكن اعتراض المصادقة الثنائية المستندة إلى الرسائل القصيرة. تُولّد تطبيقات المصادقة رموزاً محلياً على جهازك، مما يجعل هجمات التتابع في الوقت الفعلي أصعب بكثير.

أبلغ عن الرموز المشبوهة أينما وجدتها. إذا رأيت ملصقاً يبدو مشبوهاً على رمز QR عام، صوّر الموقع وأبلغ عنه للشركة أو السلطات المحلية. إزالة ملصق ضار في غضون ساعات يمكن أن تحمي عشرات الضحايا المحتملين الآخرين.

Key Takeaways

رموز QR لن تختفي, والمحتالون الذين يستغلونها لن يختفوا أيضاً. مع أن المدفوعات بلا تلامس والقوائم الرقمية والخدمات المحمولة أولاً تصبح أكثر تجذراً في الحياة اليومية، سيزداد الكويشينج تطوراً وانتشاراً. الترياق هو الوعي: معرفة أن أي رمز QR مادي يمكن استبداله، وأن أي رمز في بريد إلكتروني يمكنه الإحالة إلى أي مكان، وأن الثانيتين اللتين تستغرقان لقراءة عنوان URL قبل النقر يمكن أن تكونا الثانيتين اللتان توفّران لك درساً مكلفاً جداً.

تشمل خطط حماية Truvizy أدوات لتحليل عناوين URL والروابط المشبوهة, الصق عنوان URL المُفكَّك من أي رمز QR في Truvizy قبل فتحه واحصل على تقييم فوري مدعوم بالذكاء الاصطناعي لشرعيته. في مشهد تهديدات يُخفي فيه المحتالون روابط ضارة داخل صور، وجود أداة تتحقق من الوجهة الفعلية لم يعد اختيارياً, بل ضرورة.

التصيد عبر الرسائل النصية: لماذا تلك الرسالة من بنكك هي على الأرجح احتيال — التصيد القائم على النص الذي يشارك نفس التكتيكات النفسية مع الكويشينج.

كشف التصيد الإلكتروني — كيفية تحديد الهجمات المستندة إلى البريد الإلكتروني بما في ذلك تلك التي تستخدم رموز QR لتجاوز المرشحات.

هجمات الهندسة الاجتماعية — تقنيات التلاعب النفسي وراء الكويشينج وجميع عمليات الاحتيال الحديثة.

FAQ

ما هو الكويشينج؟

الكويشينج هو تصيد رمز QR, احتيال يستبدل فيه المهاجمون أو يُنشئون رموز QR مزيفة تُعيد توجيه الضحايا إلى مواقع ضارة مصممة لسرقة بيانات تسجيل الدخول أو معلومات الدفع أو تثبيت برامج ضارة على أجهزتهم.

كيف أعرف إذا كان رمز QR مزيفاً قبل مسحه؟

افحص الرمز جسدياً: ابحث عن ملصقات موضوعة فوق رمز أصلي، أو تلف في المواد المحيطة، أو رموز تبدو مختلفة قليلاً مقارنة بالمجاورة. بعد المسح، تحقق دائماً من عنوان URL الوجهة الكامل في معاينة تطبيق الكاميرا قبل النقر على "فتح". إذا لا يتطابق عنوان URL مع نطاق العمل المتوقع تماماً، لا تتابع.

هل مسح رمز QR يمكنه تثبيت برامج ضارة على هاتفي؟

مجرد مسح رمز QR بكاميرتك لا يُثبّت برامج ضارة, لكن فتح الرابط الناتج يمكنه ذلك. يمكن للمواقع الضارة محاولة تنزيلات drive-by أو تصيد بيانات اعتماد أو مطالبتك بتثبيت تطبيق مزيف. حافظ على تحديث نظام تشغيل هاتفك، وتجنب السماح بتثبيت التطبيقات من مصادر غير معروفة، واستخدم ماسح رموز QR مع فحص أمان لعناوين URL.

ما المواقع الأعلى خطراً لرموز QR المزيفة؟

المواقع عالية الخطورة تشمل عدّادات الوقوف وطاولات المطاعم وقوائمها ومحطات النقل العام وملصقات إعادة الطرود وصالات الفنادق والنشرات العامة. أي مكان غير مراقب حيث يمكن لشخص ما استبدال رمز ليلاً دون كشف يُعدّ هدفاً محتملاً.

ماذا يجب أن أفعل إذا مسحت بالفعل وأدخلت معلومات على موقع مشبوه؟

تصرف فوراً: غيّر أي كلمات مرور أدخلتها، وتواصل مع بنكك إذا قدّمت تفاصيل دفع، وفعّل المصادقة الثنائية على الحسابات المتأثرة، وراقب تقرير الائتمان. أبلغ عن الحادثة إلى لجنة التجارة الفيدرالية على reportfraud.ftc.gov وإذا كانت على ملكية تجارية، أبلغ الشركة لتستبدل الرمز المخترق.