ما هو التصيد الإحتيالى
هل سبق لك أن تلقيت بريداً إلكترونياً أو نصاً أو أي شكل آخر من أشكال الإتصال الإلكتروني الذي يبدو أنه قادم من أحد البنوك أو من خدمات أخرى شائعة عبر الإنترنت، طلب منك تأكيد "بيانات إعتماد حسابك أو رقم بطاقة إئتمانك أو معلومات حساسة أخرى؟ إذا كان الأمر كذلك، فإنك تعرف بالفعل ما يبدو عليه هجوم التصيد المشترك و تستخدم هذه التقنية للحصول على بيانات المستخدم القيمة التي يمكن بيعها أو إساءة استخدامها, أو إستخدامها للإبتزاز.
أصل المصطلح
قد وصف هذا المفهوم لأول مرة في مؤتمر عام ١٩٨٧ من قبل جيري فيليكس و كريس هوك بإسم “ أمن النظام: منظور الهاكر” (١٩٨٧ Interex Proceedings ١:٦). و ناقشت تقنية مهاجماً متنكراً بخدمة ذات سمعة طيبة. و كانت الكلمة نفسها homophone of “fishing” for targets – كما أنها تستخدم “bait-catch” logic. “ph-” في البداية هو إشارة إلى “phreaks”, مجموعة من المتسللين الذين جربوا، و استكشفوا بشكل غير قانوني حدود، نظم الإتصالات في ١٩٩٠.
كيف يعمل التصيد الإحتيالى؟
ظهر التصيد الإحتيالى منذ سنوات، و منذ ذلك الوقت، طور المهاجمون مجموعة واسعة من الطرق لإستهداف الضحايا.
إن أسلوب التصيد الأكثر شيوعا هو انتحال شخصية مصرف أو مؤسسة مالية عبر البريد الإلكتروني , لإغراء الضحية إما لإكمال نموذج مزيف - أو المرفقة بها - أو زيارة صفحة ويب تطلب إدخال تفاصيل الحساب أو بيانات إعتماد تسجيل الدخول.
في الماضي، غالباً ما تستخدم أسماء النطاقات التي بها أخطاء إملائية أو مضللة لهذا الغرض. اليوم، المهاجمين يدمجون أساليب أكثر تطوراً، مما يجعل الروابط و الصفحات الوهمية تشبه إلى حد بعيد نظرائها المشروعة.
قراءة هذا المزيد
و عادة ما يساء إستخدام المعلومات المسروقة من الضحايا لتفريغ حساباتهم المصرفية أو لبيعها على الإنترنت.
و يمكن أيضاً القيام بهجمات مماثلة عن طريق المكالمات الهاتفية (التصيد) و كذلك الرسائل النصية.
Spearphishing
هناك طريقة تصيد أكثر تقدماً حيث أن رسائل التصيد تبدو عادية في صناديق الوارد تأتى من منظمات أو شركات أو حتى أفراد و يقوم مؤلفوا رسائل التصيد بإجراء بحث مفصل عن أهدافهم مسبقاً، مما يجعل من الصعب تحديد المحتوى على أنه إحتيالي.
أما الهجمات التي تركز على أفراد معينين، معظمهم من كبار المسؤولين، مثل كبار المديرين أو المالكين، فتسمى "صيد الحيتان"، و ذلك بسبب حجم الدفع المحتمل (الأشرار يذهبون وراء"الأسماك الكبيرة").
كيفية التعرف على التصيد الإحتيالي
يمكن أن تحتوي رسالة إلكترونية على شعارات رسمية أو علامات أخرى لمنظمة ذات سمعة جيدة و لا تزال تأتي من المخترقين، في ما يلي بعض التلميحات التي يمكن أن تساعدك في إكتشاف رسالة تصيد إحتيالي.
قراءة المزيد
- تحية عامة أو غير رسمية – إذا كانت الرسالة تفتقر إلى التخصيص (على سبيل المثال "عزيزي العميل") فعلى الارجح هناك شئ خطأ. و ينطبق الشيء نفسه على التخصيص الزائف بإستخدام أرقام مرجعية عشوائية وهمية;
- لطلب الحصول على معلومات شخصية – كثيراً ما تستخدم من قبل المخترقون، و عادة ما تتجنبها البنوك و المؤسسات المالية و معظم الخدمات عبر الإنترنت
- ضعف قواعد اللغة – الأخطاء الإملائية, الأخطاء المطبعية و صياغة غير صحيحة وغالباً ما تكون وهمية (و لكن غياب أي من هذه ليست دليلاً على الشرعية)
- مراسلات غير متوقعة – الإتصال من البنك أو مزود الخدمة عبر الإنترنت فهو غير عادي و بالتالي تكون مشبوهة
- الشعور بالإلحاح – غالباً ما تحاول رسائل التصيد الإحتيالي تحفيز العمل السريع و عدم التدقيق
- عرضاً لا يمكن أن يرفض؟ – إذا كانت الرسالة تبدو جيدة جداً ليكون حقيقية، فمن المؤكد تقريبا
- أنها مشبوهة–هل سيرسل بنك أمريكي أو ألماني بريداً إلكترونياً من نطاق صيني؟
كيفية حماية نفسك من التصيد الإحتيالي
لتجنب التصيد الإحتيالي، كن على بينة من المؤشرات المذكورة أعلاه التي من خلالها ستعرف رسائل التصيد الإحتيالي.
إتبع هذه الخطوات البسيطة
- كٌن على بينة بتقنيات التصيد الإحتيالي الجديدة: تابع وسائل الإعلام لتقارير الهجمات التصيد، حيث يتم تحديث الهجمات بإستمرار لجذب المستخدمين إلى الفخ
- لا تعطى تفاصيلك الشخصية: كُن دائماً في حالة تأهب إذا تلقيت رسالة إلكترونية من كيان جدير بالثقة يطلب بيانات الاعتماد الخاصة بك أو غيرها من التفاصيل الحساسة. إذا لزم الأمر، تحقق من محتويات الرسالة من المرسل أو المنظمة (بإستخدام تفاصيل الإتصال الرسمية بدلاً من التفاصيل المقدمة في الرسالة)
- فكر كثيراً قبل النقر: أى رسالة مشكوك فيها، لا تنقر أو تحملها. فقد يؤدي ذلك إلى توجيهك إلى موقع ويب ضار أو إصابة جهازك ببرامج ضارة
- تحقق من حساباتك على الإنترنت بإنتظام: حتى إذا كنت لا تشك في أن شخصاً ما يحاول سرقة بيانات الإعتماد الخاصة بك، تحقق من الحسابات المصرفية وغيرها من الحسابات عبر الإنترنت عن أى نشاط مشبوه.…
- إستخدم حل موثوق به لمكافحة التصيد الاحتيالي. طبق هذه التقنيات و استمتع بتكنولوجيا أكثر أماناً'
أمثلة بارزة
بدأ التصيد المنتظم في شبكة أمريكا أون لاين فى ١٩٩٥. لسرقة أوراق إعتماد الحسابات المشروعة، إتصل المهاجمين بالضحايا عبر AOL (AIM), وغالباً ما يتظاهرون بأنهم موظفين AOL للتحقق من كلمات المرور للمستخدم. و ظهر مصطلح "التصيد الاحتيالي" على مجموعة أخبار أوسينيت التي ركزت على أداة تسمى AOHell تشغل تلقائياً هذه الطريقة. بعد أن أدخلت أول تدابير مضادة في عام ١٩٩٧, أدرك المهاجمون أنهم يمكنهم إستخدام نفس التقنية في أجزاء أخرى من عالم الانترنت و انتقلت نحو انتحال المؤسسات المالية.
قراءة المزيد
و كانت أولى المحاولات الكبيرة، و إن فشلت، في عام ٢٠٠١، مستفيدة من فوضى هجمات ١١ أيلول / سبتمبر الإرهابية. بعث متصيد رسائل البريد الإلكتروني يسأل بعض الضحايا لفحص هويتهم، في محاولة لسوء إستخدام البيانات التي تم الحصول عليها لسرقة التفاصيل المالية من لخدمة العملة الرقمية.
إستغرق الأمر ثلاث سنوات فقط لمحترفى التصيد للحصول على موطئ قدم قوي في عالم الإنترنت و كلف الأمر المستخدمين فى الولايات المتحدة الأمريكية أكثر من ٩٠٠ مليون دولار.
وفقاً لتقرير APWG التصيد العالمي, أكثر من ٢٥٠٫٠٠٠ هجوم تصيد فريد، قد لوحظ فى عام ٢٠١٦, و ذلك بإستخدام رقم قياسي من أسماء النطاقات المسجلة بشكل ضار - متجاوزاً ٩٥٫٠٠٠. فى السنوات الأخيرة, يميل اتجاه المهاجمون إلى التركيز على الخدمات المصرفية و المالية و النقدية، و التجارة الإلكترونية و الشبكات الإجتماعية و بطاقات إعتماد البريد الإلكتروني.