وفقًا لتقرير حديث يمكن إرجاع 90٪ من جميع خروقات البيانات إلى هجمات التصيد الاحتيالي. على الرغم من شيوعها وانتشارها إلا أن القليل من الشركات تعرف كيفية حماية نفسها بشكل فعال من هذه الجرائم الإلكترونية المدمرة.
حتى تفهم أكثر أنصحك بالإطلاع عن مقالنا عن الأمن السيبراني أولا.
نظرًا لأن متوسط تكلفة هجوم تصيد ناجح يكلف الآن شركة متوسطة الحجم 1.6 مليون دولار، فمن الضروري أن تعرف كيفية تحديد عملية احتيال التصيد الاحتيالي وتثقيف موظفيك حول المخاطر التي يشكلونها.
ما هو التصيد الاحتيالي phishing scam؟
التصيد الاحتيالي هو نوع من الجرائم الإلكترونية حيث يتم الاتصال بالفرد من قبل شخص يتبنى مظهر مؤسسة أو منظمة أو فرد محترم من أجل إغراء الهدف بتقديم معلومات سرية – بما في ذلك كلمات المرور والتفاصيل المصرفية ومعلومات التعريف الشخصية – إلى قراصنة.
سيتم بعد ذلك استخدام هذه المعلومات للوصول إلى حسابات الهدف، مما يؤدي غالبًا إلى خسارة مالية كبيرة.
عند استهداف الشركات يمكن أن تؤدي عمليات التصيد الاحتيالي أيضًا إلى فقدان معلومات الشركة الحساسة، مثل أرقام الإيرادات.
يتم تنفيذ عمليات الخداع عادةً عبر البريد الإلكتروني فقط.
ومع ذلك في السنوات الأخيرة كان هناك ارتفاع كبير في عدد عمليات الخداع التي يتم تنفيذها عبر الرسائل النصية (الرسائل النصية القصيرة) والمكالمات الهاتفية (التصيد).
بالإضافة إلى ذلك فإن حدوث التصيد المستهدف – هجمات التصيد الشخصية التي تستهدف عمداً هدفًا محددًا – قد ارتفع بشكل كبير.
بدءًا من الرسائل التي يُزعم أنها من البنك الذي تتعامل معه والتي تطلب منك تحديث معلومات حسابك، إلى تلك الرسائل التي يُفترض أنها من صاحب العمل والتي تطلب منك توقيع مستند مهم، فإن المطالبات المستخدمة في هجمات التصيد الاحتيالي متنوعة وغالبًا ما يصعب تحديدها.
خدع التصيد الاحتيالي وبرامج الفدية
بالإضافة إلى الحصول على معلومات سرية لا تقدر بثمن من الهدف، يمكن أيضًا استخدام عمليات التصيد الاحتيالي لنقل برامج الفدية إلى جهازك.
برامج الفدية هي شكل محدد من البرامج الضارة التي تقوم بتشفير بياناتك، مما يعني أنه لم يعد بإمكانك الوصول إلى ملفاتك ومعلوماتك.
سيطالب مجرمو الإنترنت بعد ذلك بدفع “فدية” مقابل فك تشفير هذه الملفات، على الرغم من عدم التوصية بالتأكيد بدفع الفدية.
غالبًا ما تنتشر برامج الفدية عن طريق المرفقات الموجودة في رسائل البريد الإلكتروني الاحتيالية.
بمجرد فتح هذه الملفات ستبدأ بعد ذلك في تنزيل برنامج الفدية مباشرة على الجهاز. نظرًا لارتفاع المخاطر المرتبطة بعمليات التصيد الاحتيالي، فمن الضروري أن تعرف كيفية تحديد عملية الخداع التي تقوم بالتصيد.
أربع خطوات لتحديد البريد الإلكتروني المخادع phishing email
1. الأخطاء الإملائية والنحوية
من أسهل الطرق لمعرفة ما إذا كانت الرسالة التي تلقيتها شرعية هي قراءتها عن كثب. إذا تلقيت بريدًا إلكترونيًا من البنك الذي تتعامل معه يطلب منك تحديث التفاصيل الشخصية، فمن غير المرجح أن تحتوي على أخطاء إملائية ونحوية.
من الجدير بالذكر أنه على الرغم من أن المتسللين قد يكونون قد تبنوا اسم العرض الخاص بالشخص أو المنظمة الأصلية، إلا أن ذلك لا يضمن أنه من جانبهم.
من خلال اعتماد نطاقات فرعية معقدة، يمكن للمرسل في كثير من الأحيان إخفاء نفسه بحيث يبدو أنه شخص ليس كذلك.
وبالمثل، إذا تلقيت بريدًا إلكترونيًا يفترض أنه من زميل في وقت غير معتاد يحتوي على هجاء رديء بشكل غير عادي، فكن حذرًا وتحقق أولاً من المرسل قبل النقر فوق أي روابط موجودة في البريد الإلكتروني.
2. الشعور غير المبرر بالإلحاح
سيحاول المتسللون غالبًا استخدام الشعور بالإلحاح لجعلك تفوتك العلامات الأكثر وضوحًا التي تدل على أنها مزيفة. هناك طريقة شائعة بشكل خاص للقيام بذلك وهي اقتراح أن حسابك قد تم اختراقه ويجب إعادة تعيينه.
طريقة أخرى شائعة لخلق شعور بالإلحاح هي من خلال الوعد بعروض ترويجية أو جوائز أو مكافآت محددة زمنيًا.
من خلال القيام بذلك، فإنهم يعتزمون إغرائك بتقديم المعلومات دون التحقق بشكل صحيح من الروابط والمرفقات والملفات الموجودة في البريد الإلكتروني أو النص.
3. رسائل التهديد
طريقة شائعة أخرى يحاول مجرمو الإنترنت دفعك للتخلي عن معلوماتك الشخصية أو تنزيل مرفقات ضارة وهي التهديد المباشر لك.
تتضمن عملية احتيال الابتزاز الجنسي الشائعة أحد المتسللين الذين يفيدون بأنهم قد سجلوا مشاهدتك لمواد إباحية عبر الإنترنت وسيقومون بإرسالها إلى جهات الاتصال الخاصة بك إذا لم يتم الدفع لهم مباشرة.
في أحد أشكال عملية الاحتيال هذه يرفق المتسللون ملفًا يدعون أنه دليل على الفيديو.
بمجرد تنزيل هذا الملف، فإنه ينقل برنامج الفدية إلى جهاز الكمبيوتر الخاص بك، ويغلق جميع بياناتك – على الرغم من عدم وجود أي مقاطع فيديو تدينهم على الإطلاق.
4. مرفقات غريبة
إذا تلقيت يومًا بريدًا إلكترونيًا من شخص لا تعرفه، فلا تفتح أي مرفقات واردة فيه.
يصبح هذا أكثر وضوحًا إذا كان الملف المرفق له اسم غير عادي.
هذا هو نفسه إذا كانت الرسالة تحتوي على عنوان URL. تأكد من تحريك الماوس فوق عنوان URL وتأكد من أنه يؤدي في الواقع إلى الصفحة الصحيحة. من المهم أيضًا التأكد من أن عنوان URL يحتوي على شهادة SSL ويبدأ بـ HTTPS.
كيفية الحماية من عمليات التصيد الاحتيالي
على الرغم من أن الرسائل التي يرسلها مجرمو الإنترنت غالبًا ما تتخلى عن نواياهم الحقيقية، إلا أن بعضها قد يكون مصمّمًا بشكل جيد لدرجة أن مجرد البحث عن العلامات المذكورة أعلاه قد لا يكون كافيًا.
لحسن الحظ، هناك العديد من الخيارات التي يمكن أن تساعدك في تعزيز فرصك في البقاء محميًا من عمليات التصيد الاحتيالي.
1. فلترات البريد الإلكتروني
لن يضمن استخدام عامل تصفية البريد الإلكتروني وحده عدم تلقي أي رسائل بريد إلكتروني ضارة، ولكنه يساعد بالتأكيد.
يمتلك بعض موفري خدمة البريد الإلكتروني عوامل تصفية أكثر فعالية للبريد العشوائي والبريد غير الهام، لذلك يجدر البحث قبل اختيار خدمة البريد الإلكتروني التي تريد استخدامها.
إذا كنت مهتمًا بشكل خاص بمخاطر رسائل البريد الإلكتروني المخادعة، فيمكنك تعطيل جميع الارتباطات التشعبية في إعدادات البريد الإلكتروني.
على الرغم من أن هذا سيمنع الرسائل من دمج أي روابط خطيرة، إلا أنه يعني أيضًا أنك لن تتمكن من تلقي روابط من مرسلين شرعيين.
2. برامج مكافحة الفيروسات
إن امتلاك برنامج مكافحة فيروسات محدث ليس مهمًا فقط لحماية عملك من هجمات التصيد الاحتيالي، بل سيساعد في الحماية من جميع أنواع التهديدات الخطيرة.
تأتي بعض برامج مكافحة الفيروسات مزودة بإمكانيات مكافحة التصيد الاحتيالي والتي ستفحص مرفقات رسائل البريد الإلكتروني للتحقق مما إذا كانت خطيرة أم لا.
تأكد من قيامك بفحص جهازك بانتظام أيضًا، حيث يمكن أن تمر العديد من عمليات التصيد الاحتيالي دون أن يلاحظها أحد دون فحص جهازك بانتظام.
3. الشبكات الافتراضية الخاصة
تعد الشبكة الافتراضية الخاصة (VPN) جزءًا مهمًا من البرامج للحفاظ على الأمان أثناء الاتصال بالإنترنت، خاصةً إذا كنت تستخدم اتصالات WiFi العامة للوصول إلى المعلومات الحساسة.
تشكل شبكات WiFi العامة مجموعة كاملة من التهديدات ومن الأفضل تجنبها ما لم يكن لديك شبكة افتراضية خاصة فعالة، مثل CyberGhost أو Hotspot Shield يمكنها تشفير بياناتك أثناء الاتصال بالإنترنت.
لا تقم أبدًا بتسجيل الدخول إلى حسابك المصرفي أو الوصول إلى معلومات الشركة الحساسة أثناء الاتصال بشبكة غير آمنة.
لا يؤدي القيام بذلك إلى تعريضك لخطر هجمات التصيد الاحتيالي فحسب، بل يعرضك أيضًا لهجمات الوسيط والممارسات الضارة الأخرى.
4. تثقيف موظفيك
يمكن القول أن تثقيف موظفيك هو أهم خطوة في العملية برمتها. على الرغم من أنك قد تتعرف على علامات البريد الإلكتروني الاحتيالي، إذا لم يتعرف زملاؤك على ذلك، فإن شبكتك في خطر.
من الطرق الجيدة للتأكد من أن جميع القوى العاملة لديك على دراية بالمخاطر ومعرفة كيفية التعرف على خدعة التصيد الاحتيالي هي من خلال إجراء اختبارات محاكاة التصيد الاحتيالي. يتيح لك القيام بذلك أن تكون واثقًا من أن كل شخص في مكتبك يدرك المخاطر.
في النهاية، يعد الخطأ البشري أكبر خطر يهدد سلامة بيانات شركتك، وبدون تدريب كافٍ، فمن المرجح أن تظل شركتك واحدة من آلاف الشركات التي تقع ضحية لعمليات التصيد الاحتيالي كل عام.
