كيف تصبح فريسة للتصيد الاحتيالي
عندما نفكر في احتمال تعرضنا للاختراق، نظن عادة أن المخترقين خبراء في البرمجة وأنظمة المعلومات بوسعهم العثور على الثغرات في الأكواد البرمجية للوصول إلى بياناتنا. لكن الأمر غالبا ما يكون في الواقع أسهل من ذلك بكثير، ﻷن هناك طرقا أسهل للوصول إلى بيانات المستخدم الحساسة. طرق تعتمد على استغلال نقاط ضعف البشر عوضا عن استغلال نقاط ضعف البرمجيات والأنظمة، فيخدع المهاجم ضحاياه ويلقي الطعم لاستدراجهم حتى يفصحوا عن البيانات الحساسة التي يريد المهاجم الوصول إليها، مثل كلمات السر، أو بيانات الحسابات البنكية، أو أي تفاصيل أخرى. يعرف هذا النوع من الاحتيال باسم التصيد الاحتيالي (phishing)، ويحدث كثيرا جدا عبر رسائل البريد الإلكتروني، والرسائل النصية، وحتى المكالمات أحيانا. تتميز رسائل التصيد الاحتيالي باستغلال مشاعر ورغبات الضحية، فيخيف بعض المهاجمين الضحايا بإرسال بريد الإلكتروني يدّعون فيه أن الضحية يحتاج إلى تغيير كلمة السر حالا، مع رابط لتغيير كلمة السر يقود في الحقيقة إلى موقع مزيف يطلب من الضحية كلمة سره ويرسلها إلى المهاجم. أو استغلال طمع بعض الضحايا عبر ادعاء رغبتهم في تحويل المال إليهم، ثم طلب بيانات الحساب البنكي. أو إثارة فضول بعض الضحايا وإرسال رسائل بها روابط لتتبع طرد مزعوم سيصل إليهم مثلا. ويبتكر المهاجمون أساليب جديدة كل يوم لدفع الضحايا إلى الإفصاح عن بياناتهم.
لا تبتلع الطعم
يجب دوما التأني قبل الضغط على أي روابط أو إرسال أي بيانات، وتلك بعض النصائح عند التحقق من رسائل البريد الإلكتروني:
التحقق من المرسل
أحيانا ما يحاول المهاجمون التظاهر بكونهم جهة معروفة للضحية، فمثلا قد يتظاهر مهاجم بأنه يمثل فيسبوك، وقد يمكن كشفه عبر التحقق من البريد الإلكتروني جيدا للتأكد من أنه مسجل على نطاق يتبع فيسبوك أو شركة ميتا بالفعل، فإذا كان عنوان البريد الإلكتروني الذي أرسل الرسالة ينتهي بنطاق مثل facebook.com أو meta.com فإن الراسل لديه بالفعل بريد إلكتروني تابع لشركة ميتا، أما عند ملاحظة اختلاف بسيط حتى في حرف واحد فهذه على الأغلب رسالة تصيد احتيالي.
التحقق من المحتوى
عادة ما نلاحظ أخطاء في رسائل التصيد الاحتيالي، والتي قد تكون أخطاء إملائية أو أخطاء في تنسيق الرسالة أو أخطاء في المعلومات الواردة بها أو حتى أخطاء منطقية، والحذر والتشكك مفيد فائدة كبيرة في هذه الحالة، فقبل الضغط على أي رابط يمكن تمرير الفأرة عليه وملاحظة المسار الذي يقود إليه والتأكد من سلامة ذلك المسار، إما عبر ثقتنا الشخصية بأن هذا هو الرابط الذي أتوقع الوصول إليه، أو عبر نسخه ولصقه في أداة تساعد على فحص الروابط مثل VirusTotal. وعند ملاحظة أي أخطاء أو أشياء غير منطقية بخصوص الرسالة، يجب عدم الانسياق وراء محتواها أو الضغط على أي روابط فيها. وإذا كانت الرسالة تحتوي على ملفات يمكن لموقع البريد الإلكتروني استعراضها عوضا عن تحميلها إلى الجهاز فيُفضل فتحها من خلال الموقع وتجنب تحميلها ما لم نكن بحاجة لذلك (يوفر موقع Gmail مثلا إمكانية تصفح عدة أنواع من الملفات الواردة في رسائل البريد الإلكتروني على الموقع دون تحميلها).
عدم الانجراف وراء المشاعر
كما أوضحنا سابقا، تعتمد معظم طرق التصيد الاحتيالي على إثارة مشاعر الضحايا سواء أكانت مشاعر القلق أو التعاطف أو الطمع أو غيرها. فالتلاعب بالمشاعر من أسهل الطرق لحمل الأشخاص على فتح روابط أو تحميل ملفات أو إرسال بيانات. وينطبق هذا على مواقع القرصنة التي تحتوي في معظم الحالات إما على إعلانات تصيد احتيالي تدعو المستخدم لتحميل الأفلام أو المسلسلات بينما تحمل بدلا عن ذلك برمجيات خبيثة، أو تعرض إعلانات تدعي أن المستخدم قد فاز بجائزة كبيرة ولا ينقصه سوى إدخال بعض البيانات لاستلامها، وللأسف لا تكون تلك الإعلانات والرسائل حقيقية، ولهذا يجب علينا الحذر عندما نجد أننا متلهفون لاتباع ما تطلبه منا الرسائل أو الإعلانات.
الاستشارة عند الشك
حتى إن لم نكن على ثقة بأن الرسالة التي استلمناها مزيفة، يجب علينا التأكد واستشارة من نعتقد أن لهم خبرة أكبر في تلك الأمور، ومن الطبيعي أن نجد في أنفسنا فضولًا أو تحمسًا للاستجابة إلى محتوى الرسالة أو الإعلان، لكن يجب علينا أيضا تذكر أن هذا الحماس هو ما يعتمد عليه المتصيدون في العادة، ولهذا فإن التأني والتأكد قبل الاستجابة قد يجنباننا الكثير من الأضرار التي قد تلحق بنا عند كشف معلومات حساسة أو تحميل برمجيات خبيثة عند الاستجابة إلى رسائل أو إعلانات التصيد الاحتيالي.
ماذا لو وقعت في الفخ؟ كيف أتصرف الآن؟
أول ما علينا فعله في هذه الحالة هو الهدوء لكي نتمكن من التفكير بشكل سليم وتجنب أكبر قدر من المخاطر. ثم نبدأ بتحديد البيانات المكشوفة عبر ملاحظة كل البيانات التي أفصحنا عنها للمتصيد أو سمحنا له بالوصول إليها، وذلك حتى نتمكن من تحديد الأشياء التي تحتاج إلى التأمين. فقد نجد أننا مثلا بحاجة إلى تأمين حساباتنا على مواقع معينة أو إبلاغ البنك بكشف معلومات البطاقة البنكية، ويكون تأمين الحسابات أولا عن طريق تغيير كلمات السر ثم وضع وسائل حماية إضافية مثل التحقق بخطوتين. وإذا وجدنا أن البيانات المكشوفة تتضمن بيانات أشخاص آخرين، يجب علينا إخبارهم حتى يتمكنوا من معرفة الأشياء التي ينبغي عليهم تأمينها بدورهم. وعند تحميل أي ملفات تم إرسالها في رسالة تصيد احتيالي يجب تجنب فتحها وحذفها على الفور، وفي كل الأحوال يجب تنصيب مضادات للفيروسات أو للبرمجيات الخبيثة وفحص الجهاز كل بضعة أيام.
لا عيب في الوقوع ضحية لخدع التصيد الاحتيالي فقد وقع فيها مسؤولون كبار في مناصب هامة من قبل، خصوصا وأن الكثير من تلك الخدع مصممة بمهارة. ما يهم هو أن تجعلك أكثر حرصا على سلامتك الرقمية. ومن المفيد أن نتحقق دوريًا من عدم وجود عناوين بريدنا الإلكتروني أو أرقام هواتفنا في قواعد البيانات المتاحة بسبب اختراقات سابقة للخدمات التي سبق وأن استخدمناها، عبر موقع مثل have I been pwned وتحديد البيانات المكشوفة في كل تسريب في خانة Compromised data وتغيير كلمات السر المرتبطة بها. ومن أهم الأشياء التي يمكننا القيام بها في مواجهة التصيد الاحتيالي هي نشر التوعية بشأنه للمساعدة في حماية أكبر عدد من الأشخاص من الوقوع ضحية لتلك الخدع.
روابط
- أداة للتحقق من خلو الروابط الإلكترونية أو احتوائها على برمجيات خبيثة (https://www.virustotal.com/gui/home/url)
- أداة نبحث فيها عن عناوين البريد الإلكتروني وأرقام الهواتف المكشوفة في قواعد بيانات الاختراقات المتاحة عبر الإنترنت (https://haveibeenpwned.com)
- اختبار للتمرين على قدرة المستخدم على التعرف على رسائل التصيد الاحتيالي عبر البريد الإلكتروني (https://phishingquiz.withgoogle.com/?hl=ar)