التصيد الاحتيالي: ما هو وكيف تحمي نفسك من الهجمات الإلكترونية

التصيد الاحتيالي هو خداع رقمي، يحدث بواسطة نصب فخ إلكتروني لإغراء الضحايا للكشف عن معلوماتهم الحساسة. يعتمد على التلاعب النفسي بدلًا من اختراق الأنظمة تقنيًا، فنقرة واحدة منك كافية لتمنح المخترق وصولًا كاملًا لهويتك الرقمية.

في السطور التالية، سنكشف لك كيف يعمل هذا الفخ، ولماذا تنجح هذه الرسائل في خداع الكثيرين، وكيف تكتشف علامات التصيد التي يتجاهلها الكثيرون قبل فوات الأوان.

ما هو التصيد الاحتيالي؟

التصيد الاحتيالي هو نوع من أنواع الهندسة الاجتماعية، يقوم على انتحال شخصية ما تابعة لجهة موثوقة لخداعك والحصول على بياناتك الحساسة، مثل كلمات المرور أو تفاصيل بطاقتك الائتمانية. لا يعتمد هذا الأسلوب على ثغرات في البرمجيات بقدر ما يعتمد على ثغرات في الطبيعة البشرية، مثل الثقة، الخوف، أو الرغبة في الحصول على مكافأة سريعة.

اتصل بناالواتساب

في عملية التصيد، يرتدي المهاجم قناعًا يبدو مألوفًا لك؛ فقد يظهر كأنه البنك الذي تتعامل معه، أو زميل في العمل، أو حتى تطبيق مشهور تسخدمه يوميًا. تبدأ العملية برسالة بريد إلكتروني، رسالة نصية، أو مكالمة هاتفية مصممة بعناية فائقة لتبدو رسمية وشرعية. الهدف النهائي عادة ما يكون واحدًا من ثلاثة:

1. سرقة البيانات الشخصية: مثل أرقام الهواتف، العناوين، وتواريخ الميلاد.
2. الاستيلاء على الحسابات: عبر الحصول على أسماء المستخدمين وكلمات المرور.
3. الاحتيال المالي: من خلال الوصول المباشر إلى أرقام البطاقات الائتمانية أو الحسابات البنكية.

ما يميز التصيد الاحتيالي عن غيره من الهجمات هو عنصر الإلحاح؛ حيث تدفعك الرسائل دائمًا لاتخاذ قرار سريع مثل: “تم إيقاف حسابك، اضغط هنا لتفعيله الآن”، مما يعطل التفكير المنطقي ويجعلك تقع في الفخ قبل أن تدرك الحقيقة.

كيف يحدث التصيد الاحتيالي؟

تحدث عملية التصيد الاحتيالي بشكل ممنهج ودقيق للغاية، تمر بخمس مراحل مدروسة تهدف إلى ضمان أعلى معدل نجاح للمهاجم:

1. التخطيط واختيار الهدف

في هذه المرحلة، يحدد المهاجم فئة الضحايا المستهدفة. قد يكون الهجوم عامًا يستهدف ملايين الأشخاص عشوائيًا، أو متخصصًا يستهدف موظفًا معينًا في شركة كبرى. يبحث المهاجم عن معلومات عامة للضحية من خلال منصات التواصل الاجتماعي لجعل الرسالة تبدو أكثر واقعية.

2. إعداد الطُعم الرقمي

يقوم المهاجم بإنشاء بنية تحتية وهمية تشبه الأصلية تمامًا، ويشمل ذلك:

• إنشاء روابط  (URLs) مخادعة مثل استخدام com بدلًا من google.com.
• تصميم صفحات هبوط مزيفة طبق الأصل من صفحة تسجيل الدخول للبنك أو للبريد الإلكتروني.
• صياغة الرسالة وكتابة محتوى يحاكي النبرة الرسمية للجهة المنتحلة.

3. التلاعب النفسي

يتم إرسال الرسالة عبر البريد الإلكتروني أو الرسائل القصيرة. السر في نجاح هذه الخطوة هو المحفز العاطفي الذي يتلاعب بالمشاعر الإنسانية. يستخدم المهاجمون كلمات تخلق حالة من القلق أو الإثارة، ومن أشهر رسائل التصيد الاحتيالي:

• “تم رصد محاولة دخول مشبوهة لحسابك”.
• “لقد فزت بجائزة كبرى، استلمها خلال ساعة”.
• “فاتورة متأخرة السداد، سيتم اتخاذ إجراء قانوني”.

4. التنفيذ 

عندما يضغط الضحية على الرابط، يتم توجيهه إلى الموقع المزيف. هناك، يُطلب منه إدخال بياناته الحساسة، و بمجرد إدخال كلمة المرور أو رقم البطاقة الائتمانية، يتم إرسال هذه البيانات فورًا إلى خادم المهاجم بدلًا.

5. الاستغلال والاختفاء

بمجرد حصول المهاجم على البيانات، يبدأ في استخدامها فورا لتحويل الأموال أو بيع البيانات، أو اختراق شبكات الشركات. وفي كثير من الأحيان، يتم توجيه الضحية بعد إدخال البيانات إلى الموقع الحقيقي ليوهمه بأن كل شيء يسير بشكل طبيعي، مما يؤخر اكتشاف السرقة.

اتصل بناالواتساب

ما هي رسائل الاحتيال الإلكتروني؟

رسائل الاحتيال الإلكتروني هي وسيلة تواصل رقمية مضللة، يتم إرسالها من قبل جهات غير معروفة أو منتحلة لشخصيات وجهات موثوقة، بهدف خداع المتلقي للقيام بإجراء معين يصب في مصلحة المهاجم، مثل الكشف عن معلومات سرية أو تحميل برمجيات خبيثة.

أكثر أنواع رسائل الاحتيال الإلكتروني انتشارًا:

• رسائل البريد الإلكتروني: وهي الأكثر شيوعًا، حيث تصلك رسالة تبدو وكأنها من بنك، شركة شحن، أو منصة تواصل اجتماعي، تطلب منك تحديث بياناتك أو النقر على رابط.
• الرسائل النصية القصيرة: تصل عبر الهاتف المحمول وغالبًا ما تتحدث عن فوز بجائزة، أو مشكلة في توصيل طرد بريدي، أو حظر مؤقت لبطاقة الصراف الآلي.
• رسائل تطبيقات التواصل: رسائل تصل عبر واتساب أو تيليجرام أو ماسنجر، وقد تأتي أحيانًا من حسابات أصدقاء تم اختراقها لطلب مساعدة مالية أو إرسال رمز تحقق.

ما هي أنواع التصيد الاحتيالي المختلفة؟

لا يقتصر التصيد الاحتيالي على شكل واحد، بل يتخذ أشكالًا متنوعة تتطور باستمرار لتجاوز برامج الحماية وخداع الضحايا. فيما يلي أبرز أنواع التصيد الاحتيالي:

1. التصيد الاحتيالي العام

هو النوع الأكثر انتشارًا، حيث يقوم المهاجم بإرسال ملايين الرسائل العشوائية عبر البريد الإلكتروني إلى عناوين مختلفة. لا يستهدف المهاجم شخصًا بعينه، بل يعتمد على كمية الرسائل على أمل أن يقع عدد قليل من المستلمين في الفخ و ينقروا على الروابط الخبيثة.

2. التصيد الموجه

على عكس النوع الأول، هذا الهجوم مخصص وموجه لشخص معين أو موظفين في شركة محددة. يقوم المهاجم بجمع معلومات عن الضحية من مواقع التواصل الاجتماعي مثل الاسم، الوظيفة، الزملاء لجعل الرسالة تبدو موثوقة وشخصية للغاية، مما يزيد من احتمالية النجاح.

اتصل بناالواتساب

3. صيد الحيتان

أُطلق عليه هذا الاسم كونه يستهدف الرؤوس الكبيرة أو كبار المسؤولين التنفيذيين (CEO) والمديرين الماليين. تهدف هذه الهجمات إلى سرقة معلومات استراتيجية، أو أسرار تجارية، أو الوصول إلى حسابات بنكية كبرى للشركات.

4. التصيد الصوتي

يعتمد هذا النوع على المكالمات الهاتفية بدلًا من الرسائل المكتوبة. يستخدم المحتال تقنيات لتزييف رقم المتصل ليظهر كأنه من البنك أو جهة حكومية، ويحاول إقناع الضحية عبر المحادثة الصوتية بالإفصاح عن بيانات حساسة أو تحويل أموال فورًا.

5. التصيد عبر الرسائل النصية

يتم عبر رسائل الـ SMS. غالبًا ما تحتوي هذه الرسائل على رابط يوجه المستخدم إلى موقع وهمي يطلب منه إدخال بياناته بذريعة تحديث الحساب أو تأكيد استلام جائزة.

6. التصيد عبر الاستنساخ

في هذا النوع، يقوم المهاجم بنسخ رسالة بريد إلكتروني حقيقية وشرعية سبق إرسالها من قبل، ويقوم باستبدال الرابط أو الملف المرفق بآخر خبيث، ثم يرسلها مرة أخرى للضحية مدعيًا أنها تحديث أو نسخة معدلة من الرسالة السابقة.

كيفية الحماية من التصيد الاحتيالي؟

تعتمد الحماية من التصيد الاحتيالي على مزيجٍ من استخدام التكنولوجيا المتطورة وامتلاك الوعي الأمني الكافي. فيما يلي أهم الخطوات العملية لتأمين نفسك رقميًا:

1. تفعيل المصادقة الثنائية: لن يتمكن المحتال من الدخول إلى حسابك دون الرمز الإضافي الذي يصل إلى هاتفك أو عبر تطبيقات المصادقة. حتى لو تمكن من سرقة كلمة المرور الخاصة بك.
2. التحقق من الروابط وعناوين البريد الإلكتروني: قبل النقر على أي رابط، قم بتمرير مؤشر الماوس فوقه دون الضغط لرؤية العنوان الحقيقي للوجهة في أسفل المتصفح. تأكد من اسم الموقع بدقة؛ فمثلاً قد يستخدم المحتال com بدلاً من google.com.
3. استخدام برامج مكافحة الفيروسات والجدران النارية: تأكد من تنصيب برامج حماية موثوقة وتحديثها باستمرار. هذه البرامج تحتوي على قواعد بيانات المواقع الخبيثة المعروفة وتقوم بحظرها تلقائيًا قبل أن تفتحها.
4. الحذر من الطلبات المستعجلة: يستخدم المحتالون أسلوب الضغط النفسي، مثل: “رسائل سيتم إغلاق حسابك خلال ساعتين” أو “هناك محاولة اختراق جارية” ، بينما المؤسسات الرسمية (البنوك، شركات التكنولوجيا) لا تطلب بيانات حساسة عبر البريد الإلكتروني بهذه الطريقة.
5. تحديث البرامج وأنظمة التشغيل: تتضمن التحديثات الدورية لمتصفحات الإنترنت وأنظمة التشغيل مثل Windows أو iOS تصحيحات للثغرات الأمنية التي قد يستغلها المهاجمون لتنفيذ هجمات التصيد.
6. لا تشارك معلوماتك الشخصية في المواقع غير المشفرة: تأكد دائمًا أن رابط الموقع يبدأ ب https:// وليس http:// وابحث عن رمز القفل بجانب عنوان الموقع في المتصفح.

ما الفرق بين التصيد الاحتيالي والهكر؟

يكمن الفرق بين التصيد الاحتيالي والهكر في الأسلوب المُتبع لسرقة البيانات أو الأموال. فبينما يتبع التصيد الاحتيالي الخداع وإغراء الضحية المُعتمد على الهندسة الاجتماعية، يقوم الهكر على استغلال الثغرات البرمجية في الأنظمة المختلفة أو الشبكات أو الأجهزة. للدخول إلى النظام دون الحاجة لتفاعل مباشر مع المستخدم.

في النهاية، يظل العنصر البشري هو الحلقة الأضعف والأقوى في آن واحد. فبينما يعتمد الاختراق على قوة الأدوات التقنية، يعتمد التصيد على استغلال الثقة والاستعجال. فهم الفرق بينهما هو الخطوة الأولى لبناء درع حماية قوي؛ فالحماية من الاختراق تتطلب برامج قوية وتحديثات مستمرة، أما الحماية من التصيد فتتطلب وعيًا ذاتيًا وتحققًا دائمًا، وتوفر لك ديموفنف خدمات الحماية المتكاملة لحماية بنيتك لتقنية بالكامل من الثغرات أو أي تصيد احتيالي.

مشاركة المقال