رابط مباشر HTTPS إلى موقع Abundera من طرف أول. لا يوجد مختصرات، لا إعادة توجيهات. الرأي الأفضل: تم التحقق منه مع استقرار التغييرات وقاع منخفض لاستقرار خادم الوجهة.
https://qr.abundera.ai/
القائد من الـQuishing · QR + URL + أمان تقصير الروابط
لا تثق بكود QR حتى يتم فحصه.
كود QR هو شخص غريب يعطيك مظروفًا. نفس الشيء ينطبق على أي رابط قصير، مثل bit.ly، أو t.co، أو رابط في رسالة خاصة. فتحه دون التحقق قد يؤدي إلى وصولك إلى صفحة تصيد بياناتك، أو فخ شبكة WiFi مفتوحة، أو معاملة مالية تسرق محفظتك، أو نية أندرويد تثبيت برمجيات خبيثة. نتبع السلسلة، نفحص الوجهة، ونخبرك من يمكنه تعديلها بعد طباعة الكود QR، وهو السؤال الذي يحدد ما إذا كان ملصق متر إيقاف، أو رابط قصير مُرسل، أو قائمة مطعم، أو ورقة مكافأة MFA الشركات هي آمنة فعلاً.
بدون تسجيل أو حساب المحتوى لا يُحفظ أبداً فك تشفير الكاميرا يبقى محلياً تطبيقات Mac وWindows وiOS وAndroid قريباً
شارك هذه الأداة · أو احفظ رابطاً مختصراً للعودة إليها
اقرأ رمز QR باستخدام الكاميرا الخاصة بك، أو رفع صورة، أو لص
يتم فك تشفير الكاميرا وفك تشفير الصور في متصفحك. فقط النص المُفكّر يُرسل إلى مُحلّلنا.
إعدادات الماسح
جارٍ تنزيل الدكودر المحسّن… 0%
تاريخ المسح
مُخزَّن فقط على هذا الجهاز، ولا يُرسل أبدًا إلى خوادمنا. 25 مسحًا أخيرًا، يتم حذف الأقدم تلقائيًا. تاريخ المسح المزود بالإنترنت السحابي (عبر الأجهزة، 30 يومًا) في مسار التطوير لمستويات Personal+
شاهد كيف يعمل
اضغط على "جرب هذا التحليل" للبدء هنا، أو اوجه كاميرا هاتفك نحو QR، فإنه يمر عبر ماسحنا ويظهر الحكم على هاتفك. لا تحتاج إلى زيارة أي شيء مسبقًا.
QR يمر عبر مُختصرنا الخاص قبل الوصول إلى وجهته النهائية. يُظهر الحكم من يمكنه تغيير الوجهة بعد الطباعة، محور التغيير الذي لا يظهره أي ماسح آخر.
https://aqr.net/demo-walmart
رابط مضمون لحله في دولة مختلفة عنك (يقوم JS بتحديث الهدف بعد اكتشاف منطقتك). يُظهر شريحة الدولة لكل خطوة، حيث أن سلسلة تتجاوز الحدود بشكل غير متوقع هي إشارة ثقة أقوى من أي خطوة فردية.
https://www.bundestag.de/
يقوم جوجل بتحديث هذا URL بشكل خاص ك_fixture اختبار الأمن في التنقل. يتم تصنيفه كSOCIAL_ENGINEERING بواسطة Google Safe Browsing، وهو مفيد لعرض أن مُجمّعات السمعة وتصاعد الأحكام تعمل بشكل فعلي دون ربطها بموقع إلكتروني حقيقي للصيد الإلكتروني.
https://testsafebrowsing.appspot.com/s/phishing.html
كيف يعمل
- 1
فك الشفرة
متصفحك يقوم بفك تشفير الشفرة المرئية محليًا (jsQR). الصورة لا تغادر جهازك أبداً. نرى فقط الحِمْل النصي.
- 2
الإرسال
يُصنَّف البُرمجة حسب مخطط URI، أو مقدمة التنسيق المُهيكل، أو التحليل المحتوى إلى إحدى 48 فئة مُحلِّل تُعترف معًا بـ 222 نوع برمجة: مُعلِّم URL HTTP (مع مُعلِّم مُخصَّص لعديد من المضيفين)، WiFi، vCard، تلفونية، بريد إلكتروني، نية Android، عملات رقمية، مُعلِّم مُستندًا إلى العنوان، بيانات مُدمَّجة، تقويم، جغرافي، تكوين توصيل Bluetooth، تفعيل Matter، مُعاملة دفع مُتاجر EMV (PIX، PayNow، PromptPay، UPI، و 30+ نظام دولة)، تكوين WireGuard، بطاقة الصحة الذكية، تفعيل eSIM، تكوين WalletConnect، مفتاح FIDO الهجين، نظام مُحظور صارم، أو نص بسيط. تُرسَل كل فئة إلى مُحلِّلها المخصص.
- 3
تتبع + تصنيف
للمواقع URL عبر HTTP، نستعرض سلسلة إعادة التوجيه عبر خدمات التوجيه (Bitly, Linktree, QR Tiger, وحوالي 80 أخرى)، نسجل الوسيطين في كل خطوة، نصنف قابلية التغيير (الثابتة / المتغيرة فردية / المتغيرة متسلسلة / الإعلانية / الدائرية)، ونُنسب السيطرة إلى كل مُشغل لخدمة التوجيه. بشكل متوازي، نقوم بفحص الوجهة ضد Google Safe Browsing و URLhaus.
- 4
توحيد
نُنشئ شكلاً واحداً موحداً للحكم، ثابتاً عبر جميع أنواع الشحنات:
threat_classوmutabilityوchainوattributionوsub_payloads، إضافةً إلىdisclosureبلغة سهلة الفهم. تُعالَج الشحنات الفرعية المُضمَّنة في شحنة رئيسية (عناوين URL في حقل ملاحظات vCard، أو SSIDs تحتوي على رابط، إلخ) بشكل تكراري.
ما نلتقطه مما تفوت الأدوات التي تعتمد على URLs فقط
مُسَحَّرَاتِ التَّهْدِيدَاتِ المُرْتَبَطَةِ بِURL تغطي إحدى 48 فئة حملات يمكن أن تحملها الرمز المُسَطِّل، وُصِلَ مُعَيِّن داخل فئة URL في ذلك. نُعَيِّن 222 نَمَطًا مختلفًا من الحملات عبر جميع 48. نُظَرْفٌ أدناه؛ القائمة الكاملة والخطة المُتَّبَعَة في المستوى 2 موجودة على صفحة التغطية.
سلسلة التوجيه & القابلية للتغيير
تتبع كل خطوة. حدد سلاسل Bitly + Linktree. حدد مقدّمي خدمات التوجيه. أظهر الأطراف التي يمكنها تغيير الوجهة بعد الطباعة.
رموز QR لإعدادات WiFi
SSID + تحليل وتنظيم تم إنجازه. تم تحديد الشبكات المفتوحة / الضعيفة-WEP / المخفية. تم فك تشفير المتشابهات بحيث تظهر SSID المماثلة في النتيجة.
المُسلِبِين لمحفظة العملة الرقمية
تنسيق عنوان كل سلسلة + التحقق من صحة المفتاح التحقق. كشف مُحدد الدالة ( approve، setApprovalForAll، permit ). السمعة Chainabuse.
تشغيل المنزل الذكي Matter
فك تشفير MT: بلايوفولز الأساس 38 الخاصة بتسجيل الدخول. استخراج رقم المورّد + رقم المنتج. عرض الإطار الذي يوضح "يقوم بتسجيل جهاز في شبكة منزلك" بحيث لا يمكن للصفيحة المبادلة الانضمام إلى شبكة المهاجم بشكل سري.
EMV تبديل طريقة الدفع عبر QR البائع
تحليل حزم EMVCo MPM / CPM (SGQR، PromptPay، PayNow، DuitNow، UPI). التحقق من صحة CRC + سطح اسم البائع، يكتشف هجوم تبديل اللصق، الاحتيال QR الأكثر حجمًا عالميًا.
QR تسجيل الدخول / اختراق الحساب
حدد نقاط الوصول الخاصة بـ WhatsApp Web، Telegram، Signal، Microsoft 365، Google، GitHub، و AWS لتسجيل الدخول عبر رمز QR. تحذير: مسح الرمز QR يمنح من أنشأه الوصول إلى حسابك.
QR نظيف اليوم، صفحة تصيد غدًا
بمجرد طباعة QR على لاصق أو قائمة أو منشور، لا يمكنك إلغاء طباعته. إذًا، لا يهم فقط "هل الرابط آمن الآن"، بل "من يمكنه تغيير مكان الاتجاه بعد جفاف الحبر". هذا هو التغيير.
QR ثابت
تم تشفير walmart.com مباشرة داخل مصفوفة QR
الوجهة تعيش في نمط النقاط نفسه. لا يمكن لطرف ثالث إعادة كتابة أين تذهب. ما تمسحه اليوم هو ما ستمسحه سنة من الآن.
ديناميك
aqr.net/demo-walmart ← مختصر ← walmart.com
الرمز الشريه يرمز إلى رابط تقصير؛ حيث يختار المالك الحساب الوجهة عند وقت المسح ويمكنه تغييرها في 30 ثانية. نظيف اليوم، صيد احتيالي غدًا، نفس الصفيحة المادية. نكشف السلسلة، نحدد مزود الخدمة التوجيهية، ونخبرك هل الأصل المطبوع مُقيّد أم لا.
الأسعار
مجاني للاستخدام الشخصي، لا تسجيل. خطط مدفوعة للأشخاص، العائلات، الفرق، العلامات التجارية، والتوسعات المؤسسية.
عضو المؤسسين سعرك. مقفل. بشكل دائم. احفظ 34% خصم على المستويات المدفوعة، الدفع السنوي، متوفر حتى 1 سبتمبر 2026.
التطبيقات الأصلية ستكون قريبًا
المحرك نفسه، أصيل على macOS وWindows وLinux وiOS وAndroid. تظل المسح بالكاميرا على الجهاز؛ يذهب التصنيف إلى نقطة النهاية ذاتها. abundera.app →
أسئلة
ما هو كويشينج؟
الصيد عبر الرموز الترفيديّة (QR): يقوم المهاجم بطباعة، أو لصق، أو إرسال عبر البريد الإلكتروني، أو إرسال رسالة مباشرة (DM) رمزًا ترفيديًا يفتح صفحة تجني بيانات المستخدم عند التصوير، أو عملية سحب الأموال من محفظة، أو فخ اتصال الواي فاي المفتوح، أو نية أندرويد تثبيت برمجيات خبيثة. الرمز الترفيدي نفسه هو مجرد صورة، لذا لا ترى عوائق روابط البريد الإلكتروني أو تحذيرات المتصفح هذا الرمز حتى بعد فتح الضحية للرابط على هاتفه. يجب أن تحدث الدفاعات في لحظة التصوير، قبل أن يفتح الهاتف الرابط.
كيف تختلف الـ كوشينج عن الـ فishing العادية؟
ثلاثة اختلافات. القناة الهجومية هي فيزيائية أو بصريّة، لصق لاصق فوق كود QR لآلة توقف السيارات، طباعة منشور مزيف يُحاكي التسجيل في المصادقة متعددة العوامل (MFA)، كود QR لقائمة مطعم تم استبداله في الليل، وبالتالي يتجاوز البوابة البريدية تمامًا. الضحايا يثقون بكود QR أكثر مما يثقون بالروابط في البريد الإلكتروني؛ إذ يبدو كود QR وكأنه وجهة تم اختيارها من قبل من طبّع السطح. كما أن كود QR الديناميكي الذي يمر عبر قصّص قصيرة يمكن إعادة توجيهه إلى وجهة تصيد (phishing) بعد توزيع الأصل المطبوع، وبالتالي يمكن أن يصبح كود QR الآمن عند وقت الطباعة عدوًا بعد أشهر. مسحات روابط ثابتة تجيب "هل هذا الرابط مُعدّ للاستخدام الآن؟" وليس "من يمكنه تغيير الوجهة التي يشير إليها".
كيف أتحقق من أن كود QR آمن قبل المسح؟
لا توجه كاميرا هاتفك الأصلية نحوها، فهذا يفتح الوجهة فورًا. بدلًا من ذلك، افتح check.qr.abundera.ai على هاتفك، واسأل QR عبر الكاميرا الموجودة على الصفحة (يتم فك تشفير الصورة محليًا؛ لا تغادر الصورة جهازك)، واقرأ النتيجة. نتبع كل انتقال توجيهي، ونصنف ما إذا كانت الوجهة قابلة للتحكم من قبل طرف ثالث بعد طباعة QR، ونتحقق من السمعة ضد Google Safe Browsing وآخرين. النتائج المُقبولة آمنة للفتح؛ تحذير ولا تواصل يخبرانك لماذا.
ما هي أمثلة واقعية لـ quishing؟
الصواعق والصواعق الكهربائية التي تغطي QR المشروع بواحد يشير إلى صفحة تجنيب بطاقات الائتمان، النمط الأكثر تقارير في 2024-2025، ملاحظ في أوستين، سان أنطونيو، والمملكة المتحدة. QR لقائمة المطعم تم استبدالها بصفحات التصيد في الليلة من قبل مهاجم يعوّض الجناح الجدول يدويًا. مطويات التسجيل في MFA المؤسسي في الحمامات في المكاتب التي تبدو رسمية لكنها تسجل جهاز المهاجم. QR لدعوة الزفاف تم توزيعها قبل عدة أشهر من الحدث، حيث يسمح اختراق حساب القصير للمهاجم بتحديث آلاف البطاقات المطبوعة. QR لدفعات العملات الرقمية في المحطات المخصصة لبيع السلع تم تغطيتها بعنوان محفظة المهاجم. النить المشترك: QR المطبوع يبدو متطابقًا مع الـ QR الآمن.
كيف يختلف هذا عن Google Safe Browsing أو VirusTotal؟
الأدوات الحالية تصنف ما إذا كان عنوان URL مُعدٍ بالخطر في الوقت الحالي. نحن نصنف أيضًا ما إذا كان الوجهة قابلة للتحكم بها من قبل طرف ثالث بعد طباعة QR، وهي خاصية نُطلق عليها القابلية للتغيير. QR ديناميكي نقي مُمرّ عبر مُختصر لا يزال مرتفع المخاطر لملصق مُعدّ لعداد المواقف أو دعوة زفاف: يمكن لصاحب الحساب في مُختصر تغيير الوجهة في أي وقت. نعرض هذا الوضع السيطرة كمجال تقييم من الدرجة الأولى بجانب مجال تقييم المخاطر.
هل تُخزِّن QR الذي قمت بمسحه؟
لا. تنتقل الحزمة المفككة إلى خوادمنا عبر HTTPS بحيث نتمكن من متابعة السلسلة وطلب قواعد بيانات السمعة، وهذا ضرورة وظيفية، وليس خيارًا، ولكنها لا تُخزن أبدًا. يتم تخزين أحكام التقييم باستخدام هاش SHA-256 لمرشح نوع الحزمة المحددة مُدمجًا مع ملح سري مُحتفظ به على الخادم. لا يمكن إعادة بناء الحزمة الأصلية من أي مدخل في المخزن.
لماذا نستخدم نطاقًا منفصلًا من qr.abundera.ai؟
qr.abundera.ai هو مُولِّد يُعهِد بتنفيذ كل شيء من جانب العميل: لا شيء يغادر جهازك. هذا المُحلِّل الأمني يرسل الحمولة المُفكَّكة بعد التشفير إلى الخادم بسبب الحاجة. نُفصِّل بين الوجهتين بحيث تبقى الوعود الخاصة بالعميل فقط نقيّة على نطاق المُولِّد، بينما تبقى الوجهة ذات النموذج المعكوس للخصوصية مُسجَّلة بشكل واضح هنا.
ما هي ميزة التحذير عند التحوّل؟
مستوى Pro. أرسل كود QR للتعقب، ونعيد مراجعة السلسلة بانتظام. أرسل بريد إلكتروني عند تغيير الهدف التوجيهي، أو الوجهة النهائية، أو مجموعة مُشغلين الخدمة التوجيهية. هذا يلتقط الأنماط الأكثر شيوعًا لصيد التوجيه في البريد الإلكتروني: اطبع كود QR نظيفًا، وغيّر الوجهة إلى تصيد بعد أشهر، واستخرج التصاميم من الأصل المطبوع.
هل يمكنني تضمين هذا في منتجي الأمني؟
نعم، على الدرجة Pro. إن واجهة بروتوكول برمجة تطبيقات برمجة تطبيقات (API) هي RESTful، وتُرجع تقريرًا منظمًا بصيغة JSON يحتوي على نوع الحمولة، وفئة التهديد، وقابلية التغيير، وسلسلة إعادة التوجيه، وتحديد المسؤولية عبر الطرق، ونتائج التحليل الفرعي. تم تصميمها للدمج في تطبيقات المحفظة، وبرامج الأمان المحمول، وفلترة URLs المؤسسية، وتحسينات معاينة الروابط في Slack / Teams المؤسسية.
مفتوح المصدر؟
ليس في الوقت الحالي. نظام التصنيف مصدره مغلق ريثما يكتمل إجراء الحصول على براءات الاختراع ذات الصلة. قد ننشر تطبيقات مرجعية للخوارزميات المُفصح عنها بعد المنح. عقد API عام ومستقر.