لا يزال التصيد الاحتيالي أحد أكبر تهديدات الأمن السيبراني في العالم.
في الواقع ، وفقًا لبحث أجرته شركة باراكودا للأمن السيبراني ، أصبح التصيد الاحتيالي مُنتشرًا لدرجة أن عدد هجمات التصيد المتعلقة بفيروس كورونا زاد بنسبة 667٪ من يناير إلى مارس من هذا العام. الأمر الأكثر إثارة للقلق هو أنه وفقًا لدراسة أجرتها شركة Intel ، لا يستطيع ما يصل إلى 97 بالمائة من الأشخاص التعرف على بريد إلكتروني للتصيد الاحتيالي.
لتجنب الوقوع ضحية ، تحتاج إلى معرفة الطرق المُختلفة التي يُمكن أن يُحاول بها المخادع مهاجمتك. فيما يلي ثمانية أنواع مختلفة من محاولات التصيد الاحتيالي التي قد تُواجهها.
1. التصيد عبر البريد الإلكتروني
هذا هو التصيد النموذجي المُصمم لتقليد رسالة البريد الإلكتروني من شركة شرعية. إنه أقل أنواع الهجوم تعقيدًا باستخدام طريقة “الرذاذ والدعاء” (هو تعبير يستخدم أصلاً في الإعلانات التقليدية ، ويعني أنه يمكن للتاجر ضخ المال وإنفاقه على الحملات الإعلانية والدعاء من أجل الحصول على النتائج).
حيث لن يستهدف هذا النوع من التصيد شخصًا معينًا وغالبًا ما يتم إرسال رسائل بريد إلكتروني عامة إلى ملايين المُستخدمين على أمل أن ينقر بعض الضحايا المُطمئنين على الرابط أو تنزيل الملف أو اتباع التعليمات الواردة في البريد الإلكتروني.
غالبًا ما لا تكون الرسائل مُخصصة لذلك تجد أنه يتم استخدام التحية العامة مثل “عزيزي صاحب الحساب” أو “عزيزي العضو”. غالبًا ما تُستخدم الهندسة الاجتماعية لنشر الذعر أو الخوف باستخدام كلمات مثل “عاجل” لدفع المستخدمين إلى النقر على الرابط.
2. التصيد الموجّه
هذا النوع أكثر تعقيدًا وتقدماً من التصيد الاحتيالي السابق وهو يستهدف مجموعة مُعينة أو حتى أفراد مُعينين. غالبًا ما يستخدمه قراصنة بارزون للتسلل إلى المُنظمات.
يقوم المُحتال بإجراء بحث مُكثف حول الأشخاص أو خلفيتهم أو الأشخاص الذين يتفاعلون معهم بشكل روتيني حتى يتمكن من صياغة رسالة شخصية أكثر. ونظرًا لأن المُستخدمين لا يشكون في كثير من الأحيان في وجود خطأ ما في الرسائل ذات الطابع الشخصي أكثر.
تحقق دائمًا من عنوان البريد الإلكتروني وتنسيق الخطاب مقارنةً بما تتلقاه عادةً من جهة الاتصال هذه. من الأفضل أيضًا الاتصال بالمُرسل والتحقق من كل شيء قبل تنزيل الملف المرفق أو النقر على الروابط حتى إذا بدا أنه من شخص تعرفه.
3. صيد الحيتان
هذا نوع آخر مُتطور ومُتقدم من التصيد الاحتيالي ، ويستهدف هذا النوع فقط مجموعة مُحددة من الأشخاص — مدراء أعمال رفيعو المستوى مثل المديرين أو الرؤساء التنفيذيين.
في بعض الأحيان قد يتم التعامل مع المُستهدف مباشرةً في نص التحية ويُمكن أن تكون الرسالة في شكل أمر استدعاء أو شكوى قانونية أو شيء يتطلب إجراءً عاجلاً لتجنب الإفلاس أو الفصل أو الرسوم القانونية.
يقضي المُهاجم الكثير من الوقت في إجراء بحث مُكثف حول الشخص وصياغة رسالة مُتخصصة لاستهداف الأشخاص الرئيسيين في المنظمة الذين عادة ما يكون لديهم إمكانية الوصول إلى الأموال أو المعلومات الحساسة.
سيتم إرسال روابط إلى المستهدف واستخدام صفحة تسجيل دخول مُقنعة أين سيتم جمع رموز الوصول أو تفاصيل الإعتماد بواسطة المُتسلل. قد يطلب بعض مجرمي الإنترنت أيضًا من الضحايا تنزيل مرفق لعرض بقية مذكرة الاستدعاء أو الخطاب المفترض. تأتي هذه المرفقات مع برامج ضارة يُمكنها الوصول إلى الكمبيوتر.
4. التصيد الصوتي
التصيد عبر الهاتف أو التصيد الصوتي هو نوع من التصيد الاحتيالي ولكن بدلاً من إرسال بريد إلكتروني ، سيُحاول المهاجم الحصول على معلومات تسجيل الدخول أو التفاصيل المصرفية عبر الهاتف.
سيقوم المُهاجم بانتحال شخصية موظف من منظمة أو دعم فني من شركة خدمات ثم يؤثر على المشاعر ليطلب من الضحية تسليم تفاصيل الحساب البنكي أو بطاقة الائتمان.
قد تكون المكالمة في بعض الأحيان حول مبلغ متأخر مثل الضرائب ، أو أرباح المسابقة ، أو تكون من موظف دعم تقني مزيف يطلب الوصول عن بُعد إلى جهاز الكمبيوتر. قد يستخدم أيضًا رسالة صوتية مسجلة مسبقًا وانتحال رقم الهاتف ، مما يجعل المكالمة الخارجية تبدو كما لو كانت محلية. يتم ذلك لإضفاء المصداقية على الهجوم ولجعل الضحايا يعتقدون أن المكالمة شرعية.
ينصح الخبراء الأشخاص بعدم إعطاء معلومات حساسة أبدًا ، مثل تفاصيل تسجيل الدخول أو أرقام الضمان الاجتماعي أو تفاصيل البنك وبطاقة الائتمان عبر الهاتف. يجب إنهاء المكالمة والاتصال بالبنك أو مُزوّد الخدمة على الفور بدلاً من ذلك.
5. التصيد عبر الرسائل القصيرة
التصيد عبر الرسائل القصيرة هو أي شكل من أشكال التصيد الاحتيالي الذي يتضمن استخدام الرسائل النصية أو الرسائل النصية القصيرة. سيحاول المُحتال استدراجك للنقر فوق ارتباط تم إرساله عبر رسالة يقودك إلى موقع مزيف. سيُطلب منك كتابة معلومات حساسة مثل تفاصيل بطاقة الائتمان الخاصة بك. سيقوم المتسلل بعد ذلك بجمع هذه المعلومات من موقع الويب.
قد يُخبرك أحيانًا أنك فزت بجائزة أو أنك إذا لم تكتب معلوماتك ، فستستمر في تحصيل رسوم كل ساعة مقابل خدمة مُعينة. كقاعدة عامة ، يجب أن تتجنب الرد على الرسائل النصية القصيرة من أرقام لا تعرفها. أيضًا ، تجنب النقر فوق الروابط التي تحصل عليها في الرسائل النصية خاصةً إذا كنت لا تعرف المصدر.
6. التصيد بالصنارة
يستخدم أسلوب التصيد الجديد نسبيًا شبكات التواصل الاجتماعي لجذب الأشخاص إلى مشاركة المعلومات الحساسة. يُراقب المحتال الأشخاص الذين ينشرون المشاكل التي يُعانون منها مع الخدمات المصرفية وغيرها من الخدمات على شبكات التواصل الاجتماعي. ثم يتظاهر بأنهم مُمثل خدمة العملاء من تلك الشركة.
لنفترض أنك نشرت كلامًا صاخبًا حول إيداع متأخر أو بعض الخدمات المصرفية السيئة وأنَّ المنشور يتضمن اسم البنك الذي تتعامل معه. سيستخدم مُجرم الإنترنت هذه المعلومات للتظاهر بأنه من البنك ثم يتواصل معك.
سيُطلب منك بعد ذلك النقر فوق ارتباط حتى تتمكن من التحدث إلى ممثل خدمة العملاء ثم سيُطلب منك بعض المعلومات “للتحقق من هويتك”.
عندما تتلقى رسالة مثل هذه ، فمن الأفضل دائمًا الاتصال بخدمة العملاء من خلال قنوات آمنة مثل صفحات Twitter أو Instagram الرسمية. هذه عادة ما يكون لها علامة حساب تم التحقق منه.
7. CEO Fraud
هذا النوع تقريبا مثل صيد الحيتان. إنه يستهدف الرؤساء التنفيذيين والمديرين ولكنه يُصبح أكثر خداعًا لأنَّ الهدف ليس فقط الحصول على معلومات من الرئيس التنفيذي ، ولكن انتحال شخصيته. سيقوم المهاجم ، الذي يتظاهر بأنه الرئيس التنفيذي أو ما شابه ، بإرسال بريد إلكتروني إلى زملائه يطلب الأموال من خلال التحويل المصرفي أو يطلب إرسال معلومات سرية على الفور.
عادةً ما يستهدف الهجوم شخصًا داخل الشركة مخولًا بإجراء التحويلات البنكية ، مثل مسؤول الميزانية ، أو الأشخاص من الإدارة المالية ، أو كل من لديه معلومات حساسة. غالبًا ما يكون الهدف من الرسالة أن تبدو عاجلة للغاية ، لذلك لن يكون لدى الضحية وقت للتفكير.
8. التصيد عبر محرك البحث
يُعد هذا أحد أحدث أنواع هجمات التصيد الاحتيالي التي تستخدم محركات بحث شرعية. سيقوم المحتال بإنشاء موقع ويب مُزيف يقدم صفقات وعناصر مجانية وخصومات على المنتجات وحتى عروض عمل مزيفة. سيستخدم بعد ذلك تقنيات SEO (تحسين محرك البحث) لفهرسة موقعه على الويب بواسطة محركات البحث الشرعية.
لذلك عندما تبحث عن شيء ما ، سيعرض لك محرك البحث نتائج تتضمن هذه المواقع المزيفة. سيتم خداعك بعد ذلك لتسجيل الدخول أو تقديم معلومات حساسة يتم جمعها بعد ذلك بواسطة مُجرمي الإنترنت.
أصبح بعض هؤلاء المُخادعين ماهرين في استخدام التقنيات المتقدمة للتلاعب بمحركات البحث لتوجيه الزيارات إلى مواقعهم على الويب.
ابق على اطلاع وكن يقظًا
إنَّ معرفة أسماء كل نوع ليس بنفس أهمية فهم أسلوب الهجوم ووضعه وقناة كل هجوم. لست مضطرًا إلى أن تُشوس على نفسك بما يُطلق عليها جميعًا ، ولكن من المهم معرفة كيفية صياغة الرسائل والقنوات التي يستخدمها المهاجمون للوصول إليك.
من المُهم أيضًا أن تظل دائمًا مُتيقظًا ، وأن تعلم أن هناك الكثير من الأشخاص بالخارج يُحاولون خداعك لتقديم تفاصيلك الحساسة. افهم أنَّ شركتك قد تُصبح هدفًا للهجوم وأنَّ المجرمين يبحثون عن طريقة للدخول إليها.
إن معرفة وجود مثل هذه التهديدات هو الخطوة الأولى نحو منع جهاز الكمبيوتر الخاص بك من أن يُصبح نقطة دخول للمهاجمين. من المهم أيضًا إعادة التحقق من مصدر الرسالة قبل اتخاذ إجراء.
يجب أن تفهم أيضًا أنَّ المهاجمين يستخدمون أحيانًا خوف المُستخدمين وذعرهم لحملهم على فعل ما يُريدون. لذلك عندما تُواجه تهديدًا ، من المهم أن تهدأ حتى تتمكن من التفكير. وعندما يتعلق الأمر باكتشاف عمليات الاحتيال والهدايا الترويجية ، فإن القول المأثور القديم لا يزال ساريًا: إذا كان هناك شيء يبدو جيدًا بدرجة يصعب تصديقها ، فمن المحتمل أن يكون كذلك.
