التصيّد الاحتيالي (Phishing): ماهي أشكاله وكيف نتجنبه؟
التصيّد هو نوع من الهجمات السيبرانية حيث يُشكل المهاجم كياناً أو شركة مرموقة من أجل خداع الأشخاص وجمع معلوماتهم الحساسة مثل بيانات بطاقة الائتمان وأسماء المستخدمين وكلمات المرور وما إلى ذلك، ونظراً لأن التصيد يتضمن التلاعب النفسي ويعتمد على (الفشل البشري) بدلاً من الأجهزة أو البرامج فإنه يعتبر نوعاً من هجمات الهندسة الاجتماعية.
تستخدم هجمات التصيد رسائل إلكترونية مزيفة تقنع المستخدم بإدخال معلومات حساسة في موقع ويب مزيف، عادة ما تطلب هذه الرسائل من المستخدم إعادة تعيين كلمة المرور الخاصة به أو تأكيد بيانات بطاقة الائتمان ثم تأخذه إلى موقع ويب مزيف يشبه بشكل كبير الموقع الأصلي.
وتستخدم هجمات التصيد داخل نظام العملات الرقمية حيث يحاول المهاجمين سرقة البيتكوين أو عملات رقمية أخرى من المستخدمين، على سبيل المثال، قد يتم ذلك من قبل مهاجم يزيف موقع ويب حقيقي ويغير عنوان المحفظة به إلى عنوانه الخاص مما يعطي المستخدمين انطباع بأنهم يدفعون مقابل خدمة مشروعة بينما تكون أموالهم قد سرقت.
ما هي أنواع التصيّد (Phishing)؟
هناك العديد من أنواع التصيّد ويتم تصنيفها عادةً حسب المستهدف و قوة الهجوم، نذكر لكم بعض الأمثلة الشائعة:
1 – استنساخ التصيد الاحتيالي (Clone Phishing): يستخدم المهاجم بريداً إلكترونيًا تم إرساله مسبقاً و يقوم بنسخ محتواه إلى محتوى مشابه يحتوي على رابط إلى موقع إحتيالي، قد يدّعي المهاجم حينها أن هذا رابط محدث أو جديد وقد يشير إلى أن الرابط القديم قد انتهت صلاحيته.
2 – التصيد بالرمح (Spear Phishing): يستهدف هذا النوع من الهجوم شخص واحد أو مؤسسة، هذا الهجوم يعتبر أكثر تطوراً من أنواع التصيّد الأخرى لأنه يحتوي على معلومات شخصية للضحايا وهذا يعني أن المهاجم يقوم أولاً بجمع معلومات عن الضحية مثل أسماء الأصدقاء أو أفراد العائلة ثم يقوم بناء على هذه البيانات بتشكيل رسالة تتمثل مهمتها الرئيسية في إقناع الضحية بزيارة موقع ويب احتيالي أو تنزيل ملف ضار.
3- Whaling: شكل من أشكال (Spear Phishing) والذي يستهدف الأشخاص الأثرياء والمهمين مثل المديرين التنفيذيين والمسؤولين الحكوميين.
4 – تصيد البريد الالكتروني (Email Spoofing): رسائل البريد الإلكتروني الاحتيالية عادةً ما تكون عملية تزوير اتصال بين شركات أو أشخاص شرعيين، وقد تعرض رسائل التصيّد روابط إلى مواقع ضارة على ضحايا غير معروفين (عشوائيين) حيث يجمع المهاجمون بيانات اعتماد تسجيل الدخول ومعلومات تحديد الهوية الشخصية باستخدام صفحات تسجيل دخول مقنعة للغاية، قد تحتوي هذه الصفحات على Keyloggers أو Trojans أو أنواع أخرى من البرامج النصية الضارة التي تسرق المعلومات الشخصية.
5- Website Redirects: عمليات إعادة توجيه مواقع الويب ترسل المستخدمين إلى عناوين ويب مختلفة عن التي يعتزم المستخدم زيارتها(المواقع الرسمية)، يمكن أن يستغل المهاجمين عمليات إعادة التوجيه و يقوموا بتثبيت برامج ضارة على أجهزة المستخدمين.
6 – Typosquatting: يقوم بتوجيه مرور المستخدمين الى المواقع المزورة التي بها أخطاء الإملائية الشائعة أو اختلافات دقيقة في عنوان الموقع، يستخدم المهاجمون النطاقات لتقليد واجهات مواقع الويب المشروعة مع الاستفادة من المستخدمين الذين يخطئون في كتابة أو قراءة عناوين المواقع.
7 – The Watering Hole: في هذا النمط من الهجمات يقوم المهاجمين بتصنيف المستخدمين وتحديد المواقع التي يكثرون من زيارتها، ثم يقوموا بفحص هذه المواقع بحثا عن أخطاء أو نقاط ضعف بها و إذا أمكن يقوموا بإدخال نصوص برمجية ضارة مصممة لاستهداف المستخدمين في المرة القادمة التي يزورون فيها هذا الموقع.
8 – Impersonation & Giveaways: انتحال شخصية الشخصيات المؤثرة على مواقع التواصل الاجتماعي هو أسلوب آخر يستخدم في مخططات التصيّد.
قد يقوم المهاجمون بانتحال شخصية القادة الرئيسيين للشركات ومع الجمهور الذي يستلزم ذلك يقومون بالإعلان عن الهدايا أو أساليب خداع أخرى، قد يتم استهداف ضحايا هذا الخداع بشكل فردي من خلال عمليات الهندسة الاجتماعية التي تهدف إلى العثور على المستخدمين المستهترين، قد يخترق المهاجمون الحسابات الموثقة و يقوموا بتعديل أسمائها لانتحال شخصية عامة حقيقية مع الحفاظ على علامة التوثيق و من الأرجح ان يتفاعل الضحايا مع تقديم بياناتهم إلى شخصيات تبدو مؤثرة مما يخلق فرصة للمتصيدين لاستغلال معلوماتهم.
في الآونة الاخيرة يستهدف المهاجمون بشكل كبير التطبيقات مثل Telegram و Slack و Discord لنفس الأغراض وينتحلون شخصيات الأفراد ويحاكون الخدمات الشرعية في هجماتهم.
9 – الإعلانات (Advertisements): الإعلانات المدفوعة تستخدم كأسلوب أخر من أساليب التصيد وتستخدم هذه الإعلانات المواقع الزائفة التي قام المهاجمون بإنشائها لدفعها في نتائج البحث.
قد تظهر هذه المواقع أعلى نتيجة البحث في عمليات البحث عن منصات أو مقدم خدمات شرعية مثل منصة بينانس، غالباً ما يتم استخدام هذه المواقع كوسيلة للتصيد على المعلومات الحساسة والتي قد تتضمن بيانات تسجيل الدخول لحسابات التداول الخاصة بك.
10 – التطبيقات الضارة (Malicious Applications): قد يستخدم المهاجمون أيضا تطبيقات ضارة كأداة لإدخال البرامج الضارة التي تراقب سلوكك أو تسرق معلوماتك الهامة، قد تطرح التطبيقات كمتتبعات أسعار و محافظ عملات رقمية وأدوات أخرى ذات صلة بالعملات الرقمية والتي تحتوي على قاعدة من المستخدمين تهيئهم للتداول وحيازة العملات.
11 – Text and Voice Phishing: التصيد عبر الرسائل النصية القصيرة أو الصوتية وهي وسائل أخرى يحاول المهاجمون من خلالها الحصول على معلومات شخصية.
12 – Pharming: يقوم المهاجم بتزييف سجلات الـ DNS والذي من الناحية العملية سيعيد توجيه زوار الموقع الشرعي إلى موقع احتيالي قام باعداده المهاجم مسبقاً، هذا يعتبر أخطر الهجمات لأن سجلات الـ DNS لا يتحكم بها المستخدم مما يجعله عاجز عن الوقوف بوجه الهجوم.
ما هو الفرق بين (Phishing و Pharming)؟
على الرغم من أن الــ Pharming يعتبر نوع من أنواع التصيد إلا أنه يعتمد على آلية مختلفة، الفرق الرئيسي بينهم هو أن التصيد يتطلب من الضحية ارتكاب خطأ في حين ان Pharming لا يتطلب إلا أن يحاول الضحية الوصول إلى موقع ويب شرعي كان سجله DNS عرضة للخطر من قِبل المهاجم.
كيف تحمي نفسك من الهجمات الاحتيالية (التصّيد)؟
توخي الحذر الشديد
أفضل إجراء للحماية من التصيّد هو التفكير المنطقي في رسائل البريد الإلكتروني التي تتلقاها، هل كنت تتوقع استلام بريد الكتروني من شخص ما حول هذا الموضوع؟ هل تعتقد أن المعلومات التي يطلبها هذا الشخص ليست من شأنه او إختصاصه؟ إذا كان هناك أي شك فتوجه للتواصل بالمرسل من خلال وسائل مختلفة.
التحقق من المحتوى
يمكنك كتابة جزء من محتوى الرسالة أو عنوان البريد الإلكتروني للمرسل على محرك بحث للتحقق مما إذا كان هناك أي سجل لهجمات التصيد الاحتيالي التي استخدمت هذه الطريقة من قبل.
تجريب طرق مختلفة لتاكيد الحساب
إذا كنت تعتقد أنك تتلقى طلباً شرعياً لتأكيد بيانات اعتماد حسابك لنشاط تجاري مألوف لك فحاول القيام بذلك من خلال طرق مختلفة بدلاً من النقر على الرابط داخل البريد الإلكتروني.
التحقق من عنوان الموقع
قم باستعراض الرابط دون الضغط عليه للتأكد اذا كان يبدأ بـ HTTPS و ليس HTTP مع ذلك لاحظ أن هذا وحده ليس ضماناً على أن الموقع شرعي، وتحقق أيضا من عنوان الموقع عن قرب إذا كان به إي أخطاء املائية أو أحرف غير عادية و غير ذلك من المخالفات.
عدم مشاركة المفاتيح الخاصة
لا تعط المفتاح الخاص بمحفظة البيتكوين أبدا وكن متيقظاً في تحديد ما إذا كان المنتج والبائع الذي توشك على التعامل معه بالعملات الرقمية شرعي.
الفرق عند التعامل بالعملات الرقمية بدلًا من بطاقات الإئتمان هو انه لا توجد سلطة مركزية للتنازع على التهمة إذا لم تستلم السلعة أو الخدمة التي تم الاتفاق عليها لهذا السبب يجب أن تكون حذر خاصة عند القيام بمعاملات باستخدام العملات الرقمية.
يعتبر التصيّد واحد من أكثر تقنيات الهجوم الالكتروني انتشاراً، في حين أن فلاتر البريد الإلكتروني الخاصة بالخدمات السائدة تقوم بعمل جيد في تصفية الرسائل المزعجة من الرسائل الحقيقية إلا أنه يجب على المستخدم أن يكون حذراً ويحافظ على أمن معلوماته.
تجنب النقر على الروابط في رسائل البريد الإلكتروني التي تتحدث عن وسائل الأمان وانتقل إلى صفحة الويب وفقاً لشروطك الخاصة مع الحفاظ على الإنتباه الى HTTPS في بداية عنوان المواقع.
أخيراً، كن حذراً بشكل خاص عند القيام بالمعاملات الخاصة بالعملات الرقمية حيث لا توجد طريقة لعكسها في حالة ما لم يوفي التاجر بوعوده، احرص دائماً على الاحتفاظ بمفاتيحك الخاصة وكلمات المرور الخاصة بك.