ينحو الكثيرون للقيام بأعمالهم اليوميّة بالاعتماد على الخدمات المُقدّمة من مواقع الإنترنت المُختلفة كالتّسوّق الإلكتروني وإجراء التعاملات الماليّة وغيرها الكثير، طمعًا بتوفير الجهد والوقت. لكن ما يُعيب هذه الخدمات هو التصريح عن معلومات المستخدم الشخصية وأرقام حساباته المُختلفة وكلمات المرور، مما شكّل بيئةً جذبت مُجرمي الإنترنت الذين تفنّنوا في اختراع أساليبٍ وطرقٍ للاحتيال و التصيد الالكتروني Phishing للحصول على ما يريدون دون أن يشعر المُستخدم أي شيء.

تعريف التصيد الالكتروني Phishing

التصيد الالكتروني Phishing هو مصطلحٌ يُستخدم للدلالة على شخصٍ أو مجموعة أشخاصٍ يتحايلون على مستخدمي الإنترنت من خلال إرسال بريد إلكتروني أو إنشاء صفحات مُصمَّمةٍ لتجمع معلوماتٍ عن حسابات المستخدمين المصرفيّة وبطاقاتهم الإئتمانيّة وأي معلوماتٍ شخصيّةٍ، ولأنّ هذه الصفحات والبريد الإلكتروني تبدو تابعةً لشركاتٍ نظاميّة فقد يثقُ بها المستخدمون ويُدخلون معلوماتهم الشخصيّة والحساسة.1

طرق التصيد الالكتروني Phishing

تعتمد هجمات التصيد الالكتروني Phishing عادةً على تقنيّات التواصل الاجتماعيّة المستخدمة لإرسال البريد الإلكتروني وبقيّة وسائل الاتصال الإلكترونيّة كالرسائل المباشرة المُرسلة عبر الشبكات الاجتماعيّة والرسائل النصية SMS وبقيّة طرق المراسلة المباشرة.

قد يستخدم من يقوم بالتصيّد الإلكتروني الهندسة الاجتماعية وبقيّة مصادر المعلومات العامّة الأخرى كالشبكات الاجتماعية مثل Linkedln والفيسبوك والتويتر وذلك لجمع المعلومات الأساسيّة عن شخصية الضحية وتاريخ عملها واهتماماتها ونشاطاتها.

تُتيح عملية الاستكشاف قبل هجمة التصيد الالكتروني Phishing الحصول على الأسماء وعناوين العمل وعناوين البريد الإلكتروني للضحايا المحتملين، إضافةً لمعلوماتٍ عن زملاء الضحية وأسماء الموظفين في المؤسسة التي يعمل بها، حيث يمكن الاستفادة من كل تلك المعلومات لإنشاء بريد إلكتروني لا يمكن الشّك بمصداقيّته. فالهجمات الموجّهة ومنها التي تُنفذها مجموعات التهديد الدائمة المتقدّمة عادةً تبدأ عن طريق بريدٍ إلكتروني مُخادعٍ يحتوي على رابط أو ملفات ارتباط ضارّة.

عادةً ما تكون رسائل البريد الإلكتروني المخادعة ذات أسلوبٍ ضعيفٍ وواضحة التزييف، ومع ذلك تستخدم مجموعات المجرمين الإلكترونيين نفس الأساليب الخاصّة بالمسوّقين المُحترفين لمعرفة أكثر أنواع الرسائل تأثيرًا، وغالبًا ما تستغل حملات التصيد الالكتروني Phishing الأحداث الهامّة وأيام العطل والمناسبات السنويّة إضافةً لاستغلالها الأخبار العاجلة الصحيحة منها أو المزيّفة.

يستقبل الضحيّة رسالةً تبدو كأنّها مُرسلةً من جهةٍ أو مؤسسةٍ معروفة وتتمُّ الهجمة عن طريق ملف ارتباط مُزيّف يتضمّن برنامج تصيّد أو عن طريق روابط متّصلة بمواقع ويب مزيّفة، وفي الحالتين يكون الهدف تثبيت برمجيّات ضارة على جهاز المُستخدم أو توجيهه إلى موقع ويب مُزيّف ومُجهّز للإيقاع به والحصول على المعلومات الشخصيّة والماليّة مثل كلمات المرور أو مُعرّفات الحساب أو معلومات بطاقة الإئتمان.

يمكن أن يتضمّن البريد الإلكتروني المُرسل شعارات إحدى الشركات وبياناتها ورسومها التعريفيّة بعد الحصول عليها من الشركة نفسها، وعادةً ما تكون الروابط المُستخدمة في رسائل التصيّد مُصمّمةٌ لتَظهر وكأنَّ الضحيّة ستنتقل إلى الشركة في حال الضغط عليها.2

أنماط التصيد الالكتروني Phishing

هجمات التصيّد الرمحية Spear

هذا النوع من هجمات التصيّد موجّه إلى أفرادٍ أو شركاتٍ مُحدّدة، عادةً ما تَستخدم معلوماتٍ خاصّةٍ عن الضحيّة جُمعَت مُسبقًا لإنشاء الرسالة بشكلٍ ناجحٍ لتبدو أكثر موثوقيّة. فالبريد الإلكتروني المُزيّف من هذا النّمط قد يتضمّن إشاراتٍ إلى زملاء العمل أو المسؤولين الموجودين في الشركة التي تعمل فيها الضحيّة، إضافةً لاستخدام اسم الضحيّة وموقعها أو أي معلومةٍ شخصيّةٍ أخرى.

هجمات التصيّد الحوتية Whaling

هو نوعٌ من هجمات ال Spear تستهدف كبار المسؤولين التنفيذيين ضمن المؤسسة لسرقة معلوماتٍ أكبر، حيثُ يبحث منفذو هجمات التصيّد الرمحي Spear عن ضحاياهم بالتفصيل لإنشاء رسائل أكثر قدرةٍ على خداعهم كون استخدام معلوماتٍ ذات صلة بالأشخاص المُستهدفين يزيد من فرص نجاح الهجمة.

تزوير العناوين Pharming

هو نوعٌ من أنواع التصيد الالكتروني Phishing يعتمد على تخريب ذاكرة تخزين الخادم DNS من أجل إعادة توجيه المُستخدمين من الموقع الحقيقي إلى المزيّف وخداعهم لاستخدام معلومات تسجيل الدخول الخاصّة بهم وذلك للوصول إلى الموقع المزيّف.

كيفية الحماية من التصيد الالكتروني Phishing

على الرغم من خطورته وتعدد أساليبه، لكن الحماية منه ممكنه وبسهولة.3

يمكن اتبع الخطوات التالية:

  1. استخدام أدوات الأمان المحدّثة في الحاسوب كبرامج مكافحة الفيروسات وبرامج منع التجسس وجدار الحماية.

  2. الامتناع عن فتح المرفقات المشبوهة أو مجهولة المصدر الموجودة ضمن البريد الإلكتروني.

  3. لا تُصرّح عن المعلومات الشخصيّة التي يطلبها منك البريد الإلكتروني كالاسم ورقم البطاقة الإئتمانية.

  4. تحقّق أكثر من مرّة من عنوان URL الخاص بموقع الويب للتأكّد من موثوقيّته من خلال كتابة العنوان الفعلي في متصفّح الإنترنت.

  5. تحقّق من رقم هاتف موقع الويب قبل إجراء أيّ اتّصال على الرقم الظاهر في البريد الإلكتروني.

نصائح في حال التعرّض للتّصيّد الإلكتروني

في حال وقوعك ضحيةً لإحدى عمليات التصيد الالكتروني Phishing سارع بتسجيل الدخول إلى حسابك من صفحة الشركة وتغيير كلمة المرور مباشرةً. ومن المفضّل أيضًا إجراء عمليّة فحصٍ للحاسوب للبحث عن البرامج الضّارة وذلك في حال ألحقَ الموقع ضررًا به.

وأخيرًا، إذا كانت الشركة تدعم ميّزة المُصادقة الثنائيّة لا بأس من تفعيلها على حسابك، وفي حال سرقة معلوماتك الشخصيّة من الأفضل مُراقبة حساباتك للتأكّد في حال وجود أنشطةٍ مشبوهة.

المراجع

  • 1 ، Phishing، من موقع: /www.computerhope.com، اطّلع عليه بتاريخ 7-2-2019
  • 2 Margaret Rouse، phishing، من موقع: searchsecurity.techtarget.com، اطّلع عليه بتاريخ 7-2-2019
  • 3 ، phishing، من موقع: www.techopedia.com، اطّلع عليه بتاريخ 7-2-2019