إن زيادة العمل عن بُعد والتسوق عبر الإنترنت وقيادة لجنة الاتصالات الفيدرالية غير الكفؤة تخلق عاصفة مثالية للمحتالين. أصبحت هجمات التصيد الاحتيالي أكثر شيوعًا من أي وقت مضى، وتؤدي بانتظام إلى الاحتيال وسرقة الهوية وانتهاكات بيانات الشركات. ولكن ما هو التصيد الاحتيالي وكيف يمكنك تجنبه؟
ما هو التصيد الاحتيالي؟
“التصيد الاحتيالي” هو مصطلح شامل لمجموعة متنوعة من الجرائم الإلكترونية. ولكن في أبسط صوره، فإن التصيد الاحتيالي (ينطق “صيد السمك”) عبارة عن عملية احتيال يتم فيها خداع الضحية لمشاركة معلومات حساسة أو تنزيل برامج الفدية.
تحدث أغلب مخططات التصيد الاحتيالي عبر البريد الإلكتروني أو الرسائل النصية القصيرة. وتميل هذه المخططات إلى اتباع صيغة بسيطة؛ حيث ينتحل المحتالون شخصية شخص جدير بالثقة، مثل أمازون أو قسم الشرطة أو صاحب العمل، ويخبرونك بمشكلة تتطلب اهتمامًا فوريًا. وعادةً ما لا يمكن “حل” هذه “المشكلة” إلا من خلال مشاركة تفاصيل بطاقة الائتمان أو فتح ملف ضار أو إدخال بيانات تسجيل الدخول الخاصة بك في موقع ويب مزيف.
من السهل اكتشاف أغلب هجمات التصيد الاحتيالي. فهي تدور حول مواضيع خادعة (مثل ضمانات السيارات) وتفشل في انتحال شخصية شخص يتمتع بسلطة. إذا تلقيت بريدًا إلكترونيًا من “أمازون” يحتوي على أخطاء مطبعية أو يأتي من عنوان Yahoo، فمن المحتمل أن تلاحظ أن هناك خطأ ما. (ومع ذلك، يقع الناس فريسة لهذه الهجمات “الواضحة” للتصيد الاحتيالي كل يوم، وهذا هو سبب شيوعها).
ولكن مخططات التصيد الاحتيالي قد تكون معقدة للغاية. فقد يتعرف المحتالون على تفاصيل حول عملك أو اشتراكاتك أو عائلتك أو موقعك قبل محاولة شن هجوم تصيد احتيالي. فإذا طلبت أحذية من موقع ويب تعرض للاختراق، على سبيل المثال، فقد يرسل إليك المحتال بريدًا إلكترونيًا يطلب منك التحقق من عملية الشراء باستخدام تفاصيل تسجيل الدخول الخاصة بك. وإذا كنت في سن التقاعد، فقد ينتحل المحتال شخصية أحد أفراد الأسرة الصغار ليتوسل إليك للحصول على أموال الكفالة.
لكي نكون واضحين، لا تستهدف مخططات التصيد الأفراد فقط. وفقًا لدراسة حديثة تقرير برووف بوينتفي عام 2020، وقع أكثر من 55% من الشركات ضحية لهجوم تصيد احتيالي. وانتهى الأمر بأكثر من نصف هذه الشركات ببرامج الفدية على أنظمتها. ولسوء الحظ، أدت العديد من هجمات التصيد الاحتيالي هذه إلى خرق البيانات، مما قد يعرض معلومات العملاء للمتسللين.
الحكومات أيضًا هدف ضخم لمخططات التصيد الاحتيالي. تحتفظ هيئة الاستخبارات والأمن الكندية بسجل حافل من عمليات التصيد الاحتيالي. قائمة طويلة من الهجمات الإلكترونية الناجحة ضد المنظمات الحكومية، وقد تم تمكين العديد من هذه الهجمات عن طريق التصيد الاحتيالي.
إن الأشخاص العاديين هم خط الدفاع الأول والوحيد ضد هجمات التصيد الاحتيالي. ولكن بيانات Proofpoint تظهر أن أكثر من نصف العاملين بدوام كامل لا يعرفون شيئًا عن التصيد الاحتيالي. ومن الواضح أن الشركات والحكومات لا تثقف الناس حول هذا الموضوع، ولهذا السبب من المهم جدًا أن تجلس وتتعلم بنفسك عن هذا الموضوع.
أكثر أشكال التصيد الاحتيالي شيوعًا
من أكثر الأمور المزعجة في التصيد الاحتيالي، على الأقل من وجهة نظرنا، أنه يأتي بأشكال وأحجام مختلفة. لا يكرر مجرمو الإنترنت نفس الخدعة كل يوم فحسب، بل إنهم يطورون باستمرار طرقًا جديدة لخداع ضحاياهم.
ومع ذلك، يتعين على المحتالين أن يبذلوا جهدًا متوازنًا عند التصيد الاحتيالي. فيمكنهم نشر شبكة واسعة من الاحتيال “الواضح” على أمل أن يبتلع شخص ما الطُعم، أو يمكنهم بذل الجهد لضرب هدف محدد.
وفيما يلي الأشكال الشائعة للتصيد الاحتيالي، والتي من شأنها أن توضح وجهة نظري:
- التصيد عبر البريد الإلكتروني:هذا هو الشكل الأكثر شيوعًا للتصيد الاحتيالي. ينتحل المحتال شخصية موقع ويب أو شخصية شهيرة، مثل أمازون أو سياسي، في محاولة لسرقة معلوماتك أو خداعك لتنزيل برامج الفدية. وقد ينشئ المحتالون أيضًا اسم نطاق مخصصًا لجعل عنوان بريدهم الإلكتروني يبدو “رسميًا”.
- التصيد بالرمح:يلجأ المحتالون الذين يريدون ضرب هدف محدد إلى “التصيد الاحتيالي”. حيث يجمعون معلومات عن ضحيتهم قبل انتحال شخصية شخص أو شركة أو رسالة آلية جديرة بالثقة.
- استنساخ التصيد الاحتيالي:يتم إرسال أغلب رسائل التصيد الاحتيالي إلى الضحايا بشكل عشوائي. ولكن في بعض الحالات، يرسل لك المحتال نسخة مكررة من رسالة بريد إلكتروني حقيقية. على سبيل المثال، إذا تلقيت تأكيدًا للطلب، فقد يرسل لك أحد المتسللين “تأكيدًا للطلب” مكررًا يحتوي على روابط أو مرفقات ضارة.
- التصيد الاحتيالي من خلال النوافذ المنبثقة:لا تزال النوافذ المنبثقة تشكل ناقلًا شائعًا للاحتيال والبرامج الضارة. عادةً ما تستغل هجمات التصيد الاحتيالي بالنوافذ المنبثقة الحديثة إعدادات الإشعارات في المتصفح لإرسال “تحذيرات مكافحة الفيروسات” إليك.
- التصيد الاحتيالي للصيادين:يسمح عالم وسائل التواصل الاجتماعي للمحتالين بـ”التصيد الاحتيالي” للضحايا. في الأساس، ينتحل المحتالون شخصية عامة أو شركة على وسائل التواصل الاجتماعي. قد ينتحل شخص ما شخصية أحد منشئي محتوى على YouTube لمشاركة روابط “السحوبات” الاحتيالية في تعليقات الفيديو، على سبيل المثال.
- صيد الحيتان:عندما يستهدف هجوم التصيد شخصًا مهمًا، مثل الرئيس التنفيذي، يُطلق على ذلك “التصيد بالحيتان”. غالبًا ما تكون هذه الأهداف ثرية أو سهلة الابتزاز أو لديها إمكانية الوصول إلى النظام الأساسي للشركة.
- التصيد الاحتيالي عبر الرسائل النصية القصيرة والتصيد الصوتي:تصف هذه المصطلحات التصيد الاحتيالي من خلال رسالة نصية قصيرة أو مكالمة هاتفية. معظم رسائل البريد العشوائي أو المكالمات الآلية التي تتلقاها هي أشكال من “التصيد الاحتيالي عبر الرسائل النصية القصيرة” أو “التصيد الصوتي”.
مرة أخرى، تتراوح هجمات التصيد الاحتيالي بين “محددة للغاية” و”واسعة النطاق للغاية”. وتميل الهجمات الأكثر تعقيدًا إلى استهداف شخص واحد، في حين تكون الهجمات الأكثر أساسية عشوائية بعض الشيء.
كيفية تجنب عمليات الاحتيال عبر التصيد الاحتيالي
بسبب زيادة العمل عن بعد، أصبحت عمليات التصيد الاحتيالي أكثر شيوعًا من أي وقت مضى. ونتوقع أن تظل مشكلة كبيرة للأفراد والشركات والحكومات — يمكن أن تكون عمليات التصيد الاحتيالي معقدة للغاية، لذا حتى إذا كنت “متمكنًا من استخدام الكمبيوتر” أو تستخدم برنامجًا لمكافحة الفيروسات، فيجب أن تظل متيقظًا.
قم بفحص كل رسالة بريد إلكتروني أو رسالة نصية قصيرة تصل إلى صندوق الوارد لديك. إذا أرسل إليك شخص ما عنوان URL أو ملفًا، فلا تفتحه إلا إذا تمكنت من التحقق من المصدر. ولست أنصحك فقط بإلقاء نظرة على عنوان البريد الإلكتروني أو رقم هاتف المرسل. حاول الاتصال بالمنظمة أو الشخص الذي من المفترض أنه كتب هذا البريد الإلكتروني للتحقق من صحته.
لكي نكون واضحين، هناك بعض الأشياء التي لا يجب عليك إرسالها عبر البريد الإلكتروني أو الرسائل النصية. إذا طلب منك شخص ما كتابة رقم الضمان الاجتماعي الخاص بك أو معلومات بطاقة الائتمان الخاصة بك في رسالة بريد إلكتروني أو رسالة نصية، فتجاهله! لن يطلب منك البنك هذه الأشياء على مثل هذه المنصة غير الآمنة، ولن تطلبها مصلحة الضرائب أيضًا.
لاحظ أن بعض المحتالين يتمتعون بالجرأة الكافية للقيام بعمليات احتيال عبر المكالمات الهاتفية. وقد ينتحلون حتى صفة الشرطة أو البنك أو صاحب العمل. إذا اتصل بك رقم غير معروف وطلب منك المال أو معلومات حساسة، فأغلق الهاتف. يمكنك دائمًا معاودة الاتصال باستخدام رقم هاتف رسمي من موقع المنظمة على الويب.
لتقليل فرص تعرضك للخداع، قم بإعداد مرشحات البريد العشوائي في عميل البريد الإلكتروني الخاص بك. قد ترغب أيضًا في تثبيت برنامج مكافحة الفيروسات وتعطيل إشعارات مواقع الويب في متصفحك.
وبما أن هجمات التصيد الاحتيالي شائعة جدًا، فإنني أقترح اتخاذ بعض التدابير الوقائية لتقليل تأثيرها. استخدم مدير كلمات المرور لإنشاء كلمات مرور فريدة لكل حساب، وتفعيل المصادقة الثنائية على جميع المواقع الإلكترونية، حيث سيمنع المحتالين من الوصول إليك حتى لو كانوا يعرفون كلمة مرورك. يمكنك أيضًا تفعيل تنبيه الاحتيال من خلال مكتب الائتمان لمنع فتح خطوط ائتمان جديدة باسمك.
ماذا يجب عليك فعله إذا كنت ضحية للتصيد الاحتيالي؟
وفقا ل لجنة التجارة الفيدرالية الأمريكيةيجب عليك الإبلاغ عن جميع هجمات التصيد الاحتيالي إلى موقع الإبلاغ عن الاحتياليمكنك أيضًا إعادة توجيه رسائل البريد الإلكتروني الاحتيالية إلى تقرير التصيد الاحتيالي@apwg.org وإرسال رسائل نصية احتيالية إلى البريد العشوائي (7726)إذا كان هجوم التصيد الاحتيالي ينتحل شخصية شخص أو مؤسسة، فيجب عليك أيضًا تحذيرهم من الهجوم (خاصةً إذا كانوا أحد أفراد أسرتك أو شخصًا داخل شركتك).
إذا وقعت ضحية لهجوم تصيد، فقد حان الوقت للدخول في وضع الحد من الضرر. قم بتغيير كلمات المرور لجميع الحسابات الحساسة أو المتأثرة، وقم بتمكين المصادقة الثنائية لمنع المحتالين الذين لديهم كلمة مرورك — مدير كلمات المرور سوف يساعدك على إنجاز المهمة.
وإذا حصل المحتال على معلومات بطاقتك الائتمانية أو تفاصيل حسابك المصرفي، فأخبر البنك الذي تتعامل معه! وسيساعدك البنك على استبدال البطاقة المتضررة والاعتراض على الرسوم الاحتيالية. وقد تحتاج أيضًا إلى تجميد بطاقاتك الائتمانية أو إعداد تنبيه احتيالي إذا حصل المحتال على رقم الضمان الاجتماعي الخاص بك أو عنوانك أو تاريخ ميلادك. سيمنع هذا المعاملات غير المرغوب فيها ويمنع المحتالين من فتح خطوط ائتمان جديدة باسمك.
لسوء الحظ، فإن هجمات التصيد الاحتيالي التي تتضمن برامج ضارة أكثر تعقيدًا بعض الشيء. إذا فتحت مرفقًا ضارًا أو قمت بتنزيل برنامج مشبوه، فيجب عليك فصل الجهاز المتأثر عن الإنترنت. قم بتشغيل فحص مكافحة الفيروسات أو إعادة ضبط الجهاز إلى إعدادات المصنع لإزالة أي برامج ضارة.
قد يكون تنظيف جهازك من البرامج الضارة مستحيلاً إذا قام برنامج الفدية بحظرك. في هذه الحالة، التقط صورة لشاشة جهازك (حتى تتمكن من التعرف على برنامج الفدية لاحقًا) واتصل بـ إنفاذ القانون أو مكتب التحقيقات الفيدراليلا تتعب نفسك بدفع الفدية — من الأفضل لك زيارة متخصص في الإصلاح أو انتظار شركة أمنية لنشر حل. نادرًا ما يهتم المحتالون بدفعك للفدية، وإذا كان الأمر كذلك، فإن هذا يشجعهم فقط على نشر المزيد من برامج الفدية.