حتى جوجل وفيسبوك لم يسلما من الهندسة الاجتماعية!

حتى جوجل وفيسبوك لم يسلما من الهندسة الاجتماعية!

فخ التصيد الاحتيالي، وكيف تتجنب الوقوع فيه؟

رسائل التصيد الاحتيالي مختلفة. فقد تُفاجأ برسالةٍ على جهازك تطلب منك تحديث أحد البرامج أو التطبيقات، أو بأخرى تزفّ لكَ خبر فوزك بجائزة قيّمة وعليك تسجيل بياناتك للحصول عليها. ولعلّك وأنت تتصفح موقعاً معيّناً، تمّت إحالتك إلى موقعٍ آخر. 

كلُّ ذلك ليس صدفةً ولن تصلك رسالة عن طريق الخطأ، بل إنها حِيَل يلجأ إليها القراصنة بهدف الإيقاع بك للوصول إلى بياناتك الشخصية والمصرفية، من خلال ما يُعرف بفخّ التصيد الاحتيالي.

التصيد الاحتيالي، وفقاً للتعريف العلمي، هو: "الممارسة الاحتيالية من خلال رسائل إلكترونية، تزعم أنها صادرة من شركات مرموقة، لحثّ الأفراد على الكشف عن معلوماتهم الشخصية، مثل: كلمات المرور، وأرقام بطاقات الائتمان". وعادة ما يستدرج القراصنة ضحاياهم إلى مواقع ويب مزيفة، ويُطلب منهم إدخال البيانات الخاصة بهم؛ لكن لم تعد هجمات التصيد الاحتيالي للبيانات تقتصر على رسائل البريد الإلكتروني فقط. 


أشكال التصيد الاحتيالي

يبلغ متوسط تكلفة الأضرار، الناتجة عن خرق البيانات، حوالي 3.92 مليون دولار. وكل 40 ثانية تقريباً يحدث هجوم إلكتروني في الولايات المتحدة.

يمكن تنفيذ هجمات التصيد بطرق مختلفة ومتعددة، تعتمد جميعها على المُهاجم وهدفه، والمعلومات التي يحاول تأمينها. وفي ما يلي نظرة شاملة على أشكال تصيّد البيانات الشائعة حالياً:

1- تزوير العناوين:

يُعد تزوير العناوين (Pharming) هجوماً إلكترونياً يعيد توجيه تدفق حركة المرور بالكامل إلى موقع ويب آخر ضار، يتمكن من خلاله القرصان من سرقة المعلومات والتلاعب بالمستخدمين للإفصاح عن بيانات الاعتماد أو تنزيل البرامج الضارة.

2- اختراق بيانات:

يحدث عندما تنكشف بيانات حساسة، شخصية أو تجارية، عن طريق الدخول غير المصرح به إلى نظام أو تطبيق. يمكن أن يؤدي ذلك إلى الكشف عن أرقام بطاقات الائتمان مثلاً، أو أرقام الضمان الاجتماعي والتوجيه المصرفي، وغيرها.

3- سرقة بيانات تسجيل الدخول:

تحدث سرقة بيانات تسجيل الدخول عندما يحصل المُقرصِن على معلومات تسجيل الدخول من الضحية، عبر هجوم تصيد احتيالي. ويتم اختراق بيانات تسجيل الدخول بسهولة، خاصةً عندما يقوم نحو 65% من الأشخاص بإعادة استخدام كلمات المرور ذاتها. وللأسف، لا يعرف بعضهم أنه تم اختراق أوراق اعتمادهم إلا بعد فوات الأوان، حين يعني ذلك أنهم سيتكبّدون أضراراً مالية أو شخصية كبيرة.

4- طريقة سمشنغ:

في الـ"سمشنغ" (Smishing)، يعتمد القراصنة على الرسائل النصية القصيرة، وينصبونها فخاً لتشجيع الضحايا في الكشف عن بياناتهم. ومن ضمن الوسائل الشائعة والخطيرة هنا إطلاق الحملات الإعلانية أو بلاغات الأخطاء عن طريق الرسائل النصية القصيرة، والتي لا تكون موجودة أصلاً.

5- التصيد بالرمح:

يستهدف "التصيد بالرمح" (Spear Phishing) مجموعة معينة من الأشخاص، مثل موظفي شركة معينة. أما الطريقة المعروفة باسم "صيد الحيتان" (Whaling) فإنها تستهدف "الأسماك الكبيرة" بشكل خاص، الأثرياء.

وكذلك يشير مصطلح "فشنغ "(Vishing) إلى أسلوب آخر للتصيد الاحتيالي من خلال تصيّد البيانات عن طريق الصوت، ولا يعني أكثر من تصيد البيانات عن طريق محاولات التلاعب والاحتيال عن طريق الاتصالات الهاتفية.

 

 

كيف تحمي نفسك وأسرتك من التصيّد الاحتيالي؟

أول ما يمكنك فعله لحماية نفسك أثناء استخدام الإنترنت هو أن تعتمد على المنطق، قبل الإفصاح عن أي معلومات حساسة. وعندما تتلقى تنبيهاً من المصرف الذي تتعامل معه، أو من أي مؤسسة كبرى أخرى، لا تنقر أبداً على الرابط الذي يظهر في البريد الإلكتروني. بل، افتح نافذة المستعرض لديك واكتب العنوان مباشرةً -في حقل عنوان الموقع- لتتأكد من أن الموقع حقيقي.

ماذا يحدث عند الضغط على رسائل التصيد الاحتيالي؟

هجوم التصيد قد يعطل الشبكة التجارية بالكامل، من خلال الاستيلاء عليها أو سرقة المعلومات. وفي حال الهجوم، قد يجبر الشركة على إغلاق خدماتها عبر الإنترنت لفترة غير محددة من الوقت؛ مما يتسبب في خسائر كبيرة في الإيرادات إلى جانب الأضرار الأخرى الناجمة عن البرامج الضارة. بالإضافة إلى ذلك، هناك غرامات تنظيمية يمكن أن تتكبدها الشركات، مما يؤثر سلباً على سمعة الشركة، في حال حدوث خرق.

1- أمثلة على أساليب هجمات الهندسة الاجتماعية:

  • نافذة تحاول حث المستخدم على تثبيت تطبيقٍ غير مرغوب فيه.
  • نافذة مخادعة للمستخدم تهدف إلى دفعه لتثبيت برامج ضارة.
  • نافذة تحاول إقناع المستخدم بضرورة تحديث المتصفّح.
  • صفحة مزيّفة لتسجيل الدخول إلى جوجل. 

2- أمثلة على الإعلانات المخادعة:

  • إعلان مخادع يدّعي أنه تحديث لمشغِّل الوسائط على الصفحة.
  • نافذة منبثقة مخادعة تدّعي أن برنامج الجهاز الخاص بالمستخدم قديم.
  • إعلان مخادع يدّعي أنه أداة تثبيت لأحد المكونات المطلوبة.
  • نافذة منبثقة مخادعة تدعي أن مصدرها مطوّر برنامج FLV.
  • إعلانات مخادعة تدعي أنها أزرار وحدة التحكم في التشغيل على صفحة المضيف.
  • إعلانات بهيئة أزرار إجراءات للصفحة.

 

 

المصدر:  موقع عربي بوست الإلكتروني

 

مواضيع مرتبطة

إيران تصدّر منتجات "النانو" إلى 48 دولة

وفقًا لآخر استطلاع إيراني، جرى تصدير منتجات النانو الإيرانية إلى 48 دولة في العالم.

كسوف كلّي سيغطي القارة الأميركيّة

من المتوقع أن يرصد سكّان القارة الأميركية كسوفًا كليّا وجزئيا في يوم 4 أبريل/نيسان القادم، وسيستمر لنحو ساعتين