أمن و حماية البيانات

Phishing التصيد الإلكتروني

ما هو التصيد الإلكتروني ؟

التصيد الإلكتروني هو شكل من أشكال الإحتيال الإلكتروني على الآخرين للحصول على بعض المعلومات السرية ‏الخاصة بالضحايا، كـإسم المستخدم، أو كلمة المرور، أو البيانات الخاصة ببطاقة الإئتمان المالية أو الحصول على ‏المال بطريقة غير مباشرة.‏

تمت تسميته بالتصيد الإلكتروني لاستعانة المخترق بطعم للإيقاع بضحيته، ناهيك على أن التصيد الاحتيالي بمفهومه ‏العام لا يُوّجه لفئة معينة إنما لكافة الناس، فيكون بذلك شبيهاً لتصرف الصياد الذي يلقي طعمه وليس له علم مسبق ‏بماهية السمكة التي سيلتقطها طعمه.‏

تتم عملية التصيد بإرسال رسالة إلكترونية للضحية، إمّا عن طريق البريد الإلكتروني، أو باستخدام تقنية الرسائل ‏الفورية الإلكترونية،‏ سواء أكانت تطبق بروتوكول ” ‏Peer – Peer‏”، أو بروتوكول “‏Client – Server‏”، بحيث يقوم المخترق بالتنكر في هذه الرسالة لتبدو رسالته مرسلة من قبل منظمة ‏موثوقة أو بانتحاله لشخصية أحد أصدقاء الضحية، ولوثوق الضحية بهذه المنظمة أو هذا الصديق فإنه يستجيب ‏لمحتوى الرسالة !‏

PhishingTrustedBank
PhishingTrustedBank

إما أن تحتوي الرسالة على مرفق أو رابط خبيث يقوم بتحميل برامج خبيثة (‏Malwares‏) على جهاز الضحية، أو أن ‏يقود الضحية لموقع إلكتروني خبيث يتم عبره الإحتيال على الضحية بأن يطلب منه إدخال بعض البيانات، فيقوم الموقع ‏بدوره بتجميعها و تحليلها كي يستخرج منها المعلومات السرية كـــكلمات المرور الخاصة بمواقع معينة، أو معلومات ‏البطاقة الإئتمانية، .. إلخ.

يصنف التصيد على أنه شكل من أشكال الهندسة الإجتماعية، إذ أن الخطوة الأساسية لنجاح العملية هي إقناع الضحية ‏بالنقر على الرابط المضمن في نص الرسالة، أو فتح المرفق و ذلك كله يتم بأسلوب يُشعِر الضحية بالأمان.‏
كذلك فإن المخترق ليس في صدد دراسة عميقة لعملية إخترق أنظمة حماية جهاز الضحية والبحث في ثغراته، فهو لا ‏يحتاج سوى اقناع الضحية بالنقر على الرابط فيتم تحميل البرامج الخبيثة التي ستقوم بعملية الاختراق بسهولة، لأنه ‏بعملية نقر الضحية على الرابط، سيعطي بذلك صلاحياته ‏للبرنامج (باعتبار أن الضحية هو المسؤول عن الجهاز “Admin”).

ينتشر هذا النوع من الإختراقات أثناء المناسبات، ذلك أن الجميع يحتفلون بإرسال بطاقات التهنئة عبر البريد ‏الإلكتروني والرسائل الفورية أو حتى الرسائل عبر الهاتف، فيشكلون بذلك الظروف المثالية للمخترقين بنشر رسائلهم ‏للعامة بأغراض التهنئة والقرصنة ” الإختراق”.

تتم عملية إقناع الضحية بعدة أساليب، فيجب على المخترق أن يتمتع بذكاء اجتماعي ليقوم بتزوير المظهر العام للرسالة ‏الإلكترونية لتبدو وكأنها مرسلة من جهة موثوقة كشركة مشهورة مثلاً، وذلك بإدراج شعار الشكرة و بعض البيانات ‏الخاصة بالتواصل معها ضمن رسالة إلكترونية، حيث بإمكان المخترقين الحصول على هذه البيانات من موقع ‏الشركة الرسمي. أما عن الروابط الإلكترونية، فإن المخترق يقوم بتزوير الرابط بطريقة غير ملحوظة أو تزوير ‏المظهر الخارجي له كما سيوضح لاحقاً.‏

ما هي أنواع التصيد الإلكتروني ؟

تصنف هجمات التصيد الإلكتروني بناءاً على الفئة المستهدفة والتقنية المستخدمة كــالتــالي :‏

‏1. التصيد بالرمح Spear Phishing‏ :‏

Spear-Phishing
Spear-Phishing

عوضاً عن إرسال رسالة الكترونية خبيثة لآلاف الضحايا، يقوم المخترق هنا باستهداف أفراد أو شركات معينة ومن ‏هنا جاءت التسمية “التصيد بالرمح”. إذ أن الهدف هو شخص أو جهة محددة، وهذا الأمر يتطلب من المخترقين بذل ‏جهد إضافي في عملية جمع المعلومات عن الشخص أو الجهة المستهدفة، ليُثري ذلك محتوى رسالتهم فتزداد نسبة ‏نجاحهم. وهذه التقنية أثبتت نجاحاً واسعاً على شبكة الإنترنت بما يمثل 91% من الهجمات.‏

2. التصيد بالإستنساخ ‏Clone Phishing‏ :‏

clone-phishing-attacks-explained
clone-phishing-attacks-explained

عند حصول المخترق على نسخة أصلية لرسالة إلكترونية ولديه علم بأنها مرسلة لمستخدم آخر، عندها سيقوم ‏بانتحال شخصية المرسل الأصلي وإرسال الرسالة عينها للمستخدمين بعد إرسالها لهم من قبل المرسل الأصلي بادعاء ‏أن هناك تعديلاً قد طرأ على محتوى الرسالة أو أن هناك إجراء يجب استكماله بالنقر على رابط، أو بتحميل ملف ‏مرفق (حيث أن المخترق قام بالتعديل على الرابط أو المرفق ليتناسب وأهداف إختراقه).‏
‏ ‏

3. تصيد الحيتان  ‏Whaling‏ :‏


هنا يتم استهداف كبار المسؤولين، أو المدراء التنفيذيين، أو الشخصيات التي تلعب دوراً هاماً في كيان الشركات أو ‏الجهات السيادية في الدول، حيث يتم إستدراجهم نحو موقع خبيث بواجهة رسومية ذات طابع تنفيذي بمستوى متقدم.‏ ‏أما عن محتوى الرسالة الذي قادهم للموقع، فإما أن يكون استدعاء قانونـي، شكوى العملاء، أو قضية تنفيذية، .. إلخ.‏

4. التصيد بتعديل الرابط الإلكتروني   ‏Link Manipulation :‏

linkmani
linkmani

يجب على المخترق استخدام أساليب الخداع الفني في التصميم، فيقوم بالتعديل على الرابط الإلكتروني الخبيث ليبدو ‏كالرابط الأصلي لموقع موثوق، وأدناه مثال على عملية تعديل الرابط:‏
بإمكان المخترق إستبدال الحرف ‏O‏ بالرقم 0 في الرابط ‏WWW.GOOGLE.COM‏ لتبدو ‏WWW.GO0GLE.COM‏ ‏فيصعب على المستخدم ملاحظة الفرق. هنا يقوم الرابط الخبيث بإرسال الضحية لموقع خبيث ذو واجهة رسومية ‏مطابقة لموقع ‏Google‏.‏
تكمن شدة خطورة هذه الطريقة بتزوير الرابط الخاص بالبنك وإرسالك لموقع خبيث بواجهة رسومية مطابقة و بعد ‏ذلك يقوم الضحية بإدخال بياناته الخاصة من كلمة المرور و اسم المستخدم ! كما في المثال أدناه :‏
في هذا الرابط: ‏www.bank of arnerica.com‏ تم استبدال حرف ‏m‏ بكل من الـ ‏r,n‏ و بذلك يتم خداع المستخدم ‏بصرياً ظاناً ان الحرف هو ‏m‏.‏
أو أن يقوم المخترق بادراج رابط خفي خبيث وراء رابط آخر موثوق, باستخدام خيار (إدراج رابط) :‏
مثل https://www.google.com‏، هنا نلاحظ بوضوح موثوقية الموقع الذي سيقودنا إليه الرابطن ولكن بمجرد اسقاط ‏الفأرة عليه نرى اسم النطاق الفعلي الذي سيرسلنا إليه يختلف عن ما هو موضح في الرابط.‏

5. التصيد بتزوير الموقع الإلكتروني  Website forgery‏ :‏


بعد زيارة الضحية للموقع الخبيث، فإن عملية الخداع و التزوير لم تنته بعد، فبعض عمليات التزوير تتم باستخدام أوامر ‏Java script‏ لتغيير شريط العناوين، و يتم ذلك بوضع صورة للعنوان الأصلي على عنوان الموقع الخبيث فيظن ‏الضحية بذلك أنه في المكان السليم، أو بإغلاق الشريط الأصلي و فتح شريط جديد بالعنوان الموثوق.‏
ويمكن للمخترق الإستعانة بثغرات المواقع و استخدامه للــ ‏”XSS _ cross site scripting‏” للإيقاع بالضحية، إذ أن ‏الرابط الخبيث سيقوم فعلياً بإرسال المستخدم للموقع الموثوق فيظن أن الامور الأمنية متحققة والعنوان الظاهر في ‏شريط العناوين هو عينه العنوان للموقع الأصلي، إلاّ أن المخترق قد لجأ لاستخدام ثغرة في الموقع من نوع ‏XSS‏ و‏بذلك يستطيع الحصول على البيانات التي سيدخلها الضحية للموقع، وتم استغلال هذه الثغرة مع موقع ‏PayPal‏ ‏الشهير عام 2006.‏
‏ ‏

6. التصيد بالمكالمات و الرسائل عبر الهاتف  phone phishing :‏

Conceptual illustration of online fraud, cyber crime, data hacking. A woman on the phone screen and the scammer stealing a bank card. Flat vector illustration

التصيد الاحتيالي لا يقتصر على استخدام المواقع الخبيثة، إذ أن المخترقين يقومون بإرسال الرسائل عبر شبكات ‏الاتصال لهواتف المستخدمين بداعي إرسال بياناتهم لاستكمال إجراءات معينة أو لحاجة البنك لتثبيت بعض البيانات، ‏ويلجأون في بعض الأحيان لمكالمتهم هاتفياً لاستدراجهم بالهندسة الاجتماعية لإرسال بياناتهم الخاصة بحساباتهم ‏البنكية.

كيفية يتم كشف التصيد ؟

 كيفية التعرف على رسائل البريد الإلكتروني الخاصة بالتصيد، أو الروابط الخبيثة، أو المكالمات الهاتفية بقصد ‏التصيد ؟

قد يخطئ المخترقون بترك بعض البصمات الدالة عليهم، ومنها :‏

 الروابط الالكترونية : في حال وصول رابط إلكتروني مضمن في نص الرسالة، يجب التحقق من موثوقية الرابط و‏عدم النقر عليه مباشرةً، يجب على المستخدم تمرير مؤشر الفأرة على الرابط و رؤية المحتوى المضمن داخل الرابط، فان لم يكن المحتوى هو ذاته اسم الرابط فيجب الحذر منه وعدم النقر عليه. ‏

‏التهديد في الرسائل : عادةً ما يتضمن نص الرسالة التصيدية على تهديد للضحية بأهمية الإستجابة لمحتوى الرسالة و ‏إلاّ سيتم تعطيل حساب المستخدم المالي على سبيل المثال، وشدة الإلحاح بالإستجابة للبريد بأقصى سرعة ممكنة وإلاّ ‏فإنه سيتم تعطيل الحساب أو ما شابه.

مكالمات هاتفية من الشركات العالمية : ليس من الاعتيادي للشركات العالمية إجراء مكالمات هاتفية لعملائها لتوفير ‏خدمة أو منتج ! لذلك يجب الحذر من هذه المكالمات وعدم تصريح أي معلومة كإسم المستخدم وكلمة المرور عبر ‏الهاتف. وعادةً ما يتم الحصول على رقم هاتف الضحية بظهور رسالة فور دخول الضحية لموقع إلكتروني خبيث ‏طالباً من الضحية إدخال رقم الهاتف لتوفير خدمة معينة كإصلاح الجهاز أو توفير رخصة برنامج ما.‏

زر الذهاب إلى الأعلى