احمي موبايلك من اختراق عن طريق QR بسرعة الآن!

الـ QR Code بقى حوالينا في كل حتة: بوسترات، فواتير، قوائم مطاعم، فلايرز... بس لِيه لازم نخاف شوية؟
فيها هاكرز بيستغلوا إن الناس بقت بتفترض إن أي QR "آمن" وـ لو مسحته الكاميرا بيروح يفتح لينك فورًا - واللينك ده ممكن يكون باب لدخول خبيث على موبايلك

البوست ده هيقولك إزاي الهجمة بتحصل بطريق عام ومبسّط، ويدي خطوات عملية وكود آمن تساعدك تقلّل المخاطر وتتصرف صح لو قابلت QR مش موثوق.

إزاي الهاكر ممكن يستغل QR؟ خطوة بخطوة بس بشكل عام ​

مش هندي تفاصيل تقنية تخلّي حد يعمل حاجة وحشة - ده توعية بس. الفكرة العامة إن الـ QR ممكن يخبي وراها شغل مش باين للعين:

1. بص شكله عادي: ممكن يكون مكتوب عليه "سجّل دخول" أو "شوف صورتك" أو "احصل على خصم".
2. تمسحه بالكاميرا: معظم الموبايلات بتحول المسح فورًا لفتح لينك أو نقلك لصفحة.
3. الصفحة دي ممكن تحتوي سكربت يشغّل إجراءات - زي يطلب صلاحيات، يوجّهك لتحميل ملف، أو يفتح استغلال لو في ثغرة قديمة في الجهاز.
4. لو لقيت صلاحيات غريبة أو تحميل اتبدأ بدون إذنك - دي علامة حمراء
5. في أسوأ الحالات، الهاكر ممكن يحصل على وصول لبيانات أو يركّب بايلود في الخلفية.

الرسالة: مَتِسْتَهَوْش، وخلّيك حذر لما تمسح أي QR مش من مصدر موثوق.

---

إيه اللي تراقبُه فورًا؟ علامات الشك ​

• صفحة بتطلب صلاحيات غريبة قبل ما تعمل أي حاجة (زي صلاحية تخزين ملفات من غير سبب واضح).
• رابط بيوجهك لموقع مش معروف أو domain غريب.
• تحميلات تبدأ من غير ما تسألك.
• رسالة بتطلب تسجيل دخول بحساب مهم (البنك، البريد) بعد مسح QR - خلي بالك جدًا.
• ظهور نوافذ منبثقة (pop-ups) بتطلب تثبيت تطبيق.

لو أي حاجة من دي حصلت، اقفل الصفحة فورًا وابعد.

---

نصائح عملية تحميك من QR مش موثوق ​

• افحص المصدر قبل ما تمسح: الملصق من شركة معروفة؟ من محل رسمي؟ ولا ورقة مرمية في الشارع؟
• ما تفتحش الرابط مباشرة لو الكاميرا بتفتح المتصفح فورًا - استخدم تطبيق QR scanner فيه preview للرابط قبل الفتح.
• اتأكد من الدومين: لو الرابط مش من نفس الموقع اللي انت متوقعه أو فيه أسماء غريبة، ما تكملش.
• ماتديش صلاحيات للموبايل إلّا لو متأكد: أي طلب صلاحية لازم يكون له سبب واضح.
• حدّث نظام التشغيل والتطبيقات دايمًا - أغلب الاستغلالات بتتصيد على ثغرات قديمة.
• استخدم مضاد فيروسات موثوق على الموبايل لو متاح.
• لو الرابط طلب تسجيل دخول لحساب مهم، ادخل الموقع بنفسك من المتصفح بدل ما تدخل عن طريق الرابط.
• لو حصل تحميل أو سلوك غريب اطفي الموبايل واعمل فحص أو اتصل بفني موثوق.

---

مثال عملي آمن: ازاي تتعامل برمجياً مع لينكات الـ QR قبل الفتح (JavaScript) ​

لو بتطور تطبيق موبايل أو ويب وعايز تضمن إن أي رابط من QR ينفتح بأمان، ممكن تستخدم فكرة قائمة مسموح بها (allowlist) قبل ما تعمل Redirect. المثال ده توضيحي دفاعي بس:

// مثال دفاعي بسيط: تمنع الفتح إلا للدومينات الموثوقة
const ALLOWLIST = [
  "example.com",
  "mycompany.com",
  "trusted-cdn.net"
];

function isAllowedUrl(url) {
  try {
    const parsed = new URL(url);
    return ALLOWLIST.includes(parsed.hostname);
  } catch (e) {
    return false;
  }
}

// عند مسح الـ QR وظهور الرابط
function handleScannedUrl(url) {
  if (isAllowedUrl(url)) {
    // فتح داخل WebView آمن أو داخل إطار مؤمن
    window.location.href = url;
  } else {
    // نعرض تحذير للمستخدم ونخليه يقرر
    alert("الرابط ده مش معروف أو مش موثوق - افتحه بحذر أو انسخه وافتحه بنفسك.");
  }
}

الكود ده هدفه: يخلي القرار للمطور أو لصاحب التطبيق، وما يخليش أي لينك يفتح أوتوماتيك من غير فلترة. لو بتعمل تطبيق أندرويد/آي-أو-إس، نفس الفكرة تنفع: اعمل فلترة قبل الفتح وعرض شرح للمستخدم.

---

لو اتضرّرت: خطوات استجابة سريعة ​

1. اقفل الاتصال بالإنترنت (واي فاي وموبايل داتا).
2. افصل أو احذف أي تطبيق اتثبت غصب عنك.
3. غيّر كلمات المرور المهمة من جهاز تاني موثوق.
4. لو في شك إن في اختراق فعلي، اعمل فحص بمضاد فيروسات موثوق أو خليك عند فني.
5. بلّغ البنك أو الجهات المعنية لو حصلت سرقة بيانات أو معاملات مالية مش منك.

الخلاصة: القاعدة الذهبية ​

الـ QR مفيد جدًا لكن ما يتعاملش معاه على إنه أداة "آمنة تلقائيًا".
خليك دايمًا تستعمل الفطنة: افحص المصدر، ما تفتحش لينكات غريبة، واستخدم أدوات تفحص الروابط قبل الفتح.
لو بتطور تطبيق - طبّق فلترات allowlist وقدم تحذيرات واضحة للمستخدم.
الأمان مش طقّة زر، هو عادة وممارسات بسيطة بتخلّي جهازك بعيد عن مشاكل كتير