التصيّد ليس جديدًا.
نحن نتحدث عن رسائل البريد الإلكتروني المزيفة، وصفحات تسجيل الدخول المزيفة، وروابط الاحتيال، ورسائل البنوك المزيفة، ورسائل التوصيل النصية المزيفة، والهندسة الاجتماعية منذ سنوات عديدة. لكن المشكلة لا تزال قائمة. بل إنها تزداد حجمًا وسرعة وتخصيصًا.
اليوم، يمكن لعملية احتيال أن تصل إلى أي شخص في ثوانٍ.
يمكن أن يأتي رابط التصيّد من بريد إلكتروني، أو رسالة واتساب، أو مجموعة تيليجرام، أو عرض عمل مزيف، أو رمز QR، أو ملف PDF، أو إعلان على وسائل التواصل الاجتماعي، أو حتى تعليق بسيط تحت منشور. أبلغت APWG عن أكثر من مليون هجوم تصيّد في الربع الأول من عام 2025، وهو أعلى رقم منذ أواخر عام 2023، وأشارت أيضًا إلى أن المجرمين يرسلون ملايين رسائل البريد الإلكتروني المحتوية على رموز QR والتي تقود الأشخاص إلى مواقع تصيّد وبرامج ضارة. (APWG)
هذه هي الحقيقة البسيطة:
الإنترنت مفتوح. ولأنه مفتوح، فإن عمليات الاحتيال تبعد نقرة واحدة دائمًا.
هذا الانفتاح جميل. فهو السبب الذي يمكننا من البناء والمشاركة والتعلم والتواصل مع الناس في جميع أنحاء العالم. لكنه يعني أيضًا أن أي شخص يمكنه شراء نطاق، وإنشاء صفحة مزيفة، والحصول على شهادة، والبدء في مهاجمة الناس بسرعة كبيرة.
ولهذا السبب لا يزال التصيّد أحد أكبر المشاكل على الإنترنت.
الحلول القديمة لم تعد كافية
لا تزال معظم الشركات تعمل مع تغذيات استخبارات التهديدات، وقوائم الحظر، وأنظمة السمعة.
الفكرة بسيطة: إذا كان موقع ويب معروفًا بأنه موقع تصيّد، أضفه إلى قائمة واحظره لاحقًا.
هذا ينجح أحيانًا. لكن التصيّد لم يعد بتلك البطء.
يمكن لموقع تصيّد أن يبقى لبضع ساعات فقط. في دراسة أكاديمية عام 2025، وجد الباحثون أن مواقع التصيّد كان لها عمر وسطي يبلغ 5.46 ساعة فقط، بينما اكتشف Google Safe Browsing 18.4% فقط من مواقع التصيّد في مجموعة بياناتهم واستغرق 4.5 أيام في المتوسط لاكتشافها. كما وجدت الدراسة نفسها أن العديد من مواقع التصيّد تم إزالتها بالفعل قبل أن تكتشفها قائمة الحظر. (7 Days Later: Analyzing Phishing-Site Lifespan After Detected)
هذه نقطة مهمة جدًا.
إذا كان الهجوم نشطًا لساعات، لكن الدفاع يستجيب في أيام، فإن العديد من المستخدمين يكونون قد تعرضوا بالفعل.
لهذا السبب لا تكفي الحماية المعتمدة على القائمة السوداء وحدها.
هي ليست عديمة الفائدة. فلا يزال لها قيمة. لكنها ليست كافية لمواجهة التصيّد الحديث.
المهاجمون يعرفون كيف يختبئون
مشكلة أخرى هي التهرب.
المهاجمون لا يعرضون دائمًا نفس الصفحة للجميع. يمكنهم عرض صفحة التصيّد الحقيقية للضحية فقط وعرض صفحة نظيفة لأدوات الأمان.
هذا ما يُسمى بالتنكر (cloaking).
يمكن لموقع التصيّد أن يتصرف بشكل مختلف بناءً على:
- بلد الزائر،
- نوع الجهاز،
- المتصفح،
- عنوان IP،
- الوقت من اليوم،
- ما إذا كان الزائر يبدو كشخص حقيقي أو كأداة فحص أمني.
العمل الأكاديمي الحديث يدعم أيضًا هذه الحاجة إلى أنظمة كشف أكثر تكيفًا. على سبيل المثال، تُظهر ورقة PhishParrot على arXiv أن مواقع التصيّد يمكنها استخدام التنكر لعرض الصفحة الخبيثة الحقيقية على مستخدمين محددين فقط، مع عرض محتوى نظيف لأدوات الزحف الأمني. في تقييمهم الذي استمر 21 يومًا، أظهر الباحثون أن نهج الزحف التكيفي حسّن دقة الكشف بنسبة تصل إلى 33.8% مقارنة بأنظمة التحليل القياسية (PhishParrot: LLM-Driven Adaptive Crawling to Unveil Cloaked Phishing Sites). بالنسبة لي، هذه إشارة قوية: الكشف الثابت والموحد لم يعد كافيًا. نحن بحاجة إلى أنظمة يمكنها التكيف مع كيفية إخفاء المهاجمين لصفحات التصيّد وتغييرها وعرضها بشكل انتقائي.
لذا عندما يسأل أحدهم، "لماذا لم يتم حل مشكلة التصيّد حتى الآن؟"، فهذه إحدى الإجابات.
لأن المهاجمين لا ينشئون صفحات مزيفة فحسب.
بل ينشئون صفحات مزيفة تختبئ.
التعلم الآلي ساعد، لكنه لم يحل المشكلة بالكامل
بعد أن بدأت أنظمة القوائم السوداء تصبح بطيئة جدًا، انتقل العديد من الباحثين والشركات إلى التعلم الآلي.
هذا كان منطقيًا.
بدلاً من السؤال فقط "هل هذا الرابط معروف بالفعل؟"، يطرح التعلم الآلي سؤالًا أفضل:
"هل يبدو هذا الرابط مشبوهًا؟"
هذا مفيد. لكنه يجلب أيضًا مشكلة أخرى: الإيجابيات الكاذبة.
إذا حظر منتج أمان موقعًا آمنًا، يفقد الناس الثقة فيه. وفي الشركات، يخلق هذا أيضًا ألمًا تشغيليًا. تصبح فرق الأمان أبطأ. وينزعج الموظفون. ويضيع المحللون الوقت في فحص تنبيهات لا ينبغي أن تكون موجودة.
لقد رأيت هذه المشكلة أيضًا بشكل مباشر أثناء بناء النسخة الأولى من PhiShark.
كانت النسخة الأولى من PhiShark مبنية على التعلم الآلي. وبصراحة، ساعدنا ذلك في فهم المشكلة بشكل أفضل بكثير.
كان الدرس الأكبر بسيطًا:
البيانات، البيانات، البيانات.
مع التعلم الآلي، أنت تعتمد دائمًا على البيانات. لكن في التصيّد، تتغير البيانات كل ثانية. يمكن أن يظهر نوع احتيال جديد غدًا. يمكن أن يصبح نمط نطاق جديد شائعًا. يمكن أن تبدأ حملة علامة تجارية مزيفة جديدة. يمكن لحيلة تنكر جديدة أن تجعل مجموعة بياناتك القديمة أقل فائدة.
ثم تواجه سؤالًا صعبًا جدًا:
أي البيانات يجب أن تثق بها؟
أي البيانات يجب أن تستخدمها للتدريب؟
أي العينات القديمة لا تزال مفيدة؟
أي العينات القديمة أصبحت مضللة الآن؟
كيف تحافظ على تحديث النموذج دون جعله مليئًا بالضوضاء؟
كيف تتجنب الانهيار تحت وطأة بياناتك التاريخية؟
هذا أصعب بكثير مما يبدو.
لأن التصيّد ليس مشكلة ثابتة. إنه يتحرك. يتغير. يتكيف.
لهذا السبب، شعرت منذ البداية أن منتج التصيّد يحتاج إلى أكثر من مجرد نموذج مدرّب. يحتاج إلى ذكاء.
يحتاج إلى نظام يمكنه النظر إلى إشارات جديدة، وفهم السياق، وربط أجزاء مختلفة من الأدلة، واتخاذ قرار أقرب إلى كيفية تفكير المحلل البشري.
وبالنسبة لنا، أصبح هذا ممكنًا أكثر بكثير مع بنية الوكلاء (agentic architecture).
سأكتب عن هذا بمزيد من التفصيل في منشورات مستقبلية، لكن هذه كانت واحدة من أكبر نقاط التحول لـ PhiShark.
لهذا السبب يُعد اكتشاف التصيّد أمرًا صعبًا.
إذا كنت متساهلًا جدًا، تفوّت الهجمات. وإذا كنت عدوانيًا جدًا، تحجب الحياة الطبيعية.
منتج التصيّد الجيد يحتاج إلى توازن. يحتاج إلى أن يكون سريعًا، لكن بدون ضوضاء. يحتاج إلى حماية الناس، لكن دون تعطيل استخدامهم اليومي للإنترنت.
التصيّد ليس مشكلة تقنية فحسب
عندما ننظر إلى منتجات الأمن السيبراني، نرى العديد من الأدوات لأمان نقاط النهاية، وأمان السحابة، وأمان الهوية، وSIEM، وSOAR، وأمان الشبكات، واستخبارات التهديدات.
لكن عندما ننظر إلى حماية التصيّد للأشخاص العاديين، لا تزال الخيارات محدودة.
لماذا؟
لأن التصيّد ليس مشكلة تقنية فحسب.
إنه مشكلة إنسانية.
تصف CISA الهندسة الاجتماعية بأنها هجوم يستخدم فيه المهاجم التفاعل البشري للحصول على المعلومات أو اختراقها. بكلمات بسيطة، المهاجمون لا يخترقون النظام دائمًا. أحيانًا يخترقون الثقة. (CISA)
وهذا أصعب بكثير.
لأن البشر عاطفيون. نتعب. نستعجل. نذعر. نثق بالعلامات التجارية المألوفة. نثق بالرسائل التي تبدو عاجلة. ننقر عندما يبدو شيء ما عاديًا.
يمكن إصلاح ثغرة برمجية.
لكن كيف تُصلح الخوف؟ كيف تُصلح التوتر؟ كيف تُصلح أبًا يتلقى رابط دفع مدرسي مزيف؟ كيف تُصلح شخصًا مسنًا يتلقى رسالة بنكية نصية مزيفة؟
لهذا السبب لا يزال التصيّد قويًا.
التدريب مفيد، لكن التدريب وحده لا يكفي
لفترة من الوقت، ركزت العديد من الشركات على التدريب على التوعية بالتصيّد.
ونعم، التدريب مهم.
يجب أن يتعلم الموظفون كيف تبدو رسالة التصيّد. يجب أن يفهموا النطاقات المزيفة، واللغة العاجلة، والمرفقات المشبوهة، وصفحات تسجيل الدخول المزيفة.
لكن التدريب وحده لا يمكن أن يكون الحل الكامل.
لأن المهاجمين لا يستهدفون الموظفين فقط.
يمكنهم استهداف عائلاتهم، وأصدقائهم، وشركائهم، ووالديهم، أو أطفالهم.
اليوم، بسبب وسائل التواصل الاجتماعي، يمكن الوصول إلى الجميع تقريبًا. حياتنا عامة. وظائفنا، ومدارسنا، وأصدقاؤنا، وأفراد عائلتنا، ومواقعنا، وعاداتنا اليومية أسهل في العثور عليها من أي وقت مضى.
هذا يعني أن المهاجمين يمكنهم التحرك من حولنا.
ربما لا يستطيعون الوصول إلى الموظف مباشرة. لذا يصلون إلى شخص قريب منه. ثم يأتي الهجوم من اتجاه موثوق.
لهذا السبب أؤمن بأن حماية التصيّد يجب ألا تقتصر على الشركات فقط.
يجب أن تحمي الناس أيضًا في حياتهم العادية.
الأشخاص الأكثر عرضة للخطر هم غالبًا الأقل حمايةً
هذا الجزء مهم جدًا بالنسبة لي.
معظم أدوات الأمن السيبراني مبنية للخبراء.
لديها لوحات معلومات، وتنبيهات، ونقاط خطر، وسجلات، وسياسات، وتكاملات، وإعدادات معقدة.
هذا جيد لفريق SOC.
لكن ماذا عن طفل؟
ماذا عن شخص مسن؟
ماذا عن شخص يريد فقط فتح رسالة توصيل؟
ماذا عن شخص يمسح رمز QR في مطعم؟
أظهرت بيانات جرائم الإنترنت لمكتب التحباط الفيدرالي لعام 2024 أن الناس في الولايات المتحدة خسروا أكثر من 16 مليار دولار بسبب الاحتيال والجرائم السيبرانية في عام 2024. وقدّم الأشخاص الذين تبلغ أعمارهم 60 عامًا فأكثر أكثر من 147,000 شكوى وأبلغوا عن خسائر بلغت 4.8 مليار دولار. وكان التصيّد أو الانتحال أحد أكثر الشكاوي شيوعًا بين كبار السن. (Axios)
هذا يخبرنا بشيء بوضوح:
الأشخاص الذين يحتاجون إلى الحماية ليسوا الشركات فقط.
الناس العاديون يحتاجون إلى الحماية أيضًا.
العائلات تحتاج إلى حماية. الآباء يحتاجون إلى حماية. الأطفال يحتاجون إلى حماية. كبار السن يحتاجون إلى حماية.
ويجب أن يكون الحل بسيطًا بما يكفي لهم.
لهذا السبب بنينا PhiShark
في PhiShark، بدأنا بفكرة بسيطة:
ماذا لو كانت حماية التصيّد أقرب إلى المستخدم؟
ليس فقط داخل شبكة الشركة.
ليس فقط داخل لوحة معلومات المؤسسات.
ليس فقط بعد الإبلاغ عن الرابط بالفعل.
بل مباشرة حيث ينقر الناس.
لهذا السبب بنينا إضافة متصفح PhiShark.
الهدف بسيط:
قبل أن ينقر شخص ما على رابط خطير، يجب أن يساعده PhiShark في فهم الخطر.
أردنا أن نجعله مفيدًا ليس فقط لفرق الأمان، ولكن أيضًا لمستخدمي الإنترنت العاديين. لأن التصيّد لم يعد يحدث فقط في بريد الشركات الإلكتروني.
إنه يحدث في ملفات PDF. يحدث في رموز QR. يحدث في الرسائل. يحدث في الفواتير المزيفة. يحدث في صفحات التوصيل المزيفة. يحدث في النماذج الحكومية المزيفة. يحدث في صفحات تسجيل الدخول المزيفة لوسائل التواصل الاجتماعي.
حذّرت APWG أيضًا من أن التصيّد عبر رموز QR أصبح قناة خطيرة، حيث يرسل المجرمون ملايين رسائل البريد الإلكتروني المحتوية على رموز QR تقود الأشخاص إلى مواقع تصيّد وبرامج ضارة. (APWG)
لذا صممنا PhiShark للتحقق من أكثر من مجرد رابط بسيط.
نريده أن ينظر إلى الروابط داخل رسائل البريد الإلكتروني. نريده أن يحلل ملفات PDF. نريده أن يفحص رموز QR. نريده أن يحمي الناس قبل وقوع الخطأ.
نحتاج إلى أدوات تفكر أكثر مثل المحللين البشريين
المحلل البشري لا يطرح سؤالًا واحدًا فقط.
لا يسأل فقط:
"هل هذا الرابط في قائمة الحظر؟"
بل يطرح العديد من الأسئلة الصغيرة:
لماذا يبدو هذا النطاق غريبًا؟ متى تم إنشاؤه؟ ما الشهادة التي يستخدمها؟ أين يتم استضافته؟ هل تبدو الصفحة كصفحة تسجيل دخول؟ هل تقلد علامة تجارية معروفة؟ هل هناك إعادة توجيه مشبوهة؟ هل يختبئ الموقع من أدوات الزحف؟ هل هو نشط في بلد واحد فقط؟ هل يتصرف بشكل مختلف على الهاتف المحمول؟
هذا هو الاتجاه الذي نريده لـ PhiShark.
نريد بناء نظام ينظر إلى إشارات عديدة معًا.
ليس إشارة واحدة فقط.
ليس قائمة حظر فقط.
ليس درجة واحدة فقط.
بل تحليل حقيقي.
نظام يمكنه أن يقول:
"هذا يبدو مشبوهًا، وإليك السبب."
هذا "السبب" مهم.
لأن الثقة مهمة.
يجب ألا يرى الناس تحذيرًا أحمر فحسب. بل يجب أن يفهموا السبب وراءه.
لماذا يحتاج هذا المجال إلى مزيد من الاهتمام
لا زلت أؤمن بأن التصيّد هو أحد أكثر المشاكل التي يتم التقليل من شأنها في الأمن السيبراني.
لا يزال الكثير من الناس يعتقدون أن التصيّد يعني رسائل بريد إلكتروني سيئة بها أخطاء إملائية.
لكن التصيّد الحديث أفضل بكثير من ذلك.
الصفحات تبدو حقيقية. الرسائل شخصية. التوقيت ذكي. النطاقات تبدو مقنعة. الهجمات تتحرك بسرعة. والمهاجمون يختبئون من أدوات الأمان.
حتى تقرير Verizon DBIR لعام 2026 يشير إلى أن الأجهزة المحمولة أصبحت هدفًا متزايدًا، حيث تحصل تهديدات الهاتف المحمول على معدلات نقر أعلى من تهديدات البريد الإلكتروني التقليدية. (Verizon)
لذا التصيّد لم يعد يقتصر على صندوق البريد الإلكتروني القديم.
إنه ينتقل إلى حياتنا اليومية.
ويجب أن تتحرك حمايتنا معه.
هذه هي القصة وراء PhiShark
لذا هذا هو السبب وراء بدء بنائي لـ PhiShark.
ليس لأن التصيّد مشكلة جديدة.
بل لأنها لا تزال بلا حل.
وأؤمن بأن الحلول الحالية ليست بسيطة بما يكفي، ولا سريعة بما يكفي، ولا قريبة بما يكفي من الناس الحقيقيين.
نحتاج إلى أدوات يمكنها حماية الشركات.
لكننا نحتاج أيضًا إلى أدوات يمكنها حماية الآباء، والأطفال، وكبار السن، والطلاب، وأصحاب الأعمال الصغيرة، وأي شخص يستخدم الإنترنت.
نحتاج إلى تحقق أسرع.
نحتاج إلى كشف أفضل.
نحتاج إلى ضوضاء أقل.
نحتاج إلى حماية من التصيّد تعمل في الحياة الحقيقية.
ستكون هذه المدونة مكاني للكتابة عن ذلك.
سأشارك ما أراه من البحث، ومن الصناعة، ومن أمثلة التصيّد الحقيقية، ومن بناء PhiShark.
التصيّد مشكلة كبيرة.
لكنني أؤمن بأنه يمكننا بناء أدوات أفضل لمواجهتها.
ابقَ آمنًا.
حمّل PhiShark.
وإذا راسلتني مباشرة على LinkedIn، سأمنحك 3 أشهر من الوصول المهني. :D
مع أطيب التحيات، فوركان.