ما هو التصيد الصوتي Vishing؟ تعرّف على مخاطره وطرق الحماية منه

التصيد الصوتي Vishing هو أحد أشكال الهجمات الإلكترونية الجديدة التي تهدف لخداع الضحية من خلال الكشف عن معلوماته الشخصية الحساسة من خلال مكالمة صوتية هاتفية، ورغم أن التصيد الصوتي يبدو قديمًا ومعروفًا للجميع إلا أن هذا النوع من الهجمات يتطلب امتلاك تقنيات متطورة كالمحاكاة الصوتية الآلية، كما تتطلب عددًا من الهجمات التمهيدية السابقة لجمع تلك المعلومات الشخصية عن الضحية واستغلال بعض القصص التي تثير المشاعر البشرية كالطمع والخوف، وبهذا تقتنع الضحية بالكشف عن معلومات مهمة ككلمات المرور وأرقام بطاقات الائتمان، وعادةً ما تكون ضحايا التصيد الصوتي من كبار السن الذين لا يملكون خبرة كافية لحماية أنفسهم من الاحتيال.

تشير أرقام إحصائيات التصيد الصوتي إلى خطورة المشكلة وانتشارها بالنظر إلى الأرباح الكبيرة التي يجنيها المهاجمون، فقد بلغت نسبة المكالمات التي تهدف للاحتيال عام 2018 ما يقارب 30% من مجموع المكالمات الخلوية الواردة، وكانت خسائرها نحو 48 مليون دولار حسب مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي، وهو رقم كبير ومخيف للغاية ويضع على عاتقنا مهمة التعريف بهذا المصطلح الجديد لأن أكثر من 75% من الناس لم يسمعوا بالتصيد الصوتي من قبل.

أفاد 75% من ضحايا الاحتيال الصوتي أن المهاجمين كان يملكون بالفعل بعض المعلومات الشخصية وهذا ما أقنعهم بإفشاء معلومات أكثر، كما يدل على تعرضهم لعمليات احتيال صوتي سابقة تم الحصول فيها على معلوماتهم، وتشير المعلومات الصادرة عن لجنة التجارة الفيدرالية أن 6% فقط من المستهدفين خسروا مبالغ مالية بمتوسط بلغ 960$ في الهجوم الواحد.

وهي مصطلحات شاعت في السنوات القليلة الماضية للدلالة ع الهجمات الإلكترونية التي تهدف للاحتيال على الضحية، كان Phishing أول مصطلح ظهر ودل على الهجوم الاحتيالي الذي يتم تضمينه ضمن بريد إلكتروني أي التصيد بالبريد الالكتروني، وتم اشتقاقها من كلمة Fishing وتعني الصيد باللغة العربية للتشبيه بصيادٍ يرمي سنارته منتظرًا الضحية، وتم تعريب Phishing بمصطلح التصيد الذي بدأ مطلع التسعينات مع بدء انتشار خدمات البريد الإلكتروني.

أما Smishing فهو مصطلح مشابه مشتق من سابقه ويدل على الهجمات الاحتيالية المحمولة برسالة نصية SMS بدلًا من البريد الإلكتروني، وأما موضوعنا اليوم Vishing فقد بدأ انتشاره بداية القرن الواحد والعشرين وتم اشتقاقه من Voice للتدليل على صوتيته، ويمكن أن يمر معكم تحت تسمية SPIT وهي أيضًا بمعنى التصيد الصوتي.

تتشارك جميع هجمات التصيد الصوتي ببعض الصفات عمومًا، كأن تُجرى المكالمات من خلال خدمات الهاتف عبر الإنترنت أو ما يُعرف بـ VoIP، مما يسهل أتمتتها لتنفيذ الهجوم على نطاقات أوسع ولمنع تعقبها من قبل السلطات والضحايا من خلال إخفاء رقم هاتف المتصل أو تزويره، وتهدف أغلب هجمات التصيد الصوتي لجمع معلومات تتعلق بالحسابات البنكية أو معلومات شخصية تساعد منفذ الهجوم للوصول إلى الحساب المصرفي في الهجمات التالية، يتم العمل على الهجمات لتكون واسعة ومتسلسلة لزيادة احتمال نجاحها على أمل الوصول لحساب بنكي لأحد الأثرياء.

تبدأ عملية التصيد الصوتي بتوجيه مئات من المكالمات الآلية لمجموعة من الأرقام العشوائية والتي تهدف لإخافة الضحايا كالادعاء بأن المكالمة قادمة من مديرية الضرائب في مدينتك أو فرع البنك الذي تودع نقودك فيه أو أي جهة حكومية رسمية، الأمر الذي قد يقنع الكثير من الضحايا لكشف معلوماتهم الخاصة، كما يمكن توجيه بعض البرمجيات الضارة التي تستهدف الهاتف المحمول أو الحاسوب الشخصي للضحية، وتسبب ظهور إشعارات تطلب منك التحدث إلى رقم معين أو إرسال بريد لجهة تدعي بأنها رسمية للحصول على المعلومات.

ويختلف هذا النوع عن السابق العشوائي بتركيزه على ضحية واحدة مختارة بعناية، والبدء بجمع المعلومات عنها كالاسم الكامل وعنوان المنزل وأرقام الحساب المصرفي، وإقناع تلك الضحية بالكشف عن الرمز السري الخاص PIN.

يتم الحصول على تلك المعلومات الدقيقة من الإنترنت المظلم أو Dark Web والذي يحوي المئات من قواعد البيانات الخاصة التي يتم استخلاصها من الهجمات الإلكترونية للهاكرز ويتم تسويقها وبيعها، وهو ما يزيد من خطورة هجمات التصيد الصوتي ويقدم الكثير من المعلومات التي تزيد من فداحة الهجمات وخطورتها.

يتم توجيه التصيد الصوتي المركّز إلى أشخاص قد يمتلكون خبرة في تمييز الهجمات الاحتيالية لتجنب إفشاء معلوماتهم بمجرد الادعاء بأن الاتصال من مصلحة الضرائب، وخاصةً رجال الأعمال والأثرياء الذين لديهم معلومات كافية عن الاحتيال ورغم ذلك يلتقطون الطُعم، حيث ينتحل المهاجم صوت شخصية محددة تثق بها الضحية كمحاسب أو مدير أعمال ويستمر بالبحث عن المعلومات لمدة طويلة، وهو أمر صعب وشاق لنيل مكاسب أكبر، لهذا يتم تسمية هذا النوع بصيد الحيتان أو Whaling.

التصيد الصوتي التسويقي: وهو أن يتصل بك أحد الأشخاص ليخبرك بأنك حصلت على عرضٍ مغرٍ أو ربحت جائزة معينة، وبالفعل قد يتم إرسال الجائزة إليك في المرة الأولى لإيقاعك في فخ أكبر في المرة القادمة.

انتحال شخصية حكومية: كالادعاء بأن الاتصال يقدم عرضًا للحصول على ضمان صحي بسعر مناسب وهذا ما يدفع الضحايا للإدلاء بمعلوماتهم الكاملة دون تردد، وقد يدعي المهاجم أنه أحد المحققين ويقوم بإبلاغ الضحية بضرورة دفع مبالغ ضريبية وإلا ستكون الغرامة كبيرة قد تصل إلى السجن.

التصيد من خلال الدعم التقني: يتم استهداف الأشخاص قليلي الخبرة التقنية لخداعهم وأخذ موافقتهم على تنزيل برمجيات خبيثة على أجهزتهم اعتقدوا بأنها مفيدة، تقوم البرمجيات بتعطيل الحاسوب وإظهار رقم للدعم التقني الذي هو جزء من الخطة أيضًا، وسيقوم بإصلاح الحاسوب ببساطة مقابل أجر معين، وهذا النوع شديد الخطورة ومقنع بشكل لا يُصدق.

تصيد الحسابات المصرفية: ويتم فيه الحصول على معلومات شخصية ستقنع الضحية بأن المكالمة الواردة من المصرف الذي يتعامل معه، ويقوم المهاجم بطلب معلومات البطاقة المصرفية بداعي التحقق من معلوماتك لزيادة إجراءات الأمان لديهم.