رسائل التصيد الاحتيالي مختلفة. فقد تُفاجأ برسالةٍ على جهازك تطلب منك تحديث أحد البرامج أو التطبيقات، أو بأخرى تزفّ لكَ خبر فوزك بجائزة قيّمة وعليك تسجيل بياناتك للحصول عليها. ولعلّك وأنت تتصفح موقعاً معيّناً، تمّت إحالتك إلى موقعٍ آخر.
كلُّ ذلك ليس صدفةً ولن تصلك رسالة عن طريق الخطأ، بل إنها حِيَل يلجأ إليها القراصنة بهدف الإيقاع بك للوصول إلى بياناتك الشخصية والمصرفية، من خلال ما يُعرف بفخّ التصيد الاحتيالي.
منذ العام 2020، ارتفعت هجمات الهندسة الاجتماعية ارتفاعاً ملحوظاً، فقد أوجدت جائحة كورونا بيئة مثالية يسودها الخوف والمعلومات المضللة عبر الشبكات غير الآمنة؛ مما أدى إلى ارتفاع معدلات الجريمة الإلكترونية.
وبحسب التقديرات، فإن حوالي %75 من المؤسسات قد أبلغت عن تعرّضها لهجومٍ احتيالي، خلال الأعوام الثلاثة الأخيرة.
التصيد الاحتيالي، وفقاً للتعريف العلمي، هو: "الممارسة الاحتيالية من خلال رسائل إلكترونية، تزعم أنها صادرة من شركات مرموقة، لحثّ الأفراد على الكشف عن معلوماتهم الشخصية، مثل: كلمات المرور، وأرقام بطاقات الائتمان".
فهو هجوم معقد من خلال ما يُسمّى بـ"الهندسة الاجتماعية"، يهدف إلى إغراء الضحية بالكشف طواعية عن معلومات حساسة، ويعتمد على قصة أو صورة معينة لتقديم نفسه على أنه جهة شرعية.
وهو طريقة خطرة وفعالة للقرصنة التي يرتكبها مجرمو الإنترنت الهواة، وذوو الخبرة على حد سواء، وقد أصبح أكثر تعقيداً مع مرور السنين. فنحو 32% من إجمالي الانتهاكات كانت تصيداً احتيالياً، وحوالي 64% من المؤسسات أبلغت عن تعرّضها لمحاولات تصيّدٍ، مرة واحدة على الأقل في تاريخها.
وغالباً ما يتم التصيد عبر مرفقات ضارة في رسائل البريد الإلكتروني، ومتخفية في هيئة ملفات PDF أو ملفات Word.
كثيرةٌ هي الطرق التي يلجأ إليها القراصنة للحصول على بيانات المستخدم، بدءاً من الادّعاء بأنهم موظفو بنوك، وصولاً إلى الادعاء بأنهم من أفراد الأسرة أو الأصدقاء ويحتاجون إلى مساعدة عاجلة. وما الهدف من هذه المحاولات سوى سرقة الأموال من الحسابات البنكية، أو اختراق البيانات الحساسة للمستخدم.
مجلة "فينانس تست" الألمانية أوضحت أن اهتمام القراصنة والمحتالين ينصبّ حالياً على كلمات المرور الخاصة بالحسابات المصرفية عبر الإنترنت، أو خدمات الدفع الإلكتروني، بالإضافة إلى بيانات الوصول الخاصة بشبكات التواصل الاجتماعي أو الحصول على الأرقام الهاتفية.
وعادة ما يستدرج القراصنة ضحاياهم إلى مواقع ويب مزيفة، ويُطلب منهم إدخال البيانات الخاصة بهم؛ لكن لم تعد هجمات التصيد الاحتيالي للبيانات تقتصر على رسائل البريد الإلكتروني فقط.
فقد يتظاهر المحتالون على منصات التواصل الاجتماعي، أو تطبيقات الدردشة الفورية، بأنهم أحد أفراد الأسرة أو الأصدقاء، ويحتاجون إلى الدعم والمساعدة الفورية.
أشكال التصيد الاحتيالي
يبلغ متوسط تكلفة الأضرار، الناتجة عن خرق البيانات، حوالي 3.92 مليون دولار. وكل 40 ثانية تقريباً يحدث هجوم إلكتروني في الولايات المتحدة.
حتى كبرى الشركات ليست في مأمن تام من التصيد الاحتيالي؛ فقد تعرضت شركات، مثل فيسبوك وجوجل لهجمات تصيد احتيالي ضخمة؛ مما تسبب في خسائر بلغت نحو 100 مليون دولار، وفقاً لموقع CNBC الأمريكي.
يمكن تنفيذ هجمات التصيد بطرق مختلفة ومتعددة، تعتمد جميعها على المُهاجم وهدفه، والمعلومات التي يحاول تأمينها. وفي ما يلي نظرة شاملة على أشكال تصيّد البيانات الشائعة حالياً:
تزوير العناوين:
يُعد تزوير العناوين (Pharming) هجوماً إلكترونياً يعيد توجيه تدفق حركة المرور بالكامل إلى موقع ويب آخر ضار، يتمكن من خلاله القرصان من سرقة المعلومات والتلاعب بالمستخدمين للإفصاح عن بيانات الاعتماد أو تنزيل البرامج الضارة.
اختراق بيانات:
يحدث عندما تنكشف بيانات حساسة، شخصية أو تجارية، عن طريق الدخول غير المصرح به إلى نظام أو تطبيق. يمكن أن يؤدي ذلك إلى الكشف عن أرقام بطاقات الائتمان مثلاً، أو أرقام الضمان الاجتماعي والتوجيه المصرفي، وغيرها.
وقد حدثت أكبر عملية اختراق للبيانات حتى الآن عام 2020، على موقع البالغين CAM4، مما أدى إلى كشف 10 مليارات سجل.
سرقة بيانات تسجيل الدخول:
تحدث سرقة بيانات تسجيل الدخول عندما يحصل المُقرصِن على معلومات تسجيل الدخول من الضحية، عبر هجوم تصيد احتيالي.
ويتم اختراق بيانات تسجيل الدخول بسهولة، خاصةً عندما يقوم نحو 65% من الأشخاص بإعادة استخدام كلمات المرور ذاتها. وللأسف، لا يعرف بعضهم أنه تم اختراق أوراق اعتمادهم إلا بعد فوات الأوان، حين يعني ذلك أنهم سيتكبّدون أضراراً مالية أو شخصية كبيرة.
طريقة سمشنغ:
في الـ"سمشنغ" (Smishing)، يعتمد القراصنة على الرسائل النصية القصيرة، وينصبونها فخاً لتشجيع الضحايا في الكشف عن بياناتهم. ومن ضمن الوسائل الشائعة والخطيرة هنا إطلاق الحملات الإعلانية أو بلاغات الأخطاء عن طريق الرسائل النصية القصيرة، والتي لا تكون موجودة أصلاً.
التصيد بالرمح:
يستهدف "التصيد بالرمح" (Spear Phishing) مجموعة معينة من الأشخاص، مثل موظفي شركة معينة. أما الطريقة المعروفة باسم "صيد الحيتان" (Whaling) فإنها تستهدف "الأسماك الكبيرة" بشكل خاص، الأثرياء.
وكذلك يشير مصطلح "فشنغ "(Vishing) إلى أسلوب آخر للتصيد الاحتيالي من خلال تصيّد البيانات عن طريق الصوت، ولا يعني أكثر من تصيد البيانات عن طريق محاولات التلاعب والاحتيال عن طريق الاتصالات الهاتفية.
جوجل تحذر من هجمات الهندسة الاجتماعية
نشرت شركة جوجل ملفاً كبيراً حول عمليات الاحتيال والنصب الإلكتروني في إطار ما أطلقت عليه "الهندسة الاجتماعية". وقد جاء في الملف: "باستخدام الهندسة الاجتماعية يتلاعب القرصان بالضحية لحثها على اتخاذ إجراء سريع بمعلومات خادعة".
يستغل خوف الضحية من أن ترفع مصلحة الضرائب قضية ضدّها، فيرسل لها رسالة نصية مع دعوة عاجلة لاتخاذ إجراء ("تصرف الآن وإلا ستفرض مصلحة الضرائب غرامة عليك")، ومن ثم يقود الضحية إلى موقع أو رقم هاتفٍ ضار.
وتتضمن الأمثلة الأخرى الأكثر تعقيداً أشياء مثل رسالة مخادعة من زميل/مسؤول أعلى، أو رسالة تحتوي على معلومات مؤكدة عن المستلم.
وفي تعريفها، أوضحت جوجل أن الهندسة الاجتماعية هي محتوى يخدع الزائرين لحثهم على تنفيذ إجراءات خطرة، مثل الكشف عن معلومات سرية أو تنزيل البرامج.
وإذا اكتشف محرك البحث جوجل أن موقعك الإلكتروني يتضمّن محتوى هندسة اجتماعية، قد يعرض متصفّح كروم Chrome التحذير التالي "أنت بصدد الانتقال إلى موقع إلكتروني مخادع"، عندما يحاول الزائرون دخول موقعك الإلكتروني.
محاكاة الروابط
جوجل أوضحت أنه غالباً ما يتم استخدام محاكاة الروابط، جنباً إلى جنب مع الهندسة الاجتماعية. ولو أخذنا عمليات الاحتيال الخاصة بمصلحة الضرائب كمثال، وفيها يتم التلاعب بالضحية حتى يعتقد أنه مدين بأموال لمصلحة الضرائب، فينقر على الرابط المقدم والذي يبدو للوهلة الأولى شرعياً، وقد يحتوي على عنوان URL "الصحيح" لموقع ويب مصلحة الضرائب.
ومع ذلك، بمجرد النقر عليه، يتم إعادة توجيه المستخدم إلى موقع ويب وهمي حيث يتم طلب معلوماتهم. غالباً ما يقع ضحية هذه الهجمات الأشخاص ذوو المهارات التكنولوجية البسيطة.
ماذا يحدث عند الضغط على رسائل التصيد الاحتيالي؟
يعمل رابط التصيد الاحتيالي بطريقتين، فهو:
- إما يُعيد توجيه الضحية إلى موقع ويب وهمي آخر.
- أو يثبت برامج ضارة/فيروسات على الجهاز أو الشبكة.
هجوم التصيد قد يعطل الشبكة التجارية بالكامل، من خلال الاستيلاء عليها أو سرقة المعلومات. وفي حال الهجوم، قد يجبر الشركة على إغلاق خدماتها عبر الإنترنت لفترة غير محددة من الوقت؛ مما يتسبب في خسائر كبيرة في الإيرادات إلى جانب الأضرار الأخرى الناجمة عن البرامج الضارة.
بالإضافة إلى ذلك، هناك غرامات تنظيمية يمكن أن تتكبدها الشركات، مما يؤثر سلباً على سمعة الشركة، في حال حدوث خرق.
أنواع هجمات الهندسة الاجتماعية:
هناك عدة أنواع وطرق لهجمات الهندسة الاجتماعية، منها:
التصيّد الاحتيالي:
يخدع الموقع الإلكتروني المستخدمين، لحثهم على الكشف عن معلوماتهم الشخصية. في هذه الحالة، يدّعي المحتوى، من خلال التصميم والمظهر أو الوظيفة، أنه جهة موثوق بها، مثل متصفّح أو نظام تشغيل أو مصرف أو حكومة.
المحتوى المخادع:
يحاول المحتوى خداعك وجعلك تنفذ إجراءات لا تقوم بها عادةً إلا مع جهة موثوق بها، مثل مشاركة كلمة مرور أو الاتصال بفريق الدعم الفني أو تنزيل برامج. أو عن طريق إعلانٍ يدّعي كذباً أن برنامج الجهاز قديم، ويدفعك نحو تثبيت برنامجٍ غير مرغوب فيه.
خدمات خارجية غير مكتملة التصنيف:
الخدمة الخارجية هي شخص يدير موقعاً إلكترونياً أو خدمةً بالنيابة عن جهة أخرى. إذا كنت (طرفاً ثالثاً) تدير موقعاً إلكترونياً بالنيابة عن طرف آخر (أول)، من دون أن توضّح هذه العلاقة، فقد يتم الإبلاغ عن هذا السلوك باعتباره هندسة اجتماعية.
على سبيل المثال، إذا كنت (الطرف الأول) تدير موقعاً إلكترونياً خيرياً، يستخدم موقعاً إلكترونياً (الطرف الثالث) يتولّى جمع التبرعات لموقعك الإلكتروني. على موقع إدارة التبرعات أن يحدّد بوضوح أنه منصة خارجية تتصرف بالنيابة عن الموقع الإلكتروني الخيري، وإلّا يمكن اعتباره من مواقع الهندسة الاجتماعية.
وتحمي ميزة التصفّح الآمن من جوجل Google مستخدمي الويب، من خلال تحذيرهم قبل زيارة الصفحات التي تمارس باستمرار الهندسة الاجتماعية.
أمثلة على أساليب هجمات الهندسة الاجتماعية
- نافذة تحاول حث المستخدم على تثبيت تطبيقٍ غير مرغوب فيه.
- نافذة مخادعة للمستخدم تهدف إلى دفعه لتثبيت برامج ضارة.
- نافذة تحاول إقناع المستخدم بضرورة تحديث المتصفّح.
- صفحة مزيّفة لتسجيل الدخول إلى جوجل.
أمثلة على الإعلانات المخادعة
تظهر هذه الإعلانات كجزءٍ من واجهة الصفحة، وليس باعتبارها إعلانات.
- إعلان مخادع يدّعي أنه تحديث لمشغِّل الوسائط على الصفحة.
- نافذة منبثقة مخادعة تدّعي أن برنامج الجهاز الخاص بالمستخدم قديم.
- إعلان مخادع يدّعي أنه أداة تثبيت لأحد المكونات المطلوبة.
- نافذة منبثقة مخادعة تدعي أن مصدرها مطوّر برنامج FLV.
- إعلانات مخادعة تدعي أنها أزرار وحدة التحكم في التشغيل على صفحة المضيف.
- إعلانات بهيئة أزرار إجراءات للصفحة.
كيف تحمي نفسك وأسرتك من التصيّد الاحتيالي؟
أول ما يمكنك فعله لحماية نفسك أثناء استخدام الإنترنت هو أن تعتمد على المنطق، قبل الإفصاح عن أي معلومات حساسة.
وعندما تتلقى تنبيهاً من المصرف الذي تتعامل معه، أو من أي مؤسسة كبرى أخرى، لا تنقر أبداً على الرابط الذي يظهر في البريد الإلكتروني. بل، افتح نافذة المستعرض لديك واكتب العنوان مباشرةً -في حقل عنوان الموقع- لتتأكد من أن الموقع حقيقي.
هناك مؤشر مهم آخر للدلالة إلى موقع تصيّد احتيالي: ستجد أخطاء مطبعية في الرسالة، ولن يبدو الموقع محترفاً، لأن أغلبية المتطفلين يتسرّعون في إنشاء مواقع التصيد الاحتيالي.
برنامج أمن الإنترنت
من أبسط الطرق لحماية نفسك أن تلجأ إلى تثبيت برنامج أمن الإنترنت المناسب، وأن تستخدمه على جهازك. فبرنامج أمن الإنترنت ضروري لأي مستخدم، لأنه يوفر طبقات متعددة من الحماية في مجموعة واحدة تسهل إدارتها.
بالدمج بين جدار الحماية ومكافحة البريد الإلكتروني العشوائي ومكافحة البرامج الضارة في حزمة واحدة، يمكنك توفير نُسخ احتياطية إضافية تحمي النظام لديك من التعرض للخطر في حال نقرت على رابط خطير.
وإلى جانب استخدام القوائم السوداء المحددة مسبقاً، التي أنشأها باحثون في مجال الأمن، تتمتع برامج مكافحة البريد الإلكتروني العشوائي بقدرات معلوماتية تمكنها مع الوقت من تمييز العناصر الهامة من غير الهامة.
فعلى الرغم من ضرورة تيقّظك الدائم، ستشعر بالارتياح أكثر لمعرفتك أن البرنامج يعمل أيضاً على تصفية العناصر التي قد تسبّب مشاكل.
ويشمل البرنامج مكافحة البرامج الضارة، لمنع أنواع أخرى من التهديدات. وعلى غرار برامج مكافحة البريد الإلكتروني العشوائي، تتم برمجة مكافحة البرامج الضارة من قِبل الباحثين في مجال الأمن لاكتشاف البرامج الضارة حتى أكثرها تخفياً.
ومع تلقي تحديثات مستمرة من المورّدين، يستمر البرنامج في اكتساب المزيد من الذكاء والقدرة على مواجهة أحدث التهديدات. كذلك، باستخدام حزمة مجانية لمكافحة البرامج الضارة، يمكنك أن تحمي نفسك من الفيروسات المتنقلة وغيرها.
ومن ضمن الإجراءات الوقائية الجيدة ضد تصيد البيانات، عدم الوقوع ضحية فخ الإلحاح، وإعادة الاتصال بالشخص أو المؤسسة التي يدّعي القراصنة التحدث باسمها.
وإذا سقطتم في هذا الفخ، قوموا بحظر الحسابات التي يحتمل تعرضها للاختراق، وغيّروا كلمات المرور بسرعة. أما في حالة سرقة الأموال، فأبلغوا الجهات المسؤولة، وتحققوا من إجراءات التأمين ضد هجمات التصيد الاحتيالي.