الأمان ومكافحة التصيد

آخر تحديث: أبريل 2026

سلامتك مهمة. تسرد هذه الصفحة نطاقاتنا الرسمية وحساباتنا الاجتماعية، وتشرح كيفية التعرف على التصيد الاحتيالي، وتصف كيفية الإبلاغ عن المشكلات الأمنية.

النطاقات الرسمية

تعمل CoinKirin فقط تحت النطاقات التالية. أي شيء آخر ليس منا:

• coinkirin.com — الموقع الرئيسي (المستخدمون العامون).
• api.coinkirin.com — واجهة REST API العامة.
• static.coinkirin.com — الأصول الثابتة (الصور، CSS، JS) المقدَّمة عبر CDN.
• mcp.coinkirin.com — خادم MCP لوكلاء الذكاء الاصطناعي.

نحن لا نطلب منك أبدًا تسجيل الدخول عبر أي نطاق آخر. إذا لم يكن عنوان URL في متصفحك أحد الأعلى، أغلق علامة التبويب فورًا.

الحسابات الاجتماعية الرسمية

قنواتنا الرسمية الوحيدة مدرجة أدناه. الحسابات التي تدَّعي أنها CoinKirin في أماكن أخرى هي حسابات منتحلة:

• GitHub — https://github.com/coinkirin

كيفية التعرف على التصيد الاحتيالي

قد ينتحل المهاجمون صفة موظفي CoinKirin أو نطاقات مشابهة. ضع هذه القواعد في الاعتبار:

• لن نرسل إليك أبدًا بريدًا إلكترونيًا لطلب عبارة البذور أو المفاتيح الخاصة أو كلمة مرور المحفظة. أي شخص يفعل ذلك هو محتال.
• لن نتواصل معك أبدًا أولاً عبر رسائل خاصة على Telegram أو Discord أو WhatsApp لطلب أموال أو تحقق أو بيانات اعتماد.
• تحقق دائمًا من تهجئة النطاق. يستخدم المهاجمون حيلًا مثل c0inkirin.com وcoinklrin.com وcoinkirin.co.
• تحقق من شهادة SSL — انقر أيقونة القفل في متصفحك. يجب أن تكون الشهادة صادرة لـ coinkirin.com.
• ترد الرسائل الشرعية منا من عناوين @coinkirin.com. مرِّر دائمًا فوق الروابط قبل النقر.

الإبلاغ عن المشكلات الأمنية

إذا كنت تشك في التصيد الاحتيالي أو الانتحال أو وجدت ثغرة، يُرجى مراسلة security@coinkirin.com.

يُرجى تضمين:

• وصف واضح للمشكلة أو محاولة التصيد المشتبه بها.
• عناوين URL، لقطات شاشة، رؤوس البريد الإلكتروني، أو خطوات إعادة الإنتاج إذا كان ذلك ينطبق.
• معلومات الاتصال الخاصة بك (اختياري) حتى نتمكن من المتابعة.

مكافأة الأخطاء

برنامج رسمي لمكافأة الأخطاء قريبًا. في الوقت نفسه، نشكر بامتنان باحثي الأمن الذين يتبعون الإفصاح المسؤول — ستُضاف النتائج الصحيحة إلى قاعة مشاهير الأمن لدينا.

رؤوس الأمان التي نستخدمها

تُقدَّم كل صفحة من CoinKirin برؤوس أمان صارمة:

• HSTS — يفرض اتصالات HTTPS حصرًا لمدة لا تقل عن 180 يومًا، بما في ذلك النطاقات الفرعية.
• Content-Security-Policy (CSP) — سياسة محتوى أمان صارمة مع nonces — تحظر البرامج النصية المحقونة وتقيِّد مصادر الأصول على CDN الخاص بنا.
• X-Frame-Options — يمنع التأطير لمنع النقر الملتف (Clickjacking).
• X-Content-Type-Options — يمنع استكشاف نوع MIME.
• Referrer-Policy — strict-origin-when-cross-origin — يُحدِّد تسرب المرجع إلى أطراف ثالثة.

توقيع Android APK

يُوزَّع تطبيق Android الخاص بنا كملف APK مباشرةً ومُوقَّع بمفتاح ثابت. تحقق دائمًا من بصمة شهادة التوقيع قبل التثبيت أو التحديث — إذا اختلفت البصمة، فإن APK ليس أصليًا.

بصمة شهادة التوقيع SHA-256:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

يمكنك التحقق من البصمة عبر: apksigner verify --print-certs coinkirin-latest.apk. في التطبيق المثبَّت، افتح الإعدادات → حول → التوقيع لعرض البصمة على الجهاز.

سياسة الإفصاح المسؤول

نتَّبع نافذة إفصاح منسَّقة مدتها 90 يومًا. التزاماتنا تجاه الباحثين:

• نقرّ باستلام تقريرك في غضون 5 أيام عمل.
• لن نتخذ إجراءً قانونيًا ضد الباحثين الذين يتصرفون بحسن نية ويتبعون هذه السياسة.
• يتم تنسيق الإفصاح العام مع الباحث ويحدث عادةً في غضون 90 يومًا من التقرير الأولي، أو قبل ذلك بمجرد نشر الإصلاح.