ما المقصود بالتصيد الاحتيالي؟ 7 نصائح لحماية حاسوبك في 2019

ما المقصود بالتصيد الاحتيالي؟ 7 نصائح لحماية حاسوبك في 2019
ايفان بورتر
بواسطة: ايفان بورتر
تاريخ النشر: 13 سبتمبر، 2019

يستخدم بعض المخترقين أساليب خفية – كإصابة الكمبيوتر بالبرمجيات الخبيثة – لسرقة معلوماتك القيّمة، ولكن هناك مخترقين آخرين يطلبون المعلومات مباشرة ببساطة، معتمدين بذلك على قلة خبرة المستخدم. وتسمى هذه الحالة بالتصيد الاحتيالي (الخداع الإلكتروني)، وهي إحدى أكثر الطرق فعالية لخداع الأشخاص الذين لا يولون الكثير من الانتباه.

التصيّد الاحتيالي هو نوع من الجرائم الإلكترونية التي تتمثل بقيام المخترقين بانتحال شخصية أو جهة رسمية أو خدمة عملاء لشركة ما أو جهات موثوقة أخرى، من أجل سرقة معلومات المستخدم الشخصية المهمة.

عادة ما تتم هجمات التصيد الاحتيالي عبر البريد الإلكتروني، ولكن يمكن تنفيذها عبر الرسائل النصية أو حتى المكالمات الهاتفية أيضاً. فكيف بإمكانك التفريق بين ما هو حقيقي وقانوني وما هو احتيالي؟

إليك هنا دليلنا الشامل لكشف هجمات التصيد الاحتيالي، وكيفية التصدي لها، وما عليك فعله في حال تعرضت لها.

ما المقصود بالتصيد الاحتيالي؟ 7 نصائح لحماية حاسوبك في 2019

Unsplash

كيف تعمل هجمات التصيد الاحتيالي؟

الإطار التعريفي الأساسي للتصيد الاحتيالي، رغم أنه قد يأخذ أشكالاً عدّة، هو أن المجرم يحاول خداعك لتقدم له معلوماتك الشخصية برضى تامٍ منك، ومن بين هذه المعلومات: أرقام بطاقات الائتمان وكلمات المرور وأرقام الحسابات وغيرهم.

قد تحدث عملية الاحتيال كالتالي: تخيل أنك تستلم رسالة بريد إلكتروني عاجلة من شركة بطاقة الائتمان التي تستخدمها، ومكتوب ضمن الرسالة أن هناك مشكلة في حسابك، وقد تم قفله كإجراء أمني احترازي.

ولحل المشكلة، مكتوب بالرسالة أنه عليك النقر فوق رابط لتسجيل الدخول إلى حسابك لتأكيد هويتك وإلغاء حظر بطاقتك أو حسابك.

وقد تجري هذه العملية بالكامل دون أن تدرك أن صفحة تسجيل الدخول مزيفة، وأنك قد تعرضت لعملية احتيال الكتروني. ومن بين الأمثلة الشائعة لطلبات رسائل البريد الإلكتروني الاحتيالي:

  • فك حظر بطاقة الائتمان أو الحساب البنكي
  • تحديث معلومات الاتصال الرسمية
  • إعادة تفعيل حساب أو عضوية
  • تأكيد استلام طرد بريدي
  • إرسال طلب لاسترداد نقود
  • إرسال نموذج W-2 خاص بك أو بشخص آخر
  • تسهيل حوالات بنكية

قد تبدو تلك الرسائل الإلكترونية وكأنها حقيقية وصادقة، كأن تظهر كأنها من مزود خدمة الإنترنت الخاص بك أو الحكومة أو حتى من مديرك في العمل.

وغالباً ما يكون محتوى الرسالة طارئ (تم حظر بطاقة الائتمان) أو مغري للغاية (يمكنك استعادة أموالك).

عادة ما يتم شن عدّة هجمات تصيد احتيالي في الوقت ذاته باستخدام “مجموعات تصيد احتيالي” أو نسخ مزيفة لرسائل بريد إلكتروني أو مواقع ويب حقيقية. على سبيل المثال، قد يقوم المخترق باستنساخ صفحة تسجيل دخول لبنك مشهور ويعدّل الكود البرمجي لإرسال البيانات إلى بريده الإلكتروني بدلاً من إرسالها إلى البنك.

وفي حالات نادرة، قد يتم استهداف أفراد بعينهم من خلال هجمات تصيد احتيالي مخصصة لهم بالتحديد. يسمى هذا النوع من التصيد باسم “spear-fishing”، وعادة ما ينطوي الهجوم على وجود رسائل بريد إلكتروني مخصصة تتضمن معلومات عنك أو عن أشخاص تعرفهم. على سبيل المثال، قد تتلقى رسالة بريد إلكتروني طارئة تبدو وكأنها من مديرك في العمل يطلب منك إرسال نماذج W-2 عن كل شخص في قسمك.

أما “Whale-fishing”، فهو هجوم احتيالي يستهدف عادة شخصيات بارزة ومهمة، مثل رئيس تنفيذي لشركة كبيرة.

كيف يمكن كشف هجمات التصيد وردعها في عام 2019

كيف يمكن كشف هجمات التصيد وردعها في عام 2019

Pixabay

إن هجمات التصيد الاحتيالي مخيفة بالفعل، وذلك لأنها تستهدف أي شخص وهي مصممة لخداع المستخدم بأنه يتعامل مع مواقع وعمليات يومية حقيقية.

وليس بالضرورة أن تكون قد زرت موقع ويب غير آمن أو شاركت ملفات عبر مواقع التورنت لتتعرض لمثل هذه الهجمات الاحتيالية. بكل بساطة، من الممكن أن تجد فجأة بريداً إلكترونياً احتيالياً في صندوق الوارد لديك يبدو وكأنه من Amazon أو Netflix أو البنك الذي تتعامل معه يطلب منك إجراء أمر فوري.

ولكن، ليس من الصعب اكتشاف هجمات التصيد الاحتيالي وردعها على الفور، إذا كنت تعرف ما عليك النظر إليه.

إليك هنا نصائح للبقاء آمناً أثناء تصفح البريد الإلكتروني والرسائل الإلكترونية الأخرى.

1. كن حذراً من العروض غير المنطقية

عليك أن تشك بالرسائل التي تتلقاها أحياناً، وخاصةً إذا كنت لا تعرف المرسل شخصياً أو لا تتوقع استلام رسالة منه.

خطأ لدى البنك يصب في مصلحتك؟ استرداد مبالغ كبيرة على سوق أمازون؟ ترغب مصلحة الضرائب بإرسال مبلغ نقدي لك دون سبب؟

هذه مؤشرات واضحة يجب التدقيق في أمرها مليّاً.

وعليك الحذر أيضاً من الرسائل المستعجلة التي يبدو أنها تتطلب إجراءً فورياً دون ذكر تفاصيل.

2. تحقق من روابط المواقع وعناوين البريد الإلكتروني بدقة

لنقل أنك تلقيت رسالة بريد إلكتروني من أمازون تطلب منك إرسال طلب استرداد نقود بسبب فرض الشركة عليك رسوم عن طريق الخطأ. بشكل عام، ذلك أمر لا يصدق، لكن ما الذي عليك فعله حيال ذلك؟

تحقق جيداً من عنوان البريد الإلكتروني للمرسل. هل يبدو منطقياً بالنسبة لك؟

إذا تواصل معك شخص يدعي أنه ممثل لشركة أمازن عبر البريد الإلكتروني، فيجب أن يكون عنوان بريده الإلكتروني كالتالي: “[email protected]” أو على نطاق فرعي من أمازون (مثل support.amazon.com).

في حال كان البريد الإلكتروني مرتبط باسم نطاق فيه خطأ إملائي (مثل Amazonn.com) أو تم توجيه الرسالة من نطاق مجهول أو نطاق باسم عشوائي، فيعتبر ذلك علامة واضحة أنك استلمت بريداً إلكترونياً احتيالياً.

وللتأكد، قم بتحريك المؤشر فوق أي رابط موجود في البريد الإلكتروني قبل النقر عليه، وبذلك يمكنك رؤية الرابط المستخدم. ويجب أن يكون ذلك الرابط مألوفاً ويخص المرسل أيضاً.

وإلى جانب ذلك، لا تقم بزيارة مواقع إلكترونية ذات روابط غير معروفة، وعليك ألا تستجيب لرسائل البريد الإلكتروني التي تمت إعادة توجيهها عبر نطاقات ذات أسماء عشوائية.

3. تأكد من مصداقية المرسل قبل إرسال أي معلومات حساسة إليه

من النادر أن يطلب منك موظف خدمة عملاء حقيقي الحصول على كامل رقم حسابك أو كامل رقم بطاقتك الائتمانية أو أي معلومات شخصية كاملة. بحيث أنه في أغلب الأحيان، يطلب الموظف معلومات جزئية (آخر 4 أرقام من رقم الحساب أو عنوان الشارع التي تقطن فيه) للتأكد من هويتك.

ولكن هناك بعض الحالات التي تحتاج فيها بالفعل إلى تقديم معلومات تفصيلية أو كاملة عنك.

إذا كان الطلب مشبوهاً بالنسبة لك، فحاول التأكد من موثوقية الطلب بأي طريقة ممكنة.

إحدى الطرق الجيدة هي الاتصال برقم هاتف خدمة العملاء الموجود على موقع الشركة والتحدث مع أحد موظفي الشركة، أو التواصل معهم عبر أي وسيلة تواصل رسمية أخرى باستثناء عنوان البريد الإلكتروني المشكوك بأمره.

4. استخدم مزود بريد إلكتروني جيد السمعة

معظم مزودي خدمات البريد الإلكتروني الجيدين حالياً يقدمون حماية ضد هجمات التصيد الإلكتروني ورسائل البريد العشوائي.

فعلى سبيل المثال، يتوفر لدى Outlook و Gmail معلومات واسعة حول عمليات احتيال ورسائل خبيثة تم الإبلاغ عنها. وغالباً يكون لدى مزودي خدمة البريد الرائدين في السوق خوارزميات خاصة لفلترة الرسائل الضارة – قبل أن تراها حتى – أفضل من المزودين الصغار في السوق.

وأياً كان مزود خدمة البريد الذي تستخدم خدماته، تحقق من إعدادات البريد المزعج أولاً، وفي حال الضرورة، تواصل مباشرة مع خدمة العملاء واسألهم عن نصائح لحماية حسابك ضد عمليات التصيد الاحتيالي.

5. كن حذراً من الأعمال الخيرية المرتبطة بأحداث عالمية كبيرة

عندما تضرب كارثة طبيعية أو هجوم إرهابي بلداً ما، يقوم في غالب الأحيان المحتالون بتشكيل جمعيات خيرية احتيالية بقصد استغلال فاعلي الخير مادياً.

لذلك اتبع نهجاً أمنياً عند التعامل مع البريد الإلكتروني، ولكن ضاعف درجة الحذر أثناء فترات جمع التبرعات واسعة الانتشار، ولا ترسل أبداً رقم بطاقتك الائتمانية إلا إذا كنت متأكداً 100% من الجهة التي تطلبه.

وفي حال كنت ترغب في التبرع لقضية سياسية أو حالة إنسانية، فابحث عن منظمة موثوقة وقدم لها التبرعات مباشرة.

6. ثبّت مضاد فيروسات يوفر حماية ضد الاحتيال الإلكتروني

تتضمن برامج مكافحة الفيروسات الرائدة في السوق ميزات إضافية للمساعدة في حمايتك ضد عمليات التصيد الاحتيالي.

بحيث أن هذه البرامج لديها القدرة على توفير طبقة حماية تضاف إلى حماية مزود خدمة البريد الإلكتروني، كما توفر أيضاً خوارزميات فلترة للرسائل المزعجة بالاعتماد على قاعدة بيانات ضخمة تتضمن حالات تصيد احتيالي وهجمات أخرى تم الإبلاغ عنها.

7. أبلغ عن هجمات التصيد الاحتيالي

اعمل خيراً وأخبر البنك الذي تتعامل معه أو مزود خدمة البريد الإلكتروني أو الشركة المعنية بالموضوع في حال كان هناك هجمات تتم نحن اسمهم بطريقة غير شرعية.

فقد يكون بمقدور هذه الجهات اتخاذ إجراءات أمنية مثل إرسال تحذيرات أو تعديل تصميم صفحات تسجيل الدخول لديهم للمساعدة في ضمان عدم تعرض أي شخص لعملية احتيال.

خاتمة – لتبقى آمناً، شكك في أي شيء

من السهل نسبياً تفادي التعرض لهجمات التصيد الاحتيالي في حال كنت على دراية بآلية عملها.

وعلى عكس دودة الكمبيوتر أو هجمات القوة العمياء، يعتمد التصيد على الضحية بشكل مباشر لتلقي الهجوم وتقديم معلوماته.

أسهل طريقة للبقاء بأمان هي عدم تقديم أي معلومات حساسة أو مهمة لأي طرف عبر الإنترنت ما لم تكن متأكداً 100٪ أنه مصدر موثوق تماماً.

بالطبع الكلام النظري يختلف عن الواقع أحياناً، فالمحتالين الجدد يستنسخوا صفحات الدفع وصفحات تسجيل الدخول وغيرهم من الصفحات الويب بطريقة احترافية يصعب تفريقها عن الحقيقية.

ولكن إذا تفحصت عناوين البريد الإلكتروني وروابط المواقع الإلكترونية قبل التفاعل معها، فستتمكن غالباً من كشف أي عملية احتيال قبل أن تقع ضحية لها.