أبرز النقاط
- ارتفعت هجمات التصيد عبر رموز QR بنسبة 25% خلال عام واحد وفقاً لتقرير Hoxhunt 2026
- تتجاوز هذه الهجمات أنظمة الحماية التقليدية لأن الضحية يستخدم هاتفه الشخصي خارج نطاق أمان الشبكة المؤسسية
- رصدت Microsoft ارتفاع حملات QR الاحتيالية من 10% إلى 30% من إجمالي حملات التصيد في الأشهر الأخيرة
هل وصلك يوماً رمز QR عبر البريد الإلكتروني ودفعك الفضول لمسحه؟ هذا الفضول بالذات هو ما يراهن عليه المهاجمون في موجة جديدة من هجمات التصيد الاحتيالي تُعرف بـ Quishing، وهي تقنية تستغل رموز الاستجابة السريعة لتجاوز أنظمة الحماية التقليدية وحتى المصادقة الثنائية MFA. وفقاً لتقرير Hoxhunt للتصيد الاحتيالي 2026، ارتفعت هذه الهجمات بنسبة 25% مقارنة بالعام السابق، فيما رصدت Microsoft تحولاً دراماتيكياً: قفزت حملات QR الاحتيالية من 10% إلى 30% من إجمالي حملات التصيد خلال أشهر قليلة.
ما هو Quishing وكيف يعمل؟
Quishing هو دمج لكلمتي QR code وPhishing. الفكرة بسيطة لكنها فعّالة: يُخفي المهاجمون روابط خبيثة داخل رموز QR تبدو عادية، مما يتيح لها تجاوز فلاتر التصيد التقليدية التي تفحص النصوص والروابط المكتوبة. الطُعم لا يختلف عن أساليب التصيد المعتادة: رسالة عاجلة من البنك، إشعار بفوز في مسابقة، أو تحذير من تجميد حسابك على منصة ما.
تقرير Hoxhunt يكشف تطوراً لافتاً: رسائل QR المباشرة في متن الإيميل بدأت تتراجع، لكنها تعود بقوة مخبأة داخل مرفقات البريد الإلكتروني، خاصة ملفات PDF الخبيثة. والأخطر أن الهجمات لم تعد رقمية فقط؛ رُصدت رموز QR احتيالية على ملصقات في الأماكن العامة وبطاقات أعمال مزيفة.
كيف تتجاوز هذه الهجمات المصادقة الثنائية؟
في يونيو الماضي، أصدر فريق Trust & Safety في Google تحذيراً يؤكد أن أساليب الهجوم التقليدية عبر البريد تُستبدل بهجمات Adversary-in-the-Middle (AITM) مقترنة بـ Quishing. آلية العمل التي وثقتها كل من Google وMicrosoft تسير كالتالي:
- تصلك رسالة تحتوي رمز QR، ويدفعك الفضول لمسحه بهاتفك
- يُحولك الرمز إلى موقع مستنسخ يبدو مطابقاً تماماً لموقع موثوق: بنك، منصة عمل، أو خدمة مالية
- تُدخل بيانات الدخول معتقداً أنك في الموقع الحقيقي
- يلتقط المهاجم كلمة المرور ورمز الجلسة Session Token، متجاوزاً حماية MFA لأنك أنت من صادق على الدخول
- النتيجة: سرقة بيانات، اختراق حسابات، وربما وصول كامل لأنظمة المؤسسة
الخطورة الحقيقية للمؤسسات تكمن في أن الضحية يستخدم هاتفه الشخصي لمسح الرمز، مما ينقل الهجوم خارج نطاق أمان الشبكة المؤسسية وأدوات كشف التصيد المثبتة على أجهزة العمل.

لماذا تنجح هذه الهجمات رغم وعينا بالتصيد؟
رموز QR بطبيعتها صناديق سوداء: لا يمكنك رؤية الرابط المخفي فيها قبل مسحها، على عكس الرابط النصي الذي يمكنك تمرير المؤشر عليه للتحقق. هذه الخاصية تجعلها أداة مثالية للمهاجمين. أضف إلى ذلك أن معظم أدوات أمان البريد الإلكتروني مصممة لفحص النصوص والروابط، لا الصور.
العامل النفسي لا يقل أهمية: اعتدنا على مسح رموز QR يومياً في المطاعم والمتاجر والفعاليات، فأصبح الفعل تلقائياً دون تفكير نقدي. المهاجمون يستغلون هذه الثقة المكتسبة.
كيف تحمي نفسك ومؤسستك من Quishing؟
القاعدة الذهبية: تعامل مع أي رمز QR غير متوقع بنفس الحذر الذي تتعامل به مع رابط أو مرفق مشبوه. الصيغة مختلفة لكن الهدف واحد: استدراجك لزيارة مورد خبيث. إليك خطوات عملية للحماية:
- لا تمسح رموز QR من رسائل بريد إلكتروني غير متوقعة، حتى لو بدت من جهات موثوقة
- تحقق من عنوان URL بعد المسح وقبل إدخال أي بيانات: هل النطاق حقيقي أم مستنسخ بحرف مختلف؟
- فعّل إشعارات تسجيل الدخول على حساباتك الحساسة لرصد أي محاولة دخول غير مألوفة
- استخدم تطبيقات مسح QR التي تعرض الرابط أولاً قبل فتحه تلقائياً
- في بيئة العمل: درّب الموظفين على هذا النوع من الهجمات وأضفه لبرامج التوعية الأمنية
- للمؤسسات: فكّر في حلول أمان تفحص المرفقات بحثاً عن رموز QR مضمنة
الهجمات تتطور: من البريد إلى الشارع
اللافت في تقرير Hoxhunt أن Quishing لم يعد حكراً على الفضاء الرقمي. رُصدت رموز QR خبيثة على ملصقات في مواقف السيارات ومحطات الشحن، وعلى بطاقات أعمال توزع في مؤتمرات. السيناريو النموذجي: ملصق يدعي أنه لدفع رسوم الوقوف، لكنه في الحقيقة يسرق بيانات بطاقتك.
هذا التحول يعني أن الحذر يجب أن يمتد خارج صندوق البريد. أي رمز QR في مكان عام يستحق لحظة تفكير: هل مصدره موثوق؟ هل يمكن التحقق منه؟
رأي Logicity
Quishing يمثل تطوراً طبيعياً في سباق التسلح بين المهاجمين وأدوات الحماية. مع نضج فلاتر البريد التقليدية، يبحث المهاجمون عن ثغرات جديدة، ورموز QR توفر مساراً يتجاوز معظم طبقات الحماية دفعة واحدة. المؤسسات التي تعتمد على MFA كخط دفاع نهائي تحتاج لإعادة تقييم: المصادقة الثنائية ضرورية لكنها ليست حصينة. حلول مثل Proofpoint وMimecast وAbnormal Security بدأت تضيف فحصاً لرموز QR في المرفقات، لكن التوعية البشرية تبقى خط الدفاع الأول والأرخص.
الأسئلة الشائعة
ما الفرق بين Quishing والتصيد الاحتيالي التقليدي؟
الهدف واحد وهو سرقة البيانات أو اختراق الحسابات، لكن Quishing يستخدم رمز QR بدلاً من رابط نصي، مما يصعّب على فلاتر الأمان اكتشافه ويدفع الضحية لاستخدام هاتفه الشخصي خارج حماية شبكة العمل.
هل المصادقة الثنائية MFA لا تزال مفيدة ضد هذه الهجمات؟
MFA تظل طبقة حماية مهمة، لكنها ليست مطلقة. في هجمات AITM المقترنة بـ Quishing، المهاجم يلتقط رمز الجلسة بعد أن تُصادق أنت على الدخول، فيتجاوز MFA. الحل هو الحذر قبل إدخال البيانات والتحقق من صحة الموقع.
كيف أتحقق من سلامة رمز QR قبل مسحه؟
استخدم تطبيق مسح يعرض الرابط أولاً دون فتحه تلقائياً، وتحقق من أن النطاق مطابق للموقع الرسمي. إذا وصلك الرمز عبر بريد غير متوقع، تواصل مع الجهة المرسلة عبر قناة أخرى للتأكد.
هل هجمات Quishing تستهدف الأفراد أم المؤسسات؟
كلاهما. الأفراد يُستهدفون لسرقة حسابات بنكية وبيانات شخصية، بينما المؤسسات تُستهدف للوصول لأنظمة داخلية وبيانات حساسة، خاصة عبر اختراق بيانات Microsoft 365 وبريد العمل.
ما الأدوات التي تساعد المؤسسات في الحماية من Quishing؟
حلول أمان البريد مثل Proofpoint وMimecast وAbnormal Security بدأت تدعم فحص رموز QR. لكن الأهم هو برامج توعية الموظفين وإضافة سيناريوهات Quishing لتدريبات محاكاة التصيد.
هل تحتاج مساعدة في التطبيق؟
إذا كنت تبحث عن تقييم جاهزية مؤسستك لمواجهة هجمات Quishing أو تحتاج استشارة في اختيار أدوات الحماية المناسبة، تواصل مع فريق Logicity للحصول على توجيه متخصص.
فاطمة الزهراء
كاتبة تقنية متخصصة في الذكاء الاصطناعي
أُنتِج هذا المقال بمساعدة الذكاء الاصطناعي وراجعه فريق التحرير في لوجيسيتي. اعرف المزيد في سياسة التحرير.
مقالات ذات صلة
تصفح الكلاقرأ أيضاً

قوى تحظر تعديل النشاط التجاري على منشآت نطاقات المخالفة: ماذا يعني ذلك لقطاع الأعمال السعودي؟
أعلنت منصة قوى التابعة لوزارة الموارد البشرية والتنمية الاجتماعية السعودية عن قيد جديد يمنع المنشآت من تعديل نشاطها التجاري إذا كان هذا التعديل سيدفعها لتجاوز الحدود المسموح بها لنسب التنوع الوطني في

Pixorien Z01: جهاز عرض محمول بدقة 2K وبطارية 16000mAh يُطرح للتمويل الجماعي بـ299 دولاراً
أعلنت شركة Pixorien عن إطلاق جهاز العرض المحمول Z01 عبر حملة تمويل جماعي بسعر يبدأ من 299 دولاراً أمريكياً، مع وعود بدقة عرض 2K وبطارية مدمجة بسعة 16000mAh تتيح التشغيل اللاسلكي لساعات. الجهاز يستهدف




