حتى جوجل وفيسبوك لم يسلما من الهندسة الاجتماعية! فخ “التصيد الاحتيالي”، وكيف تتجنب الوقوع فيه؟
-وكالات
رسائل التصيد الاحتيالي مختلفة. فقد تُفاجأ
برسالةٍ على جهازك تطلب منك تحديث أحد البرامج أو التطبيقات، أو بأخرى تزفّ لكَ
خبر فوزك بجائزة قيّمة وعليك تسجيل بياناتك للحصول عليها. ولعلّك وأنت تتصفح
موقعاً معيّناً، تمّت إحالتك إلى موقعٍ آخر.
كلُّ ذلك ليس صدفةً ولن تصلك رسالة عن طريق
الخطأ، بل إنها حِيَل يلجأ إليها القراصنة بهدف الإيقاع بك للوصول إلى بياناتك
الشخصية والمصرفية، من خلال ما يُعرف بفخّ التصيد الاحتيالي.
منذ العام 2020، ارتفعت هجمات الهندسة
الاجتماعية ارتفاعاً ملحوظاً، فقد أوجدت جائحة كورونا بيئة مثالية يسودها الخوف
والمعلومات المضللة عبر الشبكات غير الآمنة؛ مما أدى إلى ارتفاع معدلات الجريمة
الإلكترونية.
وبحسب التقديرات، فإن حوالي %75 من المؤسسات
قد أبلغت عن تعرّضها لهجومٍ احتيالي، خلال الأعوام الثلاثة الأخيرة.
التصيد الاحتيالي، وفقاً للتعريف العلمي،
هو: "الممارسة الاحتيالية من خلال رسائل إلكترونية، تزعم أنها صادرة من شركات
مرموقة، لحثّ الأفراد على الكشف عن معلوماتهم الشخصية، مثل: كلمات المرور، وأرقام
بطاقات الائتمان".
فهو هجوم معقد من خلال ما يُسمّى
بـ"الهندسة الاجتماعية"، يهدف إلى إغراء الضحية بالكشف طواعية عن
معلومات حساسة، ويعتمد على قصة أو صورة معينة لتقديم نفسه على أنه جهة شرعية.
وهو طريقة خطرة وفعالة للقرصنة التي يرتكبها
مجرمو الإنترنت الهواة، وذوو الخبرة على حد سواء، وقد أصبح أكثر تعقيداً مع مرور
السنين. فنحو 32% من إجمالي الانتهاكات كانت تصيداً احتيالياً، وحوالي 64% من
المؤسسات أبلغت عن تعرّضها لمحاولات تصيّدٍ، مرة واحدة على الأقل في تاريخها.
وغالباً ما يتم التصيد عبر مرفقات ضارة في
رسائل البريد الإلكتروني، ومتخفية في هيئة ملفات PDF أو ملفات Word.
كثيرةٌ هي الطرق التي يلجأ إليها القراصنة
للحصول على بيانات المستخدم، بدءاً من الادّعاء بأنهم موظفو بنوك، وصولاً إلى
الادعاء بأنهم من أفراد الأسرة أو الأصدقاء ويحتاجون إلى مساعدة عاجلة. وما الهدف
من هذه المحاولات سوى سرقة الأموال من الحسابات البنكية، أو اختراق البيانات
الحساسة للمستخدم.
مجلة "فينانس تست" الألمانية
أوضحت أن اهتمام القراصنة والمحتالين ينصبّ حالياً على كلمات المرور الخاصة
بالحسابات المصرفية عبر الإنترنت، أو خدمات الدفع الإلكتروني، بالإضافة إلى بيانات
الوصول الخاصة بشبكات التواصل الاجتماعي أو الحصول على الأرقام الهاتفية.
وعادة ما يستدرج القراصنة ضحاياهم إلى مواقع
ويب مزيفة، ويُطلب منهم إدخال البيانات الخاصة بهم؛ لكن لم تعد هجمات التصيد
الاحتيالي للبيانات تقتصر على رسائل البريد الإلكتروني فقط.
فقد يتظاهر المحتالون على منصات التواصل
الاجتماعي، أو تطبيقات الدردشة الفورية، بأنهم أحد أفراد الأسرة أو الأصدقاء،
ويحتاجون إلى الدعم والمساعدة الفورية.
أشكال التصيد الاحتيالي
يبلغ متوسط تكلفة الأضرار، الناتجة عن خرق
البيانات، حوالي 3.92 مليون دولار. وكل 40 ثانية تقريباً يحدث هجوم إلكتروني في
الولايات المتحدة.
حتى كبرى الشركات ليست في مأمن تام من
التصيد الاحتيالي؛ فقد تعرضت شركات، مثل فيسبوك وجوجل لهجمات تصيد احتيالي ضخمة؛
مما تسبب في خسائر بلغت نحو 100 مليون دولار، وفقاً لموقع CNBC الأمريكي.
يمكن تنفيذ هجمات التصيد بطرق مختلفة
ومتعددة، تعتمد جميعها على المُهاجم وهدفه، والمعلومات التي يحاول تأمينها. وفي ما
يلي نظرة شاملة على أشكال تصيّد البيانات الشائعة حالياً:
تزوير العناوين:
يُعد تزوير العناوين (Pharming) هجوماً إلكترونياً يعيد توجيه تدفق حركة
المرور بالكامل إلى موقع ويب آخر ضار، يتمكن من خلاله القرصان من سرقة المعلومات
والتلاعب بالمستخدمين للإفصاح عن بيانات الاعتماد أو تنزيل البرامج الضارة.
اختراق بيانات:
يحدث عندما تنكشف بيانات حساسة، شخصية أو
تجارية، عن طريق الدخول غير المصرح به إلى نظام أو تطبيق. يمكن أن يؤدي ذلك إلى
الكشف عن أرقام بطاقات الائتمان مثلاً، أو أرقام الضمان الاجتماعي والتوجيه
المصرفي، وغيرها.
وقد حدثت أكبر عملية اختراق للبيانات حتى
الآن عام 2020، على موقع البالغين CAM4، مما أدى إلى كشف 10 مليارات سجل.
سرقة بيانات تسجيل الدخول:
تحدث سرقة بيانات تسجيل الدخول عندما يحصل
المُقرصِن على معلومات تسجيل الدخول من الضحية، عبر هجوم تصيد احتيالي.
ويتم اختراق بيانات تسجيل الدخول بسهولة،
خاصةً عندما يقوم نحو 65% من الأشخاص بإعادة استخدام كلمات المرور ذاتها. وللأسف،
لا يعرف بعضهم أنه تم اختراق أوراق اعتمادهم إلا بعد فوات الأوان، حين يعني ذلك
أنهم سيتكبّدون أضراراً مالية أو شخصية كبيرة.
طريقة سمشنغ:
في الـ"سمشنغ" (Smishing)، يعتمد القراصنة على الرسائل النصية
القصيرة، وينصبونها فخاً لتشجيع الضحايا في الكشف عن بياناتهم. ومن ضمن الوسائل
الشائعة والخطيرة هنا إطلاق الحملات الإعلانية أو بلاغات الأخطاء عن طريق الرسائل
النصية القصيرة، والتي لا تكون موجودة أصلاً.
التصيد بالرمح:
يستهدف "التصيد بالرمح"
(Spear Phishing) مجموعة معينة
من الأشخاص، مثل موظفي شركة معينة. أما الطريقة المعروفة باسم "صيد الحيتان"
(Whaling) فإنها تستهدف
"الأسماك الكبيرة" بشكل خاص، الأثرياء.
وكذلك يشير مصطلح "فشنغ"(Vishing) إلى أسلوب آخر
للتصيد الاحتيالي من خلال تصيّد البيانات عن طريق الصوت، ولا يعني أكثر من تصيد
البيانات عن طريق محاولات التلاعب والاحتيال عن طريق الاتصالات الهاتفية.
جوجل تحذر من هجمات الهندسة الاجتماعية
نشرت شركة جوجل ملفاً كبيراً حول عمليات
الاحتيال والنصب الإلكتروني في إطار ما أطلقت عليه "الهندسة
الاجتماعية". وقد جاء في الملف: "باستخدام الهندسة الاجتماعية يتلاعب
القرصان بالضحية لحثها على اتخاذ إجراء سريع بمعلومات خادعة".
يستغل خوف الضحية من أن ترفع مصلحة الضرائب
قضية ضدّها، فيرسل لها رسالة نصية مع دعوة عاجلة لاتخاذ إجراء ("تصرف الآن
وإلا ستفرض مصلحة الضرائب غرامة عليك")، ومن ثم يقود الضحية إلى موقع أو رقم
هاتفٍ ضار.
وتتضمن الأمثلة الأخرى الأكثر تعقيداً أشياء
مثل رسالة مخادعة من زميل/مسؤول أعلى، أو رسالة تحتوي على معلومات مؤكدة عن
المستلم.
وفي تعريفها، أوضحت جوجل أن الهندسة
الاجتماعية هي محتوى يخدع الزائرين لحثهم على تنفيذ إجراءات خطرة، مثل الكشف عن
معلومات سرية أو تنزيل البرامج.
وإذا اكتشف محرك البحث جوجل أن موقعك
الإلكتروني يتضمّن محتوى هندسة اجتماعية، قد يعرض متصفّح كروم Chrome التحذير التالي
"أنت بصدد الانتقال إلى موقع إلكتروني مخادع"، عندما يحاول الزائرون
دخول موقعك الإلكتروني.
محاكاة الروابط
جوجل أوضحت أنه غالباً ما يتم استخدام
محاكاة الروابط، جنباً إلى جنب مع الهندسة الاجتماعية. ولو أخذنا عمليات الاحتيال
الخاصة بمصلحة الضرائب كمثال، وفيها يتم التلاعب بالضحية حتى يعتقد أنه مدين
بأموال لمصلحة الضرائب، فينقر على الرابط المقدم والذي يبدو للوهلة الأولى شرعياً،
وقد يحتوي على عنوان URL "الصحيح" لموقع ويب مصلحة الضرائب.
ومع ذلك، بمجرد النقر عليه، يتم إعادة توجيه
المستخدم إلى موقع ويب وهمي حيث يتم طلب معلوماتهم. غالباً ما يقع ضحية هذه
الهجمات الأشخاص ذوو المهارات التكنولوجية البسيطة.
ماذا يحدث عند الضغط على رسائل التصيد
الاحتيالي؟
يعمل رابط التصيد الاحتيالي بطريقتين، فهو:
إما يُعيد توجيه الضحية إلى موقع ويب وهمي
آخر.
أو يثبت برامج ضارة/فيروسات على الجهاز أو
الشبكة.
هجوم التصيد قد يعطل الشبكة التجارية
بالكامل، من خلال الاستيلاء عليها أو سرقة المعلومات. وفي حال الهجوم، قد يجبر
الشركة على إغلاق خدماتها عبر الإنترنت لفترة غير محددة من الوقت؛ مما يتسبب في
خسائر كبيرة في الإيرادات إلى جانب الأضرار الأخرى الناجمة عن البرامج الضارة.
بالإضافة إلى ذلك، هناك غرامات تنظيمية يمكن
أن تتكبدها الشركات، مما يؤثر سلباً على سمعة الشركة، في حال حدوث خرق