اقتصاد التصيد الاحتيالي كخدمة: كيف يشتري 50 دولارًا هجومًا إلكترونيًا في 2026

الجريمة الإلكترونية أصبح لديها فريق دعم عملاء

في عام 2015، كان إطلاق حملة تصيد احتيالي (Phishing) يتطلب مهارات تقنية عالية. كنت تحتاج إلى تسجيل نطاق مقنع، وبناء صفحة ويب لجمع بيانات الاعتماد، وتهيئة خادم بريد إلكتروني، وصياغة رسالة إغراء مقنعة، ومعرفة كيفية استلام واستخدام بيانات الاعتماد المسروقة — كل ذلك مع تفادي مرشحات البريد العشوائي وإشعارات الإزالة. كان حاجز الدخول كبيرًا.

في عام 2026، تفتح Telegram، وتبحث عن مزوّد التصيد الاحتيالي كخدمة (PhaaS)، وتدفع 50 إلى 200 دولار بالعملات المشفرة، فتحصل على منصة تصيد احتيالي تعمل بالكامل: صفحات هبوط جاهزة تحاكي Microsoft 365 وGoogle Workspace أو بوابات البنوك؛ ووكيل عكسي للخصم في المنتصف (AiTM) يعترض رموز المصادقة متعددة العوامل (MFA) في الوقت الفعلي؛ وبنية تحتية آلية لتسليم البريد الإلكتروني مع قوالب مصممة لتجاوز مرشحات البريد العشوائي؛ ولوحة تحكم تعرض بيانات الاعتماد المسروقة ورموز الجلسات ونشاط الضحايا؛ وفي بعض الحالات — دعم فني عبر المحادثة.

تصنيع التصيد الاحتيالي هو الاتجاه الحاسم في الجرائم الإلكترونية في عام 2026. يظل التصيد الاحتيالي أحد أهم ثلاثة نواقل وصول أولية لاختراقات البيانات — حيث وجد تقرير Verizon DBIR 2025 أن التصيد الاحتيالي كان حاضرًا في 16% من الاختراقات، مع تورط الهندسة الاجتماعية بشكل عام في نحو ربع جميع الحوادث ومشاركة العنصر البشري في 60% من الاختراقات المؤكدة. السبب في استمرار التصيد الاحتيالي بهذا الشكل بسيط: فقد خفّض نموذج التصيد كخدمة (PhaaS) التكلفة والمهارة اللازمة لشن هجمات تصيد متطورة إلى ما يقارب الصفر.

---

كيف تعمل منصات التصيد كخدمة

منصة PhaaS الحديثة تشبه معماريًا تطبيق البرمجيات كخدمة (SaaS) المشروع. تشمل المكونات:

الوكيل العكسي (محرك AiTM)

أخطر ابتكار في التصيد الاحتيالي الحديث هو الوكيل العكسي للخصم في المنتصف (Adversary-in-the-Middle). كان التصيد التقليدي يلتقط أسماء المستخدمين وكلمات المرور فحسب — لكن المصادقة متعددة العوامل (MFA) جعلت كلمات المرور المسروقة وحدها غير كافية. يحل تصيد AiTM هذه المشكلة بالعمل كوكيل شفاف بين الضحية وصفحة تسجيل الدخول الحقيقية.

إليك آلية العمل:

1. ينقر الضحية على رابط التصيد ويصل إلى صفحة تبدو مطابقة (مثلاً) لصفحة تسجيل الدخول إلى Microsoft 365.
2. يُدخل الضحية اسم المستخدم وكلمة المرور. تُعيد منصة PhaaS توجيه بيانات الاعتماد هذه إلى صفحة تسجيل الدخول الحقيقية لـ Microsoft 365 في الوقت الفعلي.
3. يطلب Microsoft 365 المصادقة متعددة العوامل. يُعاد توجيه الطلب إلى الضحية، الذي يوافق عليه (إشعار دفع، أو رمز SMS، أو تطبيق المصادقة).
4. يُصدر Microsoft 365 رمز جلسة. تلتقط منصة PhaaS هذا الرمز وتسلّمه للمهاجم.
5. يستخدم المهاجم رمز الجلسة الملتقط لتسجيل الدخول كالضحية — دون الحاجة إلى كلمة المرور أو المصادقة متعددة العوامل مجددًا.

تتغلب هذه التقنية على المصادقة متعددة العوامل القائمة على الرسائل القصيرة، ورموز كلمة المرور لمرة واحدة المعتمدة على الوقت (TOTP) المبنية على التطبيقات، وحتى المصادقة عبر الإشعارات الفورية. الطريقة الوحيدة للمصادقة متعددة العوامل التي تقاوم تصيد AiTM بشكل موثوق هي مفاتيح الأمان المادية (FIDO2/WebAuthn)، لأن المصادقة مرتبطة بالنطاق الشرعي — ولا يمكن لوكيل التصيد على نطاق مختلف اعتراض المصافحة التشفيرية.

القوالب الجاهزة

توفر منصات PhaaS صفحات تصيد مصممة باحترافية لمئات الأهداف: Microsoft 365 وGoogle Workspace وOkta وSalesforce وبوابات البنوك ومنصات التواصل الاجتماعي وبورصات العملات المشفرة والخدمات الحكومية. تُحدَّث القوالب باستمرار لمطابقة أحدث تغييرات التصميم على المواقع الحقيقية.

تقدم بعض المنصات “حزم العلامات التجارية” — حملات تصيد كاملة لأهداف محددة تشمل قوالب البريد الإلكتروني وصفحات الهبوط ونصوص ما بعد الاختراق (إعادة توجيه بريد الضحية تلقائيًا، وإنشاء قواعد صندوق الوارد لإخفاء تنبيهات الأمان، واستخراج دفاتر العناوين لمزيد من الاستهداف).

البنية التحتية لتسليم البريد الإلكتروني

تتضمن منصات PhaaS المتطورة بنيتها التحتية الخاصة لتسليم البريد الإلكتروني — أو تتكامل مع حسابات ونطاقات بريد إلكتروني شرعية مخترقة. يؤدي استخدام حسابات شرعية مخترقة للتصيد إلى زيادة معدل التسليم بشكل كبير لأن نطاق الإرسال يتمتع بسمعة راسخة ويجتاز مصادقة SPF/DKIM/DMARC.

تتخصص بعض المنصات في تسليم “اختراق البريد الإلكتروني للأعمال” (BEC)، باستخدام حسابات تنفيذية مخترقة لإرسال رسائل تصيد إلى الموظفين داخل نفس المؤسسة — وهي قناة الاتصال الأكثر ثقة والأقل تصفية.

لوحة التحكم

يتفاعل المهاجمون مع منصة PhaaS الخاصة بهم من خلال لوحة تحكم عبر الويب توفر تحليلات في الوقت الفعلي: عدد الرسائل المرسلة، وعدد التي فُتحت، وعدد الضحايا الذين نقروا على الرابط، وعدد الذين أدخلوا بيانات الاعتماد، وأي بيانات اعتماد تتضمن رموز جلسات صالحة، وأي حسابات تم الوصول إليها بنجاح. التجربة لا يمكن تمييزها عن منصة أتمتة تسويق شرعية.

---

أبرز منصات التصيد كخدمة في 2025-2026

EvilProxy — أبرز منصة PhaaS تعتمد تقنية AiTM، وتقدم تصيدًا بالوكيل العكسي ضد Microsoft 365 وGoogle وApple وFacebook وGitHub وغيرها. التسعير متدرج حسب الاشتراك: نحو 150 دولارًا لـ 10 أيام، و250 دولارًا لـ 20 يومًا، أو 400 دولار لشهر كامل، مع تكلفة أعلى لهجمات حسابات Google (250/450/600 دولار). لا تزال EvilProxy تعمل بنشاط — حيث رصدت Okta Threat Intelligence حملة واسعة النطاق تستغل EvilProxy منذ مارس 2025 على الأقل، تستهدف مؤسسات في القطاع المالي والحكومي والرعاية الصحية والتكنولوجيا.

Greatness — منصة PhaaS متخصصة في Microsoft 365 توفر قدرات وكيل AiTM، وعناوين بريد إلكتروني للضحايا معبأة مسبقًا في صفحة التصيد (لزيادة المصداقية)، والتقاط رموز MFA. سعر الاشتراك نحو 120 دولارًا شهريًا.

NakedPages — منصة PhaaS تقدم أدوات تصيد مع حماية ضد الروبوتات (اختبارات CAPTCHA وبصمة المتصفح) مصممة لمنع الباحثين الأمنيين من تحليل البنية التحتية للتصيد. حافظت NakedPages على نحو 220 خادمًا نشطًا حتى أوائل 2025 وتصنَّف باستمرار بين أكثر خمس أدوات AiTM نشاطًا.

Caffeine — تتميز بنموذج تسجيل مفتوح (لا يتطلب دعوة أو فحصًا). على عكس العديد من منافسي PhaaS، تفرض Caffeine سعرًا مرتفعًا: 250 دولارًا شهريًا للاشتراك الأساسي، أي نحو 3 إلى 5 أضعاف تكلفة منصات PhaaS الأساسية التي تبدأ من 50 إلى 80 دولارًا شهريًا. استهدفت Caffeine منصات روسية وصينية بالإضافة إلى الخدمات الغربية، مما يشير إلى نطاق جغرافي أوسع من معظم أدوات AiTM.

W3LL Panel — اكتشفتها Group-IB في عام 2023، حيث أدارت W3LL سوقًا خاصًا يضم ما لا يقل عن 500 عميل من الجهات الفاعلة في التهديدات، تبيع أدوات تصيد استُخدمت لاستهداف أكثر من 56,000 حساب Microsoft 365 مؤسسي بين أكتوبر 2022 ويوليو 2023، نجحت في اختراق 8,000 حساب منها على الأقل. شملت أدوات W3LL قدرات AiTM وسير عمل آلي لاختراق البريد الإلكتروني للأعمال، محققة أرباحًا غير مشروعة تُقدَّر بنحو 500,000 دولار لمشغليها.

---

سلسلة التوريد: أسواق الويب المظلم

تُعد منصات PhaaS جزءًا من سلسلة توريد أوسع للجرائم الإلكترونية تعمل عبر أسواق الويب المظلم (Dark Web) وقنوات Telegram والمنتديات المغلقة:

وسطاء الوصول الأولي (IABs) يبيعون الوصول إلى المؤسسات المخترقة — بيانات اعتماد VPN صالحة، أو جلسة سطح مكتب بعيد، أو غلاف ويب على خادم مؤسسي. يبيع مشغلو PhaaS بيانات الاعتماد المسروقة لوسطاء الوصول الأولي، الذين يبيعون الوصول لمجموعات برامج الفدية (Ransomware)، التي تُشفّر أنظمة الضحية وتطالب بالدفع. كل جهة فاعلة تتخصص في خطوة واحدة من سلسلة القتل.

أسواق بيانات الاعتماد (Russian Market، ومواقع خلف Genesis Market) تبيع بيانات الاعتماد المسروقة بالجملة — توليفات اسم المستخدم وكلمة المرور التي تجمعها برمجيات سرقة المعلومات (Redline وRaccoon وVidar). تُستخدم هذه البيانات غالبًا لتغذية حملات PhaaS (إرسال رسائل تصيد من حسابات مخترقة) أو للوصول المباشر إلى الحسابات دون تصيد.

مزودو الاستضافة المحصنة يقدمون بنية تحتية (نطاقات وخوادم وعناوين IP) تتجاهل طلبات الإزالة وشكاوى الإساءة، مما يوفر البنية التحتية المستمرة التي تحتاجها منصات PhaaS للعمل.

الاقتصاديات مقنعة. اشتراك PhaaS يكلف 50 إلى 400 دولار شهريًا. اختراق بريد إلكتروني تجاري ناجح (إعادة توجيه تحويل مصرفي واحد) يدرّ 50,000 إلى 500,000 دولار. العائد على الاستثمار استثنائي، ومخاطر الملاحقة القضائية منخفضة — معظم مشغلي PhaaS يتواجدون في ولايات قضائية (روسيا وكوريا الشمالية وأجزاء من جنوب شرق آسيا) حيث التعاون في إنفاذ القانون مع الدول الغربية ضئيل.

---

تطور الدفاعات: ما بعد مكافحة التصيد التقليدية

الدفاعات التقليدية ضد التصيد — مرشحات البريد العشوائي وقواعد بيانات سمعة الروابط وتدريب المستخدمين — تظل ضرورية لكنها غير كافية بشكل متزايد أمام الهجمات المدعومة بمنصات PhaaS.

FIDO2/WebAuthn (مفاتيح المرور – Passkeys): أقوى دفاع ضد تصيد AiTM. مفاتيح الأمان المادية (YubiKey) أو أدوات المصادقة المدمجة في المنصات (Face ID وWindows Hello) تُجري مصادقة مرتبطة بالنطاق لا يمكن اعتراضها بواسطة وكيل عكسي. أفادت Google بعدم وقوع أي هجوم تصيد ناجح ضد أكثر من 85,000 موظف لديها بعد فرض مفاتيح الأمان المادية في أوائل 2017 — وهي نتيجة صمدت لأكثر من عام، كما أفاد Krebs on Security في منتصف 2018. تدفع Microsoft وApple وGoogle الآن نحو اعتماد مفاتيح المرور كطريقة المصادقة الافتراضية.

سياسات الوصول المشروط (Conditional Access): حتى لو سُرقت بيانات الاعتماد ورموز الجلسات، يمكن لسياسات الوصول المشروط الحد من الضرر عبر تقييد الوصول بناءً على امتثال الجهاز والموقع الجغرافي ودرجة المخاطر وإشارات أخرى. رمز الجلسة الذي يلتقطه وكيل PhaaS سيصدر من جهاز المهاجم وعنوان IP الخاص به — ويمكن لسياسات الوصول المشروط اكتشاف ذلك وحظره.

اكتشاف سرقة الرموز: يضيف Microsoft Entra ID ومزودو الهوية الآخرون اكتشافًا لسرقة الرموز — تحديد متى يُستخدم رمز جلسة من جهاز أو موقع مختلف عن المكان الذي أُصدر فيه أصلاً.

تصفية البريد الإلكتروني المدعومة بالذكاء الاصطناعي: تستخدم منصات أمان البريد الإلكتروني من الجيل التالي (Abnormal Security وProofpoint وMimecast) الذكاء الاصطناعي لتحليل محتوى البريد الإلكتروني وسلوك المرسل وأنماط الاتصال لاكتشاف التصيد — بما في ذلك هجمات اختراق البريد الإلكتروني للأعمال التي لا تحتوي على روابط أو مرفقات ضارة.

تفويضات المصادقة متعددة العوامل المقاومة للتصيد: توصي إرشادات CISA الآن صراحةً بـ “المصادقة متعددة العوامل المقاومة للتصيد” (FIDO2/WebAuthn) بدلاً من المصادقة العامة متعددة العوامل. التمييز مهم لأن المصادقة بالإشعارات الفورية ورموز TOTP معرضة لهجمات AiTM.

---

مضخم الذكاء الاصطناعي

يعزز الذكاء الاصطناعي التوليدي (Generative AI) التصيد الاحتيالي بعدة طرق:

لغة مثالية: كانت رسائل التصيد الإلكتروني ذات الأخطاء النحوية والصياغة الركيكة سهلة الاكتشاف. رسائل التصيد المولّدة بالذكاء الاصطناعي صحيحة نحويًا ومناسبة سياقيًا ومطابقة أسلوبيًا للمؤسسة المنتحَلة.

التخصيص على نطاق واسع: يستطيع الذكاء الاصطناعي تحليل ملف الهدف على LinkedIn ومنشوراته الأخيرة ومعلوماته العامة لصياغة رسائل تصيد موجّه عالية التخصيص — مثل “مرحبًا سارة، تهانينا على مكالمة أرباح الربع الثالث الأسبوع الماضي. أردت متابعة نقاش الموردين الذي أجريناه في اجتماع مجلس الإدارة…” كان هذا المستوى من التخصيص يتطلب سابقًا بحثًا يدويًا لكل هدف.

استنساخ الصوت والتزييف العميق (Deepfake): يتيح استنساخ الصوت بالذكاء الاصطناعي التصيد الصوتي (Vishing) على نطاق واسع. يستنسخ المهاجمون صوت المدير التنفيذي من تسجيلات عامة ويتصلون بالمدير المالي طالبين تحويلاً مصرفيًا عاجلاً. في أوائل 2024، حوّل موظف مالي في شركة الهندسة البريطانية Arup، ومقره هونغ كونغ، ما يقرب من 25.6 مليون دولار (200 مليون دولار هونغ كونغ) عبر 15 معاملة بعد مكالمة فيديو مع ما بدا أنه المدير المالي للشركة وعدد من الزملاء — وكانوا جميعًا نسخًا مزيفة بتقنية التزييف العميق أُنشئت من تسجيلات متاحة للعموم.

تحسين الحملات الآلي: يمكن للذكاء الاصطناعي إجراء اختبارات A/B لفعالية طُعم التصيد، وتحسين أوقات الإرسال، وتكييف الحملات في الوقت الفعلي بناءً على مقاييس التفاعل — مطبقًا نفس التحسين المبني على البيانات الذي يستخدمه المسوّقون الشرعيون.

---

---

المصادر

• Verizon — 2025 Data Breach Investigations Report
• Microsoft — AiTM Phishing Attack Analysis
• Group-IB — W3LL Phishing Empire
• CISA — Phishing-Resistant MFA Guidance
• Krebs on Security — Google: Security Keys Neutralized Employee Phishing
• Okta — EvilProxy Phishing Campaign Analysis
• CNN — Arup Deepfake Scam Hong Kong
• Proofpoint — State of the Phish 2025
• Abnormal Security — Email Threat Report
• FIDO Alliance — Passkeys