حجر الزاوية في كل عملية سرقة ناجحة لمخزون Steam تقريبًا هو التصيد الاحتيالي. قبل أن يتمكن المحتال من اختراق مفتاح API الخاص بك أو تفريغ حسابك، يحتاج إلى بيانات اعتمادك. للحصول عليها، يعتمدون على إنشاء مواقع ويب مزيفة مقنعة بشكل لا يصدق تخدعك لتسجيل الدخول.
في عام 2026، يستغرق إنشاء نسخة طبق الأصل تمامًا من صفحة تسجيل دخول Steam أو سوق تابع لجهة خارجية شهيرة من المحتالين دقائق معدودة. لم يعد التصميم المرئي لموقع الويب مؤشرًا موثوقًا على صحته. يجب أن تنظر بشكل أعمق.
إليك بالضبط كيفية تحديد مواقع Steam المزيفة وروابط التصيد قبل فوات الأوان.
تشريح موقع التصيد الاحتيالي
مواقع التصيد الاحتيالي موجودة لسبب واحد: تقديم زر "تسجيل الدخول عبر Steam" مزيف لك.
عند النقر على زر تسجيل دخول Steam الشرعي على موقع تابع لجهة خارجية حقيقي، يتم إعادة توجيهك إلى steamcommunity.com للمصادقة بأمان. لا يرى الموقع التابع للجهة الخارجية كلمة المرور الخاصة بك أبدًا.
على موقع التصيد الاحتيالي، يفتح زر "تسجيل الدخول" نافذة منبثقة تبدو مثل صفحة تسجيل دخول Steam. ومع ذلك، فهي واجهة مزيفة تمامًا مصممة لالتقاط اسم المستخدم وكلمة المرور ورمز المصادقة النقالة الذي تكتبه فيها، وإرسالها مباشرة إلى المحتال.
1. الرابط هو كل شيء (التصيد باستخدام الأخطاء المطبعية)
الطريقة الأكثر شيوعًا هي "التصيد باستخدام الأخطاء المطبعية" (typo-squatting) – وهي تسجيل أسماء نطاقات تبدو مطابقة تقريبًا للأسماء الحقيقية. غالبًا ما يقرأ العقل البشري الكلمات بشكل سريع، معتمدًا على الشكل العام بدلاً من الحروف الفردية، مما يجعل هذه الطريقة فعالة للغاية.
أمثلة على الروابط المزيفة:
steamcommmunity.com(ثلاثة أحرف 'm')stearncommunity.com(حرفا 'r' و 'n' يبدوان كحرف 'm')steam-community.com(إضافة شرطة)skinport-market.com(إضافة كلمات إلى علامة تجارية حقيقية)csfloat.io(نطاق المستوى الأعلى خاطئ؛ الموقع الحقيقي هو .com)
كيفية الدفاع:
- لا تضغط أبدًا على الروابط المرسلة من الغرباء. سواء في دردشة Steam، أو Discord، أو تعليقات المدونات، تعامل مع الروابط غير المطلوبة على أنها عدائية.
- اقرأ الرابط حرفًا بحرف. قبل إدخال بيانات الاعتماد في أي مكان، توقف واقرأ شريط العناوين بعناية.
- استخدم الإشارات المرجعية (Bookmarks). الطريقة الأكثر أمانًا للانتقال إلى أسواق التداول أو مواقع المقامرة التي تستخدمها بشكل متكرر هي وضع إشارة مرجعية لها بنفسك.
2. اختبار "النافذة المنبثقة المزيفة" (اختبار السحب)
هذه هي الطريقة الأكثر موثوقية للكشف عن نافذة تسجيل دخول Steam مزيفة.
عند النقر على "تسجيل الدخول باستخدام Steam" على موقع شرعي، يتم فتح نافذة متصفح ثانوية حقيقية. نظرًا لأنها نافذة حقيقية تم إنشاؤها بواسطة نظام التشغيل الخاص بك، فإن لها خصائص معينة.
ومع ذلك، لا يمكن للمحتالين إجبار متصفحك على فتح نافذة حقيقية لموقعهم المزيف دون أن يكشف شريط العنوان عنهم. بدلاً من ذلك، يستخدمون HTML و CSS لرسم نافذة "مزيفة" داخل صفحة الويب التي تشاهدها حاليًا. تبدو وكأنها نافذة منبثقة، لكنها مجرد رسم على الصفحة.
الاختبار: عند ظهور نافذة تسجيل دخول Steam المنبثقة، حاول النقر وسحب شريط العنوان العلوي للنافذة المنبثقة خارج حدود نافذة المتصفح الرئيسية (على سبيل المثال، اسحبها إلى خلفية سطح المكتب).
- إذا كانت حقيقية: ستتحرك النافذة بحرية خارج إطار المتصفح الرئيسي، لأنها نافذة منفصلة ومستقلة تحكمها نظام التشغيل الخاص بك.
- إذا كانت مزيفة: ستعلق النافذة عند حافة نافذة المتصفح الرئيسية وتختفي إذا سحبتها بعيدًا جدًا. لا يمكنها مغادرة صفحة الويب التي تم رسمها عليها.
ملاحظة: يحاول بعض محتالي التصيد الحديثين والمتطورين فتح نوافذ جديدة فعلية، لكنهم سيخفون شريط العنوان أو يستخدمون تزوير عناوين URL معقدًا للغاية. اجمع دائمًا اختبار السحب مع التحقق من عنوان URL.
3. لا تثق بقفل الأمان (شهادات SSL)
في السابق، كان يُعلّم المستخدمون "البحث عن قفل الأمان" في شريط عنوان المتصفح للتأكد من أن الموقع آمن. هذه النصيحة عفا عليها الزمن بشكل خطير.
القفل يعني فقط أن الاتصال بينك وبين الموقع مشفر (HTTPS). هذا يعني أنه لا يمكن لأحد اعتراض البيانات أثناء انتقالها. ولكنه لا يعني أن الموقع نفسه شرعي أو آمن.
يمكن للمحتالين بسهولة وبشكل مجاني الحصول على شهادات SSL لنطاقاتهم المزيفة التي تعتمد على أخطاء كتابية. موقع التصيد الاحتيالي سيكون لديه قفل أمان في أغلب الأحيان.
كيفية الدفاع: افهم أن بروتوكول HTTPS (قفل الأمان) ضروري ليكون الموقع آمنًا، ولكنه ليس دليلًا على أن الموقع أمين. إنه يعني فقط أنك ترسل كلمة المرور الخاصة بك بشكل آمن مباشرة إلى المحتال.
4. فحص "قيد تسجيل الدخول بالفعل"
إذا كنت قد سجلت الدخول إلى Steam بالفعل في متصفح الويب الرئيسي الخاص بك (مثل Chrome أو Firefox)، فيجب أن تتعرف مطالبات تسجيل الدخول الرسمية لـ Steam على المواقع الخارجية على هذا.
عند النقر على "تسجيل الدخول عبر Steam" على موقع شرعي، يجب أن يعرض تلقائيًا صورة ملفك الشخصي ويطلب منك ببساطة "تسجيل الدخول" بنقرة واحدة، دون مطالبتك بإعادة إدخال كلمة المرور أو رمز المصادقة الثنائية (2FA).
الاختبار:
إذا كنت تعلم أنك قيد تسجيل الدخول إلى steamcommunity.com في متصفحك، ولكن النافذة المنبثقة لتسجيل الدخول إلى Steam على موقع خارجي تطلب منك إدخال اسم المستخدم وكلمة المرور ورمز حماية Steam يدويًا مرة أخرى، فإنه على الأرجح موقع تصيد احتيالي. أغلقها على الفور.
قائمة مراجعة موجزة لتسجيلات الدخول الآمنة
- هل وصلت إلى هذا الموقع عبر إشارة مرجعية موثوقة أو بحث جوجل، أم أنني نقرت على رابط تم إرساله إلي؟ (إذا تم إرسال الرابط، كن شديد الحذر).
- هل قرأت عنوان URL بعناية للتأكد من كتابته بشكل صحيح تمامًا؟
- هل يمكنني سحب نافذة تسجيل الدخول المنبثقة خارج نافذة المتصفح الرئيسية؟
- إذا كنت مسجلاً الدخول بالفعل إلى Steam في هذا المتصفح، هل يجبرني على إدخال كلمة المرور مرة أخرى؟
كن يقظًا. في اللحظة التي تكتب فيها بيانات اعتمادك في المربع الخطأ، يفوز المحتالون.



