ستساعدك المقالة التالية: ما هو التصيد؟
لنبدأ بسؤال مختلف… ما هو الأمن السيبراني؟ إنه أمر تحتاج الكثير من الشركات الصغيرة إلى طرحه اليوم. ويجب أن تتضمن الإجابات معلومات حول التصيد الاحتيالي. ما هو وماذا تفعل حيال ذلك وكيف يمكن أن يؤثر على مؤسستك إذا لم تفعل أي شيء.
ما هو التصيد؟ تم تصميم هجمات التصيد الاحتيالي لخداعك للتخلي عن معلومات حساسة. يستخدم مجرمو الإنترنت رسائل البريد الإلكتروني التصيدية للتظاهر بأنهم مؤسسات ذات مصداقية.
إنهم يريدون الحصول على تفاصيل شخصية وسرقة معلومات بطاقة الائتمان، أو تثبيت برامج ضارة على جهاز كمبيوتر. يمكن أن يتضمن الهجوم المستهدف روابط ويب ضارة لمواقع ويب مزيفة.
يعد هجوم التصيد الاحتيالي أحد مصطلحات الأمن السيبراني التي يجب أن تعرفها.
ما هو هجوم التصيد؟
التصيد الاحتيالي هو أسلوب احتيال عبر الإنترنت يستخدمه مجرمو الإنترنت لخداع الأشخاص ودفعهم إلى الكشف عن معلوماتهم الخاصة، مثل كلمات المرور أو أرقام بطاقات الائتمان. تخدع طريقة الهجوم الإلكتروني هذه مستخدمي الإنترنت من خلال التظاهر بأنك شخص يثقون به.
إحدى الطرق الشائعة للقيام بذلك هي من خلال رسائل البريد الإلكتروني الخادعة التي تبدو شرعية للوهلة الأولى. تحتوي رسائل البريد الإلكتروني هذه غالبًا على روابط أو مرفقات يمكنها، عند النقر عليها، تثبيت برامج ضارة على جهاز الكمبيوتر الخاص بالمستخدم.
يمكن لهذا البرنامج بعد ذلك سرقة المعلومات أو حتى السيطرة على الكمبيوتر. عندما يتم خداع شخص ما بهذه الطريقة، فقد وقع في فخ عملية التصيد الاحتيالي.
تاريخ موجز لهجمات التصيد
لكي نفهم التصيد الاحتيالي بشكل حقيقي، علينا أن ننظر إلى أصوله. بدأ هذا التكتيك الخبيث في التبلور في منتصف التسعينيات عندما استخدم المحتالون عبر الإنترنت هويات مزيفة لخداع الناس.
أحد الأحداث البارزة في تاريخ التصيد الاحتيالي كان عملية احتيال البريد الإلكتروني “أنا أحبك” في عام 2000. بدت هذه الرسالة الإلكترونية بريئة ولكنها تحتوي على رابط ضار تسبب في فوضى كبيرة عبر الإنترنت.
في الوقت الحاضر، زاد التهديد من التصيد الاحتيالي بشكل كبير. تشير التوقعات إلى احتمال حدوث ما يصل إلى 6 مليارات محاولة تصيد هذا العام. مع مثل هذه الأرقام، من الضروري توخي الحذر دائمًا عند تلقي رسائل بريد إلكتروني أو رسائل غير متوقعة.
أنواع التصيد الاحتيالي
على الرغم من أن رسائل البريد الإلكتروني الخادعة هي النوع الأكثر شيوعًا من هجمات التصيد الاحتيالي، خاصة بالنسبة للشركات، إلا أن هناك طرقًا أخرى يستخدمها المحتالون لمحاولة سرقة المعلومات. على سبيل المثال، قد يقومون بإنشاء مواقع ويب مزيفة تبدو وكأنها مواقع تثق بها، على أمل أن تقوم بإدخال تفاصيل تسجيل الدخول الخاصة بك.
دعونا نلقي نظرة على الأنواع المختلفة من هجمات التصيد التي يجب على الأشخاص والشركات الحذر منها:
1. التصيد الاحتيالي
التصيد بالحربة هو شكل مستهدف من أشكال الهجوم. بدلاً من إرسال الآلاف من رسائل البريد الإلكتروني الاحتيالية العامة على أمل أن يعض شخص ما، يستغرق المتصيدون وقتًا طويلاً للبحث عن ضحاياهم.
يقومون بجمع بيانات حول شخص أو مؤسسة أو شركة معينة، ثم يقومون بصياغة بريد إلكتروني مخصص يبدو أنه قادم من مصدر موثوق به. على سبيل المثال، قد ينتحلوا شخصية زميل في العمل أو شريك تجاري معروف.
الهدف هو جعل الهدف يثق في البريد الإلكتروني بما يكفي للنقر على رابط أو مشاركة معلومات حساسة. يجب على الجميع، وخاصة أولئك الذين يشغلون أدوارًا بارزة في المنظمة، أن يكونوا يقظين ضد هذه التهديدات المصممة جيدًا.
2. التصيد عبر البريد الإلكتروني
الشكل الأكثر انتشارًا للتصيد الاحتيالي هو عبر رسائل البريد الإلكتروني. يرسل المحتالون كميات كبيرة من رسائل البريد الإلكتروني إلى الضحايا المحتملين، على أمل أن تقع نسبة صغيرة منهم ضحية عملية الاحتيال.
غالبًا ما تستخدم رسائل البريد الإلكتروني هذه لغة عاجلة، مثل التحذير بشأن حدوث خرق أمني، لجعل المستلم يتصرف بسرعة دون تفكير. وقد يطلبون معلومات شخصية مباشرة أو يقومون بتضمين رابط لموقع ويب مزيف يبدو وكأنه خدمة مشروعة تستخدمها.
للحماية من التصيد الاحتيالي عبر البريد الإلكتروني، تحقق دائمًا من عنوان المرسل بعناية، وكن متشككًا في رسائل البريد الإلكتروني غير المتوقعة التي تحتوي على طلبات عاجلة، ولا تنقر أبدًا على الروابط المشبوهة.
رسائل البريد الإلكتروني التصيدية المحاكاة هي تلك التي يرسلها المجرمون لاختبار جهودهم. تتحدث وثيقة Microsoft Office هذه عن عن ماذا تبحث. وهنا بعض معلومات جيدة على مرشحات البريد العشوائي أيضًا.
3. التصيد الاحتيالي
ليست كل هجمات التصيد الاحتيالي رقمية بالمعنى التقليدي. يتضمن التصيد الاحتيالي أو التصيد الصوتي المحتالين الذين يحاولون خداع الأشخاص عبر الهاتف. قد يتظاهرون بأنهم من البنك الذي تتعامل معه، أو مصلحة الضرائب الأمريكية، أو أي منظمة أخرى تبدو رسمية.
غالبًا ما يقومون بإنشاء أزمة زائفة، مثل الادعاء بوجود مشكلة في حسابك، لحملك على مشاركة معلوماتك الشخصية أو المالية عبر الهاتف.
من الجيد دائمًا، إذا تلقيت مثل هذه المكالمة، أن تقوم بإنهاء المكالمة ثم الاتصال بالمؤسسة مباشرةً باستخدام رقم هاتف تعرف أنه شرعي. بهذه الطريقة، يمكنك التأكد مما إذا كانت المكالمة حقيقية أم أنها محاولة للتصيد الاحتيالي.
ال لجنة التجارة الفيدرالية يريد منك الإبلاغ عن التصيد لهم.
4. صيد الحيتان
صيد الحيتان هو شكل متخصص من أشكال التصيد الاحتيالي. وبدلاً من ملاحقة أي شخص فقط، يستهدف هؤلاء المهاجمون “السمكة الكبيرة” في المؤسسة، مثل الرؤساء التنفيذيين والمديرين الماليين وغيرهم من كبار المسؤولين التنفيذيين.
عادةً ما يقضي المهاجمون الكثير من الوقت في صياغة رسالة قابلة للتصديق، وربما انتحال شخصية شريك تجاري موثوق به أو زميل تنفيذي. وقد يطلبون من المدير التنفيذي السماح بإجراء معاملة مالية أو الكشف عن بيانات الشركة الحساسة.
نظرًا للأهداف عالية المستوى والآثار الهائلة المحتملة لعمليات الاحتيال هذه، فمن الضروري أن يتم تدريب قيادة الشركة وتوخي الحذر بشأن الاتصالات غير المرغوب فيها وغير المتوقعة.
5. التصيد بالصياد
إن العالم الرقمي واسع النطاق، وقد وجد المحتالون طرقًا لاستغلال كل ركن منه تقريبًا. يركز التصيد الاحتيالي على منصات التواصل الاجتماعي. وهنا، يقوم المهاجمون بإنشاء حسابات خدمة عملاء مزيفة لعلامات تجارية معروفة.
عندما يشتكي مستخدم أو يطرح سؤالاً على الصفحة الرسمية للعلامة التجارية، يستجيب الحساب المزيف بطلب للحصول على تفاصيل شخصية أو تفاصيل تسجيل الدخول.
لتجنب هذا الفخ، تحقق دائمًا من صحة الحسابات قبل مشاركة المعلومات، خاصة إذا اتصلوا بك أولاً.
6. التصيد الاحتيالي عبر الرسائل النصية القصيرة
مع امتلاك الجميع تقريبًا لهاتف محمول، أصبحت الرسائل النصية وسيلة أخرى للتصيد الاحتيالي. يتضمن التصيد الاحتيالي عبر الرسائل النصية القصيرة أو الرسائل النصية القصيرة تلقي رسالة نصية تبدو وكأنها من مؤسسة موثوقة، مثل البنك الذي تتعامل معه.
قد تحذرك الرسالة بشأن مشكلة محتملة في حسابك وتطلب منك النقر فوق رابط أو الاتصال برقم. كن حذرًا دائمًا من الرسائل النصية غير المرغوب فيها، خاصة إذا كانت تطلب معلومات شخصية أو تتطلب اتخاذ إجراء فوري.
7. استنساخ التصيد
في التصيد الاحتيالي المستنسخ، يأخذ المهاجمون رسالة بريد إلكتروني شرعية تلقيتها، ويكررونها، ثم يغيرونها قليلاً لتحقيق نوايا خبيثة. وقد يغيرون رابطًا أو مرفقًا في رسالة البريد الإلكتروني، مما يجعله ضارًا.
بعد ذلك، سيقومون بإعادة إرسال هذا البريد الإلكتروني “المستنسخ”، مما يجعله يبدو كما لو أنه قادم من المرسل الأصلي. وللحماية من ذلك، من المفيد الانتباه إلى التفاصيل الصغيرة في رسائل البريد الإلكتروني والتحقق دائمًا من المرسل إذا كان هناك شيء غير مريح.
8. التصيد الاحتيالي عبر ثقب الماء
هذه الإستراتيجية غير مباشرة إلى حد ما. يحدد المهاجمون مواقع الويب التي يزورها موظفو مؤسسة معينة بشكل متكرر. ثم يحاولون اختراق تلك المواقع. عندما يقوم أحد الموظفين بزيارة “مكان الري”، فقد يقوم بتنزيل برامج ضارة دون قصد.
إنه مثل الحيوانات المفترسة التي تنتظر فرائسها عند حفرة الري. وللدفاع ضد مثل هذه التهديدات، يجب على الشركات التأكد من تثقيف الموظفين حول ممارسات التصفح الآمن والحفاظ على دفاعات قوية للأمن السيبراني.
مقارنة تكتيكات التصيد
للمساعدة في التمييز بين الأنواع المختلفة لهجمات التصيد والتعرف عليها بسرعة، راجع الجدول أدناه:
| التصيد بالرمح | تستهدف أفرادًا/مجموعات محددة؛ من مصدر موثوق | رسائل البريد الإلكتروني |
| التصيد عبر البريد الإلكتروني | رسائل عامة وعناوين بريد إلكتروني غير رسمية | رسائل البريد الإلكتروني |
| التصيد الاحتيالي | الخداع الصوتي، عادةً ما يتعلق بمشاكل الحساب | اتصالات هاتفية |
| صيد الحيتان | يستهدف كبار المسؤولين، وينطوي على معاملات مالية | رسائل البريد الإلكتروني |
| التصيد الصياد | التركيز على وسائل التواصل الاجتماعي، واستخدام المنشورات والتغريدات المزيفة | منصات التواصل الاجتماعي |
| التصيد الاحتيالي عبر الهاتف | مستندة إلى نص، وقد تحتوي على رموز منطقة غير عادية | الرسائل القصيرة / الرسائل النصية |
| استنساخ التصيد | يبدو أنه من الخدمة العامة، ويطلب معلومات معروفة | رسائل البريد الإلكتروني |
| التصيد حفرة المياه | المواقع المستهدفة التي يزورها الموظفون بشكل متكرر | مواقع الويب المخترقة أو عناوين الويب المزيفة |
كيفية التعرف على عمليات التصيد الاحتيالي
يحدث هجوم التصيد الاحتيالي الناجح عندما لا تعرف ما الذي تبحث عنه. فيما يلي بعض الطرق التي يمكنك من خلالها اكتشاف التصيد الاحتيالي.
- قواعد نحوية وإملائية سيئة – لا تكون حملات التصيد الاحتيالي فعالة عند اكتشاف هذه الأخطاء. قد تكون التهجئة السيئة أمرًا مشروعًا، أو يمكن أن تكون وسيلة للالتفاف على عوامل التصفية التي تمنع هجمات التصيد الاحتيالي. تتصدر الأخطاء النحوية قائمة العلامات الحمراء في رسائل البريد الإلكتروني ومواقع التصيد الاحتيالي.
- تحية عامة – لا تقدم أرقام الحسابات عبر الإنترنت. خاصة عندما لا يعرف البنك الذي تتعامل معه اسمك. التحيات العامة من المنظمات التي تعمل معها يجب أن تنبهك. قد تكون رسالة البريد الإلكتروني “سيدي العزيز” بمثابة محاولة لتثبيت برامج ضارة.
- مجالات البريد الإلكتروني غير المتطابقة – تستخدم الشركات ذات السمعة الطيبة مجالات البريد الإلكتروني الخاصة بها. تحتوي رسائل البريد الإلكتروني التصيدية على أخطاء صغيرة، مثل microsOft أو يتم إرسالها من نطاق عام مثل Gmail. تعد نطاقات التصيد الاحتيالي طريقة شائعة تستخدمها لحملك على تنزيل البرامج الضارة.
بشكل عام، يمكنك البحث عن عناوين URL الضارة التي تحتوي على أخطاء إملائية في البريد الإلكتروني أو اسم المجال.
ما هي أمثلة التصيد؟
فيما يلي بعض الأمثلة على هذا النوع من البرامج الضارة التي يمكن أن تؤدي إلى سرقة الأموال وحتى سرقة الهوية. هناك أمثلة تصيد أخرى أيضًا.
- معالجة الروابط – يحتوي هذا النوع على روابط تصيد تؤدي إلى مواقع ويب ضارة. تطلب صفحات الويب المزيفة بيانات اعتماد الحساب.
- التوأم الشرير واي فاي – الحصول على انتحال نقاط الوصول. يحصل الأشخاص على إمكانية الوصول إلى الإنترنت إلى نقطة الاتصال الخاطئة. احترس من نقاط الوصول في مراكز التسوق والمقاهي وغيرها.
- الإعلانات الضارة – الإعلانات والنوافذ المنبثقة التي تحتوي على روابط تقوم بتثبيت تعليمات برمجية ضارة. الروابط الضارة شائعة وكذلك المرفقات الضارة.
كيف تعمل عملية التصيد الاحتيالي؟
يستخدم التصيد البريد الإلكتروني وأشكال الاتصال الأخرى. عادةً ما يتظاهر المجرم بأنه شركة مشروعة مثل البنك أو المورد. يحاول المرسل الوصول إلى معلومات حساسة مثل أرقام الحسابات المصرفية أو كلمات مرور المسؤول.
يمكن خداع الضحايا للنقر على رابط إلى موقع ويب للتصيد الاحتيالي، نظرًا لاختلاف عمليات الاحتيال. يستخدم بعض المتسللين ملفات تعريف زائفة على وسائل التواصل الاجتماعي.
تحاول الهجمات الأساسية خداع الأشخاص لإدخال معلومات سرية أو تفاصيل شخصية. تعد الجوائز التي يتم الفوز بها في مسابقات زائفة والقسائم الفائزة من الأساليب الشائعة.
وأخيرًا، إليك قائمة بأفضل التدريبات على التصيد الاحتيالي خيارات لك ولموظفيك.
