ما المقصود بالتصيد الاحتيالي؟
تهدف هجمات التصيد الاحتيالي إلى سرقة أو إتلاف البيانات الحساسة من خلال خداع الأشخاص ليكشفوا بياناتهم الشخصية مثل كلمات المرور وأرقام بطاقات الائتمان.
الأنواع المختلفة لهجمات التصيد الاحتيالي
تتمم هجمات التصيد الاحتيالي حيث يتظاهر المخادعون بأنهم مصادر محل ثقة وتسهل عملية الوصول إلى جميع أنواع البيانات الحساسة. مع تطور التقنيات، تتطور الهجمات الإلكترونية أيضاً. تعرّف على أكثر أنواع التصيد الاحتيالي انتشاراً.
التصيد الاحتيالي عبر البريد الإلكتروني
يستخدم الشكل الأكثر شيوعاً لهجمات التصيد الاحتيالي أساليب مثل الارتباطات التشعبية المزيفة؛ لخداع مستلمي رسائل البريد الإلكتروني للكشف عن معلوماته الشخصية. غالباً ما يتنكر المهاجم في صورة مزود حسابات كبير مثل Microsoft أو Google، أو حتى زميل في العمل.
التصيد الاحتيالي لبرامج الفدية الضارة
ويعد أحد أساليب التصيد الاحتيالي الشائعة الأخرى، ويتضمن هذا النوع من الهجمات استخدام برامج ضارة متخفية في صورة مرفق موثوق (مثل سيرة ذاتية أو كشف حساب بنكي) يتم إرسالها في رسالة بريد إلكتروني. وفي بعض الحالات، يمكن أن يتسبب فتح مرفق برامج ضارة في تعطيل أنظمة تكنولوجيا المعلومات بأكملها.
التصيد الاحتيالي الموجّه
على عكس معظم هجمات التصيد الاحتيالي التي تستهدف شبكات كبيرة، فإن التصيد الاحتيالي الموجّه يستهدف أشخاصاً معينين من خلال استغلال المعلومات التي تم جمعها من الأبحاث حول عملهم وحياتهم الاجتماعية. تتسم تلك الهجمات بشدة تخصيصها، مما يزيد فرص نجاحها في تجاوز وسائل الأمان عبر الإنترنت الأساسية.
التصيد الموجّه لشخص مهم
عندما يستهدف المهاجمون "شخصية هامة" مثل مدير أعمال أو أحد المشاهير، فإن ذلك يطلق عليه اسم التصيد الموجّه لشخص مهم. غالباً ما يجري هؤلاء المخادعون بحثاً متعمقاً حول أهدافهم لانتهاز لحظة موائمة لسرقة بيانات اعتماد تسجيل الدخول أو غيرها من البيانات الحساسة. إذا كان لديك أشياء قيمة يمكن أن تخسرها، فإن مهاجمي التصيد الموجّه لشخص مهم سيكسبون الكثير من الأموال.
التصيد الاحتيالي عبر الرسائل النصية
هو عبارة عن مزيج من المصطلحين "الرسائل النصية القصيرة" و"التصيد الاحتيالي"، وتشتمل هجمات "التصيد الاحتيالي عبر الرسائل القصيرة" على إرسال رسائل نصية متخفية في صورة جهات اتصال محل ثقة من شركات مثل Amazon أو FedEx. يكون المستلمون عرضة بشكل خاص لهذا النوع من الهجوم؛ لأن الرسائل يتم إرسالها في صورة نص عادي وتكون ذات طابع شخصي.
التصيّد الصوتي
خلال التعرض للتصيد الصوتي، يحاول المهاجمون العاملين في مراكز الاتصال الاحتيالية خداع الأشخاص ليكشفوا ببياناتهم الحساسة عبر الهاتف. في كثير من الحالات، تستخدم الرسائل الخادعة أسلوب الانتحال بالهندسة الاجتماعية يهدف خداع الضحايا وتثبيت برامج ضارة على أجهزتهم في صورة تطبيق عادي.
أساليب التصيد الاحتيالي الشائعة
الاتصالات الماكرة
يتميز المهاجمون ببراعتهم في التلاعب بضحاياهم ليكشفوا بياناتهم الحساسة بمحض إرادتهم عن طريق إخفاء الرسائل والمرفقات الضارة في المواضع التي لا يكون فيها الأشخاص حذرين للغاية (على سبيل المثال، في علب البريد الإلكتروني الخاصة بهم). من السهل افتراض أن الرسائل التي تصل إلى بريدك الوارد شرعية، ولكن كن حذراً - فغالباً ما تبدو رسائل التصيد الاحتيالي الإلكترونية آمنة ومسالمة. لتجنب التعرض للخداع، خذ وقتك في التفكير واختبر الارتباطات التشعبية وعناوين البريد الإلكتروني للمرسلين قبل النقر عليها.
التصيد بناءً على الحاجة
يقع الناس ضحية للتصيد الاحتيالي؛ لأنهم يعتقدون أنهم بحاجة إلى اتخاذ إجراء. على سبيل المثال، قد يقوم الضحايا بتنزيل برامج ضارة متخفية في شكل سيرة ذاتية لأنهم يحتاجون إلى توظيف أشخاص بشكل عاجل أو يدخلون بيانات اعتمادهم المصرفية على موقع ويب مشبوه لإنقاذ حساب تم إبلاغهم إنه سينتهي قريباً. يمثل بث إدراك زائف للحاجة أحد صور الخداع الشائعة لأنها تحقق أهدافها. للحفاظ على أمان بياناتك، بإمكانك إجراء فحص مكثف أو تثبيت تقنية لحماية البريد الإلكتروني، والتي ستخفف عبء الأعمال الشاقة عن كاهلك.
الثقة الزائفة
يخدع المهاجمون المستخدمين ويكسبوا ثقتهم بشكل زائف، وحتى الأشخاص الأكثر يقظة يمكن أن يقعوا فريسة للرسائل الخادعة. من خلال انتحال شخصية مصادر جديرة بالثقة مثل Google أو Wells Fargo أو UPS، يمكن للمخادعين التحايل عليك لاتخاذ إجراء قبل أن تدرك أنه تم خداعك. لا يتم النجاح في اكتشاف العديد من رسائل التصيد الاحتيالي، إذا لم تكن تدابير الأمان عبر الإنترنت المتقدمة قيد الاستخدام. بإمكانك حماية معلوماتك الشخصية من خلالاستخدام تقنية حماية البريد الإلكتروني ، حتى تتمكن من اكتشاف المحتوى المشبوه والتخلص منه قبل وصوله إلى علبة الوارد لديك.
التلاعب العاطفي
يستخدم المهاجمون أساليب ضغط نفسي لإقناع الأشخاص المستهدفين بالتصرف دون أخذ وقتهم في التفكير. بعد بناء الثقة عن طريق انتحال شخصية مصدر مألوف، ثم خلق شعور زائف بالحاجة، يستغل المهاجمون مشاعر مثل الخوف والقلق للحصول على ما يريدون. يميل الناس إلى اتخاذ قرارات سريعة عندما يتم إخبارهم بأنهم على وشك خسارة المال، أو التعرض لمشكلة قانونية، أو فقدان حق الوصول إلى مورد يحتاجون إليه. احذر من أي رسالة تخبرك "اتخذ إجراءً فوراً"؛ لأنها قد تكون الرسالة احتيالية.
مخاطر التصيد الاحتيالي عبر البريد الإلكتروني
من الممكن أن يترتب على نجاح هجوم التصيد الاحتيالي عواقب وخيمة. قد تتمثل تلك العواقب في سرقة الأموال ودفع رسوم احتيالية على بطاقات الائتمان وفقدان الوصول إلى الصور ومقاطع الفيديو والملفات - بل وقد يصل الأمر إلى انتحال مجرمي الإنترنت لهويتك وتعريض الآخرين للمخاطر.
أما في العمل، فيمكن أن تشمل المخاطر التي يتعرض لها صاحب العمل فقدان أموال الشركة، وكشف البيانات الشخصية للعملاء وزملاء العمل، وسرقة الملفات الحساسة أو جعل الوصول إليها غير ممكناً، ناهيك عن الإضرار بسمعة شركتك. لا يمكن إصلاح الضرر، في كثير من الحالات.
ولحسن الحظ، يوجد العديد من الحلول للحماية من التصيد الاحتيالي سواء في المنزل أو في العمل.
تلميحات سريعة لتجنب التصيد الاحتيالي
عدم الثقة في الأسماء المعروضة
تحقق من عنوان البريد الإلكتروني للمرسل قبل فتح الرسالة - فقد يكون الاسم المعروض زائفاً.
التحقق من الأخطاء المطبعية
تمتلئ رسائل البريد الإلكتروني للتصيّد الاحتيالي بأخطاء إملائية ونحوية. إذا بدا شي ما مريباً، فضع علامة تحذيرية عليه.
الفحص قبل النقر
يمكنك المرور فوق الارتباطات التشعبية الموجودة في محتوى يبدو أصلياً لفحص عنوان الارتباط.
قراءة جملة التحية
إذا كان البريد الإلكتروني موجهاً إلى "عميل مهم" بدلاً من توجيهه إليك باسمك، فعليك الاحتراس. من المحتمل أن تكون رسالة احتيالية.
مراجعة التوقيع
تحقق من وجود معلومات جهة الاتصال في تذييل البريد الإلكتروني. يقوم المرسلون الشرعيون بتضمينها دائماً.
الحذر من التهديدات
تنتشر العبارات القائمة على الترهيب مثل "تم تعطيل حسابك" في رسائل البريد الإلكتروني المخادعة.
الحماية من المخاطر على الشبكات
تشهد عمليات الخداع وأنواع المخاطر على الشبكات الأخرى تطوراً باستمرار، ولكن لا يزال هناك العديد من الأشياء التي يمكنك القيام بها لحماية نفسك.
الالتزام بمبادئ نموذج أمان "الثقة المعدومة"
بإمكانك حماية نفسك من خلال الالتزام بمبادئ نموذج أمان "الثقة المعدومة"، مثل المصادقة متعددة العوامل والوصول الكافي والتشفير الشامل الذي سيحميك من المخاطر على الشبكات المتطورة.
حماية تطبيقاتك وأجهزتك
بإمكانك منع عمليات التصيد الاحتيالي والهجمات عبر الإنترنت الأخرى واكتشافها والتصدي لها من خلال استخدام Microsoft Defender لـ Office 365.
الوصول الآمن
بإمكانك حماية المستخدمين من الهجمات المتطورة أثناء تأمين مؤسستك من التهديدات التي تستهدف الهوية.
الأسئلة المتداولة
-
يكمن الهدف الرئيسي من عملية التصيد الاحتيالي في سرقة المعلومات السرية وبيانات الاعتماد. احترس من أي رسائل واردة (عبر الهاتف أو البريد الإلكتروني أو الرسائل النصية) تتطلب منك إدخال معلومات سرية أو إثبات هويتك.
يحاول المهاجمون انتحال شخصية كيانات مشهورة واستخدام نفس الشعارات والتصميمات وواجهات المستخدم مثل العلامات التجارية أو الأفراد الذين تعرفهم بالفعل. ابق على اطلاع دائم بكل ما يحدث ولا تنقر فوق أي ارتباط أو تفتح مرفقاً ما لم تكن متأكداً من أن الرسالة ليست ضارة.
فيما يلي بعض التلميحات للتعرف على رسائل البريد الإلكتروني للتصيّد الاحتيالي:
- التهديدات العاجلة أو الدعوات إلى العمل (على سبيل المثال: "افتح على الفور").
- المرسلون الجدد أو غير المألوفين - أي شخص يرسل لك بريداً إلكترونياً لأول مرة.
- الصياغة الإملائية والنحوية السيئة (غالباً ما يكون بسبب الترجمات الأجنبية غير الملائمة).
- ارتباطات أو مرفقات مشبوهة - نص ارتباط تشعبي يكشف عن ارتباط من عنوان IP أو مجال مختلف.
الأخطاء الإملائية الصغيرة (على سبيل المثال، "micros0ft.com" أو "rnicrosoft.com")
-
- اكتب أكبر قدر ممكن من التفاصيل حول الهجوم التي يمكنك تذكرها. اذكر أي بيانات قد تكون شاركتها، مثل أسماء المستخدمين أو أرقام الحسابات أو كلمات المرور.
- قم بتغيير كلمات المرور على الفور في حساباتك المتأثرة وفي أي مكان آخر قد تستخدم فيه نفس كلمة المرور.
- تأكد من أنك تستخدم مصادقة متعددة العوامل (أو من خطوتين) لكل حساب تستخدمه.
- قم بإخطار جميع الأطراف المعنية بأن بياناتك قد تم اختراقها.
- إذا خسرت المال أو كنت ضحية لسرقة الهوية، فأبلغ عن ذلك إلى هيئة إنفاذ القانون المحلية ولجنة التجارة الفيدرالية (FTC). اذكر التفاصيل التي حصلت عليها في الخطوة الأولى.
إذا كنت تعتقد أنك تعرضت لهجمات التصيد الاحتيالي عن غير قصد، يوجد بعض الأشياء التي يتوجب عليك القيام بها:
تذكر أنه بمجرد إرسال معلوماتك إلى أحد المهاجمين، فمن المحتمل أن يتم إرسالها بسرعة إلى جهات ضارة أخرى. بإمكانك توقع أن تتلقي رسائل تصيد احتالي جديدة عبر البريد الإلكتروني أو الرسائل النصية أو الهاتف.
-
إذا تلقيت رسالة قد تبدو مريبة في علبة الوارد الخاصة بـ Microsoft Outlook، فاختر "الإبلاغ عن رسالة" من الشريط، ثم حدد التصيد الاحتيالي. تعد هذه أسرع طريقة لإزالة الرسالة من علبة الوارد الخاصة بك. في Outlook.com، حدد "خانة الاختيار" الموجودة بجوار الرسالة المشبوهة في علبة الوارد، وحدد السهم بجوار البريد العشوائي، ثم حدد "التصيد الاحتيالي".
إذا فقدت أموالاً أو كنت ضحية لسرقة الهوية، فأبلغ سلطات تطبيق القانون المحلية واتصل بلجنة التجارة الفيدرالية (FTC). فهي تمتلك موقعاً كاملاً مخصصاً فقط لحل هذه الأنواع من المشاكل.
-
لا، في حين أن التصيد الاحتيالي هو الأكثر شيوعاً عبر البريد الإلكتروني، يستخدم المخادعون أيضاً المكالمات الهاتفية والرسائل النصية وحتى عمليات البحث على الويب للحصول على معلومات سرية.
-
تعد رسائل البريد الإلكتروني العشوائية عبارة عن رسائل غير هامة وغير مطلوبة تتضمن محتوى تجاري أو عرَضي. وقد تعلن عن طرق سريعة لكسب المال أو عروض غير قانونية أو خصومات وهمية.
يعتبر التصيد الاحتيالي طريقة تستهدف الأشخاص بشكل أكبر (وعادةً ما تكون مقنعة بشكل أفضل) للحصول على معلومات سرية عن طريق خداع الضحايا لتقديم معلومات حساباتهم وتحديد هويتهم بمحض إرادتهم.
متابعة الأمان من Microsoft