أمن المعلومات.. التصيّد الإلكتروني

أمن المعلومات.. التصيّد الإلكتروني

التصيّد هو نوع من الهجمات الإلكترونية؛ حيث يُشكل المهاجم كيانًا أو شركة مرموقة من أجل خداع الأشخاص وجمع معلوماتهم الحساسة مثل بيانات بطاقة الائتمان وأسماء المستخدمين وكلمات المرور وما إلى ذلك؛ نظرًا لأن التصيد يتضمن التلاعب النفسي ويعتمد على العنصر البشري بدلًا من الأجهزة أو البرامج، فهو يعد نوعًا من هجمات الهندسة الاجتماعية. 

شهد العام الماضي واحدة من أكبر هجمات التصيد الاحتيالي والهندسة الاجتماعية عبر التاريخ، وذلك عندما تم اختراق الموقع الشهير "تويتر" باستخدام التصيد عبر الهاتف؛ حيث تم خداع بعض الموظفين ومن ثم سرقة بيانات اعتمادهم، والتي استخدمت لاحقًا في الوصول إلى أنظمة الإدارة الداخلية.

ثم استخدم ممثلو التهديد الحسابات لعمل تغريدات خداعية والحصول على البيتكوين التي أكسبتهم أكثر من 100,000 دولار. ويستمر هذا النوع من الهجمات في الفترة الأخيرة بصورة مكثفة على الشركات والبنوك والحكومات كما هو موضح بأخبار هذا الشهر.

 

هناك العديد من أنواع التصيّد، ويتم تصنيفها عادةً حسب المستهدف وقوة الهجوم، فيما يلي بعض الأمثلة الشائعة:

1- Clone Phishing

يستخدم المهاجم بريدًا إلكترونيًا تم إرساله مسبقًا ويقوم بنسخ محتواه إلى محتوى مشابه يحتوي على رابط إلى موقع ضار. قد يدّعي المهاجم حينئذٍ أن هذا رابط محدث أو جديد، وقد يشير إلى أن الرابط القديم قد انتهت صلاحيته.

2- Spear Phishing

يستهدف هذا النوع من الهجوم شخصًا واحدًا أو مؤسسة. ويعد هجوم Spear أكثر تطورًا من أنواع التصيّد الأخرى؛ لأنه يحتوي على معلومات شخصية للضحايا وهذا يعني أن المهاجم يقوم أولًا بجمع معلومات عن الضحية مثل أسماء الأصدقاء أو أفراد العائلة ثم يقوم بناء على هذه البيانات ببناء رسالة تتمثل مهمتها الرئيسة في إقناع الضحية بزيارة موقع ويب ضار أو تنزيل ملف ضار.

3- Whaling

شكل من أشكال Spear Phishing والذي يستهدف الأشخاص الأثرياء والمهمين مثل المديرين التنفيذيين والمسؤولين الحكوميين.

4- Pharming

يقوم المهاجم بتزييف سجلات الـ DNS، والذي من الناحية العملية سيعيد توجيه زوار الموقع الشرعي إلى موقع احتيالي قام به المهاجم مسبقًا. وهذة تعد أخطر الهجمات لأن سجلات الـ DNS لا يتحكم بها المستخدم مما يجعله عاجزًا عن الدفاع ضده.

5- Vishing 

يحدث التصيد الصوتي عندما يتصل مجرم إلكتروني برقم هاتف ويخلق إحساسًا متزايدًا بالإلحاح الذي يجعل الشخص يتخذ إجراءً ضد مصالحه الخاصة. وتحدث هذه المكالمات عادة في الأوقات العصيبة. على سبيل المثال، يتلقى العديد من الأشخاص مكالمات هاتفية مزيفة من أشخاص يزعمون أنهم من دائرة حكومية أو من مصلحة الضرائب، مما يشير إلى أنهم يريدون إجراء تدقيق ويحتاجون إلى رقم ضمان اجتماعي؛ لأن المكالمة تخلق شعورًا بالذعر والإلحاح، ومن هنا يمكن خداع الضحية لإعطاء معلومات شخصية.

6- Smishing

غالبًا ما يقوم المهاجمون بتطبيق هذا الخداع على عدد من تطبيقات المحادثات المختلفة، وذلك عن طريق إرسال نصوص تطلب من الشخص اتخاذ إجراء معين. في كثير من الأحيان، سيتضمن النص رابطًا، عند النقر عليه، يقوم بتثبيت برامج ضارة على جهاز المستخدم.

7- Angler phishing

أصبحت وسائل التواصل الاجتماعي موقعًا شائعًا آخر لهذا النوع من الهجمات، فيحدث هذا الهجوم عندما يستخدم مجرم الإنترنت الإخطارات أو ميزات المراسلة المباشرة في أحد تطبيقات الوسائط الاجتماعية لإغراء شخص ما لاتخاذ إجراءات معينة تستخدم فيما بعدد للهجوم.

8- Evil twin

يستخدم هذا النوع من التصيد نقطة اتصال WiFi مزيفة، مما يجعلها تبدو شرعية في كثير من الأحيان، والتي قد تعترض البيانات أثناء النقل. فإذا استخدم شخص ما نقطة الاتصال الوهمية، فيمكن للمهاجمين الضارين الانخراط في هجمات "Man in the Middle '' أو هجمات التنصت، ويتيح لهم ذلك جمع بيانات مثل بيانات اعتماد تسجيل الدخول أو المعلومات الحساسة المنقولة عبر الاتصال.

9- Email phishing

 يُعرف أيضًا باسم "التصيد الاحتيالي للخداع"، وهو أحد أكثر أنواع الهجمات شهرة. ترسل الجهات الخبيثة رسائل بريد إلكتروني إلى المستخدمين الذين ينتحلون صفة علامة تجارية معروفة، والاستفادة من أساليب الهندسة الاجتماعية لخلق إحساس متزايد بالفورية ثم توجيه الأشخاص للنقر على رابط أو تنزيل ملف. وتنتقل الروابط تقليديًا إلى مواقع الويب الضارة التي إما أن تقوم بسرقة بيانات الاعتماد أو تثبِّت رموزًا ضارة، تُعرف بالبرامج الضارة، على جهاز المستخدم، والتنزيلات عادة ما يكون بها محتوى ضار مخزّن فيها يقوم بتثبيت البرامج الضارة بمجرد أن يفتح المستخدم المستند. 

10- Website Redirects

عمليات إعادة توجيه مواقع الويب ترسل المستخدمين إلى عناوين ويب مختلفة عن التي يعتزم المستخدم زيارتها. ويمكن أن يستغل المهاجمون عمليات إعادة التوجيه ويقومون بتثبيت برامج ضارة على أجهزة المستخدمين.

11- The Watering Hole

في تلك الهجمات يقوم المهاجمون بتصنيف المستخدمين وتحديد المواقع التي يكثرون من زيارتها، ثم يقومون بفحص هذه المواقع؛ بحثًا عن أخطاء أو نقاط ضعف بها وإذا أمكن يقومون بإدخال نصوص برمجية ضارة مصممة لاستهداف المستخدمين في المرة القادمة التي يزورون فيها هذا الموقع.

12- Impersonation & Giveaways

انتحال شخصية من الشخصيات المؤثرة على مواقع التواصل الاجتماعي، وهو أسلوب آخر يستخدم في مخططات التصيّد. قد يقوم المهاجمون بانتحال شخصية القادة الرئيسين للشركات ومع الجمهور الذي يستلزم ذلك يقومون بالإعلان عن الهدايا أو أساليب خداع أخرى. وقد يتم استهداف ضحايا هذا الخداع بشكل فردي من خلال عمليات الهندسة الاجتماعية التي تهدف إلى العثور على المستخدمين السذج. وقد يخترق المهاجمون الحسابات الموثقة ويقومون بتعديل أسمائها لانتحال شخصية عامة حقيقية مع الحفاظ على علامة التوثيق (✓) ومن الأرجح أن يتفاعل الضحايا مع تقديم بياناتهم إلى شخصيات تبدو مؤثرة مما يخلق فرصة للمتصيدين لاستغلال معلوماتهم.


كيفية الحماية؟

مما سبق يتبين لنا أن التصيّد الإلكتروني والهندسة الاجتماعية هما محاولتان لخداع الأشخاص أو الجهات عن طريق انتحال شخصية أو جهة موثوقة بغرض حثهم على الإفصاح عن معلوماتهم الحساسة، مثل كلمة المرور، ورقم الهوية، ورقم البطاقة المصرفية، وغيرها؛ لاستخدامها بطرق غير قانونية قد تضرهم.

  • لا تقدم أبدًا معلومات شخصية بناءً على طلب بريد إلكتروني أو مكالمة هاتفية حول تحديث معلومات حساباتك الشخصية.
  • تحقق من صحة المعلومات المرسلة من صاحب الرسالة أو جهتها.
  • لا تثق بالروابط أو المرفقات في رسائل البريد الإلكتروني، ومرر مؤشر الماوس فوقها للتحقق من الوجهة الفعلية للرابط، حتى إذا كان الرابط من مصدر موثوق به وكذا أيضًا أرقام الهواتف المذكورة فيها.
  • اكتب عناوين مواقع الويب، بدلًا من استخدام الروابط من رسائل البريد الإلكتروني غير المرغوب فيها، واتصل بأرقام الهواتف المدرجة بها.
  • افحص الملفات قبل الضغط عليها ببرنامج مضاد الفيروسات.
  • اقرأ محتوى الرسالة بشكل جيد، واحذر الرسائل التي تحتوي على أخطاء إملائية أو نحوية أو معلوماتية.

 


المصدر: مدونة "المُـــراقب" الإلكترونية