How can I tell if a QR code is safe before scanning it?

You cannot determine a QR code's safety just by looking at it, which is why you should use a QR scanner app that previews the destination URL before opening it. Check that the URL matches the expected domain exactly, looking for misspellings or suspicious extensions. For physical QR codes, inspect for signs of tampering like stickers over original codes or poor print quality.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser window without entering any information or clicking links. If you already entered credentials, change your passwords immediately on all affected accounts using a different device. Monitor your bank and credit card statements for unauthorized transactions and consider placing fraud alerts with credit bureaus if you provided personal or financial information.

Are QR codes in emails always dangerous?

Not all QR codes in emails are malicious, but they should be treated with extreme caution because they're a common attack vector. Legitimate companies rarely send QR codes for sensitive actions like password resets or payments in unsolicited emails. Always verify the sender's authenticity through independent channels and prefer typing URLs directly rather than scanning codes for important accounts.

Can my phone get infected with malware just by scanning a QR code?

Simply scanning a QR code typically won't infect your device, but the destination website could prompt you to download malicious apps or exploit browser vulnerabilities. Modern smartphones usually require explicit permission before downloading files, but sophisticated attacks can exploit zero-day vulnerabilities. Using updated mobile security software and keeping your operating system current provides important protection.

Why don't email security systems catch QR code phishing attacks?

Traditional email security filters scan text, URLs, and attachments for known malicious patterns, but QR codes appear as harmless images in email analysis. The malicious URL is encoded within the image itself, making it invisible to standard scanning tools. This is why quishing attacks have become so prevalent—they exploit a blind spot in conventional email security infrastructure.

مرتفع متوسط الخسارة: $1,500 المدة المعتادة: 1-3 days

القرش الرقمي (التصيد الاحتيالي عبر رموز QR): دليل الحماية الشامل

القرش الرقمي، أو التصيد الاحتيالي عبر رموز QR، هو أسلوب هجوم سيبراني سريع النمو يقوم به المجرمون باستبدال رموز QR الشرعية برموز ضارة أو إنشاء رموز مزيفة تعيد توجيه الضحايا إلى مواقع احتيالية. وفقاً لمركز FBI لشكاوى الجرائم الإلكترونية، ارتفعت عمليات الاحتيال المتعلقة برموز QR بنسبة 587% بين عامي 2022 و2023، حيث بلغت خسائر المتوسط 1,500 دولار أمريكي لكل حادثة. تستغل هذه الهجمات حقيقة أن رموز QR غير قابلة للقراءة البشرية، مما يجعل من المستحيل التحقق من الوجهة قبل المسح. تعمل عملية الاحتيال عادة بوضع رموز QR احتيالية على مقاييس وقوف السيارات أو طاولات المطاعم أو عبوات المنتجات أو في مرفقات البريد الإلكتروني التي تبدو وكأنها من شركات شرعية. عند المسح، تعيد هذه الرموز توجيه الضحايا إلى مواقع ويب مزيفة مقنعة مصممة لجمع بيانات اعتماد تسجيل الدخول أو معلومات البنك أو تفاصيل بطاقات الدفع. في بيئات الشركات، يرسل المهاجمون رموز QR عبر البريد الإلكتروني التي تتجاوز مرشحات الأمان التقليدية، مما يؤدي بالموظفين إلى صفحات تسجيل دخول Microsoft 365 المزيفة أو بوابات الرواتب. ما يجعل القرش الرقمي خطيراً بشكل خاص هو قدرته على تجاوز تدابير الأمان التقليدية. تقوم أنظمة أمان البريد الإلكتروني التقليدية بمسح عناوين URL والمرفقات بحثاً عن محتوى ضار، لكن رموز QR تظهر كصور غير ضارة. بالإضافة إلى ذلك، تقوم العديد من الهواتف الذكية بفتح الروابط من رموز QR تلقائياً دون إظهار عنوان URL الكامل أولاً، مما لا يترك للضحايا فرصة للتحقق من الوجهة. أفادت لجنة التجارة الفيدرالية بأن الشركات خسرت أكثر من 48 مليون دولار أمريكي في عمليات احتيال رموز QR في عام 2023، حيث سقط كل من المستهلكين والموظفين فريسة لهذه الهجمات المتطورة.

الأساليب الشائعة كيف تتعرّف عليه كيف تحمي نفسك أمثلة حقيقية أين تبلّغ

الأساليب الشائعة

• استبدال رموز QR المادية: يطبع المحتالون ملصقات تحتوي على رموز QR ضارة ويضعونها فوق الرموز الشرعية على مقاييس وقوف السيارات ونقاط الدفع في المطاعم وملحطات شحن السيارات الكهربائية وتسميات طرود التسليم، مما يعيد التوجيه إلى حساباتهم الخاصة.
• حملات التصيد الاحتيالي عبر البريد الإلكتروني: يرسل المهاجمون رسائل بريد إلكتروني احترافية يدعون أنها من أقسام تكنولوجيا المعلومات أو الموارد البشرية أو المؤسسات المالية مع رموز QR لإعادة تعيين كلمات المرور العاجلة أو إعداد المصادقة متعددة العوامل أو دفعات الفواتير التي تؤدي إلى مواقع جمع بيانات الاعتماد.
• إخطارات انتهاكات وقوف السيارات المزيفة: يضع المجرمون تذاكر مرور مزيفة على الزجاج الأمامي للسيارات مع رموز QR تدعي تقديم خيارات دفع سريعة، لكنها في الواقع تسرق معلومات بطاقات الائتمان والبيانات الشخصية عند المسح.
• فخاخ الاستثمار في العملات الرقمية: يوزع المحتالون رموز QR عبر وسائل التواصل الاجتماعي وتطبيقات المراسلة يدعون أنها توفر الوصول إلى فرص استثمار حصرية في العملات الرقمية، لكنها في الواقع تسرق محافظ الضحايا الرقمية عند المسح.
• عمليات احتيال تسليم الطرود: يرسل المحتالون رسائل نصية أو رسائل بريد إلكتروني تحتوي على رموز QR تدعي تغيير جدولة تسليم الطرود أو دفع رسوم جمركية، مما يؤدي إلى مواقع خدمة بريد مزيفة تجمع معلومات بطاقات الدفع.
• عمليات احتيال القوائم والدفع في المطاعم: ينشئ المهاجمون رموز QR مزيفة للقوائم الرقمية أو دفعات خدمة الطاولات في المطاعم، مما يعيد توجيه رواد المطاعم إلى مواقع شبه مطابقة تسرق تفاصيل بطاقات الائتمان عندما يحاول العملاء دفع فواتيرهم.

كيف تتعرّف عليه

عدم تطابق معاينة عنوان URL: قبل فتح الرابط، تحقق مما إذا كان هاتفك يعرض معاينة عنوان URL لا تتطابق مع الوجهة المتوقعة (على سبيل المثال، رمز QR على مقياس وقوف السيارات يعرض عنوان ويب شخصي بدلاً من نطاق المدينة الرسمي).
علامات التعديل المادي: ابحث عن ملصقات موضوعة فوق رموز QR الأصلية أو طباعة غير محاذية أو جودة ورق مختلفة أو رموز تبدو وكأنها أضيفت بعد الحقيقة بدلاً من طباعتها احترافياً كجزء من المادة الأصلية.
طلبات الإجراءات العاجلة: كن حذراً من رموز QR مصحوبة بلغة تهديدية مثل 'سيتم تعليق الحساب خلال 24 ساعة' أو 'تحديث أمني عاجل مطلوب' أو 'ادفع خلال ساعتين لتجنب الغرامات'، لأن الخدمات الشرعية نادراً ما تستخدم مثل هذه تكتيكات الضغط.
الاتصالات العامة أو غير الشخصية: رسائل البريد الإلكتروني أو الرسائل التي تحتوي على رموز QR ولا تستخدم اسمك الفعلي أو تشير إلى مشاكل حسابية غامضة أو تفتقر إلى تفاصيل محددة حول علاقتك بالمرسل المزعوم من المرجح أن تكون احتيالية.
طلبات المصادقة غير المتوقعة: إذا تلقيت رموز QR غير مطلوبة تدعي إعداد مصادقة متعددة العوامل أو التحقق من تفاصيل الحساب أو تأكيد الهوية عندما لم تبدأ أي عملية كهذه، فهذا مؤشر تحذير كبير.
عدم تطابق وجهة الدفع: عندما يؤدي رمز QR إلى صفحة دفع، تحقق من أن اسم المستقبل وتفاصيل الشركة ومعالج الدفع يطابقون التوقعات - غالباً ما يستخدم المحتالون حسابات شخصية أو منصات دفع غير مألوفة بدلاً من خدمات التاجر الموثوقة.

كيف تحمي نفسك

تثبيت ماسح QR مع معاينة عنوان URL: استخدم تطبيقات قارئ رموز QR التي تعرض عنوان URL الكامل للوجهة قبل فتحه، وتحقق دائماً من أن النطاق يطابق المنظمة الشرعية (تحقق من التهجئة الدقيقة مثل 'micros0ft.com' برقم صفر بدلاً من حرف 'o').
اكتب عناوين URL الرسمية يدويًا: بدلاً من مسح رموز QR للإجراءات الحساسة مثل الخدمات المصرفية أو إعادة تعيين كلمات المرور أو الدفعات، انتقل إلى الموقع الرسمي بكتابة عنوان URL مباشرة في متصفحك أو باستخدام الإشارات المرجعية المحفوظة.
التحقق من رموز QR المادية قبل المسح: افحص مقاييس وقوف السيارات ونقاط الدفع وعبوات المنتجات بحثاً عن علامات التعديل - يجب أن تكون رموز QR الشرعية مطبوعة كجزء من المادة الأصلية وليست مضافة عبر ملصقات أو تسميات منفصلة.
تفعيل المصادقة الثنائية على جميع الحسابات: حتى إذا حصل المحتالون على بيانات اعتمادك من خلال القرش الرقمي، فإن المصادقة الثنائية المناسبة باستخدام تطبيقات المصادقة (وليس الرسائل القصيرة) تمنعهم من الوصول إلى حساباتك بدون رمز التحقق الثانوي.
التواصل مع المنظمات عبر القنوات الرسمية: إذا تلقيت رمز QR يدعي أن إجراءً عاجلاً مطلوباً، فاتصل بشكل مستقل بالمنظمة باستخدام أرقام الهاتف أو المواقع من مصادرها الرسمية وليس المعلومات المقدمة في الرسالة المريبة.
استخدام برنامج أمان الجوال: ثبت تطبيقات أمان جوال موثوقة يمكنها اكتشاف والتصدي للمواقع الضارة، حتى عند الوصول إليها من خلال رموز QR، مما يوفر طبقة حماية إضافية ضد سرقة بيانات الاعتماد والبرامج الضارة.

أمثلة حقيقية

تلقى مالك شركة صغيرة رسالة بريد إلكتروني تبدو وكأنها من مزود برنامج المحاسبة الخاص به مع رمز QR لـ 'التحقق الأمني الإلزامي'. أدى مسح الرمز إلى صفحة تسجيل دخول مزيفة مقنعة حيث أدخل بيانات اعتماده. في غضون ساعتين، وصل المحتالون إلى حسابه وغيروا معلومات الاسترجاع وقدموا تحويلات ACH احتيالية بقيمة 8,400 دولار أمريكي إلى حسابات خارجية. اكتشفت الشركة الانتهاك فقط عندما ارتدت طلبات الدفع الشرعية بسبب عدم كفاية الأموال.

قام رواد مطعم شهير وسط المدينة بمسح رموز QR على لافتات الطاولات لعرض الق

أين تبلّغ — الدول العربية

القنوات الرسمية في منطقتك للإبلاغ عن هذا الاحتيال.

هيئة تنظيم الاتصالات السعودية

إبلاغ

بلاغات الاتصالات والاحتيال الرقمي في المملكة العربية السعودية.

1933 زيارة →

الإمارات - عقاب

الجرائم الإلكترونية

منصة شرطة دبي للإبلاغ عن الجرائم الإلكترونية.

زيارة →

مصر - الإدارة العامة لمكافحة جرائم الإنترنت

الجرائم الإلكترونية

الإدارة العامة لمكافحة جرائم الحاسبات والشبكات بوزارة الداخلية المصرية.

108 زيارة →

AECERT (الإمارات)

إبلاغ

الفريق الوطني للاستجابة لطوارئ الحاسب الآلي.

زيارة →

هل تعتقد أنك واجهت هذا الاحتيال؟

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), القرش الرقمي (التصيد الاحتيالي عبر رموز qr): دليل الحماية الشامل is described at https://scamlens.org/ar/encyclopedia/quishing-qr-code-phishing.

https://scamlens.org/ar/encyclopedia/quishing-qr-code-phishing

ابدأ من هنا

فحص الأمان

الاستخبارات

الأدوات والتقارير

الخدمات المميزة

الإضافة وAPI