هجمات التصيد هي عبارة عن بريد الكتروني او مواقع مشبوهه من بين العديد من القنوات الاخرى، تعني اجتذاب معلومات شخصية من احد الاشخاص او احدى الشركات، من خلال عرض نفسه كجمعية او كيان جدير بالثقة.
الهدف من هذا التصيد هو خداع المستقبل باخذ التصرف المرغوب من قبل المهاجم، مثل تزويد معلومات تعريف الدخول او ادخال معلومات التعريف في احد المواقع الاحتيال، هذه المواقع قد تكون تحتوي على رمز مشبوه الي يقوم بالتنفيذ على جهاز المستخدم المحلي عندما يتم الضغط على احد الروابط من بريد الكتروني متصيد لفتح احد المواقع الالكترونية.
رواد الاعمال واصحاب الاعمال الصغيرة يكونون معرضين بشكل خاص لهذا النوع من التهديدات، حيث ان الكثير من هذه المؤسسات تفتقر الى الشبكات المتكاملة الخصوصية والمميزات وعمليات وبروتوكولات حماية البيانات التي تقوم بتوظيفها المؤسسات الكبرى.
الحر والتيقظ يساعد في تفادي ان يقع فرد او مؤسسة كضحية لهجوم متصيد والذي يضع بيانات شخصية وبيانات الشركة في خطورة.
محاولات التصيد تكون في العادة على شكل بريد الكتروني والذي يبدو كانه ياتي من شركة يعرفها المستقبل او يقوم بعمل معها.
موقع usa.gov يعرض قائمة لبعض الخدع وساعة الانتشار والتي تم التبليغ عنها من قبل وكلات وشركات، تكشف ان البريد الالكتروني من المتصيدين من الممكن ان ياخذ العديد من الاشكال.
خمسة من الاشكال الاكثر شيوعا لهجمات المتصيدين هي:
- بريد الكتروني من اشخاص يدعون بانهم تقطعت بهم السبل ومحصورين في دولة اجنبية يطلبون ارسال المال اليهم حتى يتمكنوا من العودة الى بلادهم.
- بريد الكتروني من اشخاص يدعون انهم من مؤسسات اخبارية ذات سمعة معروفة يقومون بالاستفادة من الاخبار الشائعة، هذا النوع من البريد الالكتروني يطلبون بشكل عام من المستقبل ان يقوم بالضغط على احد الروابط لقراءة الخبر كاملا والذي بدوره يقود المستخدم الى احد المواقع المشبوهه.
- بريد الكتروني من اشخاص يدعون انهم جزء من مؤسسات اف تي سي، او اف دي اي سي تطلب الرجوع الى شكاوي تم التبليغ عنها، او تطلب من المستقبل ان يقوم بتفقد تغطية تامين الوديعة المصرفي.
- بريد الكتروني يهدد باالحاق الاذى بالمستقبل في حال لم يقم بدفع مجموعة من الاف الدولارات.
- بريد الكتروني يدعي بانه تاكيد على شكاوي قام المستقبل بالتبليغ عنها، وحيث ان المستقبلين لهذا النوع من البريد الالكتروني لم يقوموا بهذه الشكاوي فهم يميلون احيانا للضغط على هذه الروابط لمعرفة المرجعية للقيام بهذا الامر، هذه الروابط والمرفقات في البريد الالكتروني تكون تحتوي على رمز مشبوه.
البريد الالكتروني من متصيدين ياخذ العديد من الاشكال لكن كل هذه الانواع تجعل من الصعب على المستقبل ان يقوم بتصفية البريد الالكتروني من متصيدين من الرسائل الشرعية والمنطقية.
التصيد يبدا بالعادة من خلال بريد الكتروني تواصلي، لكن هنالك طرق لتمييز الرسائل الالكترونية المشبوهه من الرسائل الشرعية والمنطقية.
تمرين نفسك والموظفين لديك على كيفية التعرف على هذه الرسائل المشبوهه هو امر ضروري للشركات لتفادي فقدان البيانات الحساسة.
في العادة هذه البيانات التي يتم تسريبها تحدث لان الموظفين لم يتم تسليحهم بالمعرفة التي يحتاجونها لحماية بيانات الشركة الحساسة والدقيقة.
فيما يلي قد تكون مؤشرات بان بريد الكتروني هو محاولة تصيد اكثر من كونه محاولة تواصل حقيقية من الشركة التي يبدو ان البريد الالكتروني قادم منها:
- بريد الكتروني يحتوي على تحية بشكل عام، حيث ان البريد الالكتروني من متصيدين يحتوي على عبارات تحية وترحيب عامة مثل “مرحبا يا عميل البنك” بدلا من استخدام اسم المستقبل الفعلي.
- بريد الكتروني يطلب معلومات شخصية، حيث ان الشركات الفعلية والشرعية لا تطلب من العملاء ادخال معلومات تعريف الدخول او اية معلومات خاصة عبر الضغط على احد الروابط لموقع الكتروني ما، هذا يعد مقياس امن لحماية العملاء ويساعد العملاء في التعرف على الرسائل الالكترونية المحتالة من الرسائل الشرعية والمنطقية.
- بريد الكتروني يطلب رد عاجل، حيث ان معظم رسائل التصيد تحاول خلق شعور بالضرورة الملحة والعاجلة، حيث تقود المستقبل الى الخوف من ان حسابهم في خطر او انهم سيفقدون القدرة على الدخول والوصول الى معلومات مهمة اذا لم يقوموا بالتصرف بصورة مباشرة.
- بريد الكتروني بروابط تحاكي الراوبط الحقيقية، هل الرابط السريع في نص الرسالة يقود حقا للوصول الى الصفحة الالكتروني التي يدعي بانه ينقلك اليها؟
لا تقم ابدا بالضغط على رابط للتاكد من صدقه وحقيقته، وكذلك انظر الى بداية الروابط التي تبدأ بـ https حيث ان حرف الـs يشير الى ان الموقع الالكتروني يستخدم تشفير خاص لحماية طلبات الصفحة من قبل المستخدمين وانه من جهة ذات شهادة مرخصة.
اذا كنت متشكك قم بعمل اتصال.. اذا كان محتوى بريد الكتروني يثير الشكوك قم بالاتصال مع الشركة التي يدعي البريد الالكتروني انه قد وصلك منها لتعرف اذا كان البريد الالكتروني قد ارساله بصورة شريعة وفعلية، اذا اتضح لك عكس ذلك فان الشركة مدركة للوضع الان ويمكنها اتخاذ الاجراءات لتحذير العملاء الاخرين والمستخدمين من محاولات تصيد محتملة التي يبدو وكانها صادرة من مؤسساتهم.