التصيّد الاحتيالي هي طريقة للحصول على كلمة سرّ Password مستخدم لخدمة ما أو موقع ما على الإنترنت عبر الخداع.
تعتمد الطريقة على إيهام الشخص المستهدف بأنه على الموقع الصحيح المعتاد حيث يدخل كلمة سره عادة للدخول إلى حسابه على الموقع (كموقع البريد الالكتروني) لكن في الحقيقة يكون الموقع موقعا “شريرا” يديره أحد لصوص كلمات السر. بالتالي إذا خدع المستخدم وأدخل كلمة سره في ذلك الموقع تصل كلمة السر بكل بساطة إلى المحتال.
إذا يقوم المهاجم بتصميم صفحة خبيثة تشبه صفحة تسجيل الدخول لموقع شهير (مثلا صفحة تسجيل الدخول لموقع gmail أو لموقع Facebook) لكنها تحمل عنوانا مختلفا عن العنوان الأصلي. ثم يقوم المهاجم بتوجيه الضحية إلى الموقع الخبيث سواء عبر رسالة بريد إلكتروني أو عبر رسالة سكايب أو ضمن تعليق على فيسبوك ربما يحمل رسالة مشوقة تدفع الضحية لزيارة الموقع الخبيث (الذي يشبه الموقع الأصلي) والذي يطلب من الضحية تسجيل الدخول في الموقع. عندما تقوم الضحية بإرسالة معلومات تسجيل الدخول تصل المعلومات إلى المهاجم. وهذا يعد من أساليب الهندسة الاجتماعية.
بعض الخطوات التي تساعد في تجنب هجمات التصيّد الاحتيالي والحد من خطرها:
لا تثقوا أبداً في أي مصدر يطلب معلومات حساسة عبر البريد الإلكتروني
هل الرسالة الإلكترونيّة مكتوبة بشكل احترافي؟ الأخطاء الإملائية والنحوية قد تدل على عملية تصيد احتيالي
راقبوا سطور الموضوع واللغة العاجلة المستخدمة التي تدفع المستخدم للاستعجال مثل “يرجى التحقق من حسابك حالاً”. أو “تعرض حسابك للاختراق” حيث يستخدم المحتالون هذه الحيل بشكل كبير
لا تفتحوا المرفقات في رسائل البريد الإلكتروني المشبوهة أو الغريبة – خاصةً مرفقات Word أو Excel أو PowerPoint أو PDF
تجنبوا النقر فوق الروابط التي تصلكم وتلك المضمنة في رسائل البريد الإلكتروني في جميع الأوقات، لأنها يمكن أن تكون مزروعة ببرامج ضارة. حاولوا الاتصال بالمرسل لمعرفة سبب وصول الرسالة إن لم تكونوا تتوقعوها. وتذكروا دائماً أنه يمكنكم فحص الروابط المشبوهة عن طريق فايروس توتال VirusTotal كما هو كما هو مشروح في هذه المقالة من سلامتك
حافظوا على تحديث متصفحات الانترنت والبرامج التي تستخدمونها وأنظمة التشغيل الخاصة بكم. غالباً ما تكون المنتجات القديمة غير المحدّثة (وكذلك البرامج والمنتجات غير الأصلية) الذي نستخدمها أهدافاً سهلة للمخترقين كون أنها قد تحتوي على ثغرات ولم يتم تحديثها بالاصلاحات الأمنية التي تطلقها الشركات المصنّعة
فعّلوا ميزة التحقق بخطوتين أينما توفرت. ميزة التحقق بخطوتين ترفع من مستوى أمن حساباتنا على الإنترنت وتقلل من خطر اختراقها من قبل المتطفلين والمخترقين. تتلخص ميزة التحقق بخطوتين بأن التحقق من هوية صاحب الحساب يكون عبر التأكد من شئ يعرفه صاحب الحساب وهو كلمة السرّ، وشئ يملكه وهو هاتفه الذكي المرتبط بالحساب. يمكنكم الاطّلاع على أدلة سلامتك للتحقق بخطوتين من هنا
يعتمد منفذو الهندسة الاجتماعية على معلومات يجمعونها عن الضحية من خلال مراقبة نشاطهم على الإنترنت، أو حركة بياناتهم عليها أو على هواتفهم (كالمواقع التي يتصفحونها أو ومعلومات يشاركونها على مواقع التواصل الاجتماعي) ، حيث تمكن هذه المعلومات المهاجمَ من التحايل على الضحية، وكسب ثقته ثم توريطه. لذلك يجب أن نكون حذرين عند مشاركة بياناتنا ومعلوماتنا أونلاين والحفاظ على سوية عالية من الخصوصية. على سبيل المثال: لا تقوموا أبدا بنشر عنوان البريد الالكتروني الشخصي الخاص بكم في المساحات الافتراضيّة العامة
احتفظوا على الأقل بعنوانين للبريد الإلكتروني. الأول يكون عام يمكن استخدامه عند الاشتراك في المواقع وغرف الدردشة والمنتديات الإلكترونية. والثاني يكون فقط للمراسلات الشخصيّة و الهامة. هذا الإجراء يساهم في التقليل من رسائل البريد غير المرغوب بها Spam وبالتالي يقلل من احتمال استهدافنا بهجمات الهندسة الاجتماعية
يجب عدم الرد على رسائل التصيّد أبداً. قوموا بالتبليغ عنها وحذفها. في حال تقديم معلومات حساسة، فلا داعي للذعر – أعيدوا تعيين بيانات الاعتماد على المواقع التي استخدمتوها، وقوموا بتغيير كلمات المرور الخاصة بكم. اذا قتم بادخال بيانات مصرفية أو بطاقات بنكية، اتصلوا بمصرفكم على الفور
ما رأيكم في هذه المقالة؟ أرائكم تهمّنا لتحسين محتوى سلامتِك.
