تصيد
التصيّد (بالإنجليزية: PHISHING) هو محاولة الحصول على المعلومات الخاصة بمستخدمي الانترنت سواء أكانت معلومات شخصية أو مالية، عن طريق الرسائل الإلكترونية أومواقع الانترنت التي تبدو وكأنها مبعوثة من شركات موثوقة أو مؤسسات مالية وحكومية، كالبنوك الإلكترونية online banks.
أصل كلمة (Phishing)
أتت كلمة Phishing لأنّ محتالي الإنترنت (Internet Scammers) يستخدمون رسائل إلكترونية مغرية لاصطياد(fishing) كلمات السر والبيانات المالية من بحر (sea) مستخدمي الإنترنت. كما وأن قراصنة الإنترنت Hackers يميلون لاستبدال حرف (f) بحرفيّ (ph) فقد تم اشتقاق هذه الكلمة.
كيف تتم عملية التصيّد
يقوم المتصيدون (phishers) بإرسال رسائل إلكترونية e-mails زائفة تطلب من مستخدمي الشبكة زيارة إحدى المواقع الإلكترونية بحيث يطلب من المستخدم إجراء تحديث على بياناته، مثل:اسم المستخدم، كلمة المرور، بطاقة الائتمان، الضمان الاجتماعي، رقم الحساب في البنك. هذه المواقع الإلكترونية هي مواقع زائفة، صمّمت فقط لسرقة معلومات المستخدم.ومن الأمثلة عليها موقع شبيه ب(yahoo) ؛حيث يقوم المستخدم بإدخال اسم البريد وكلمة السر للدخول إلى بريده الإلكتروني، دون العلم أنه تم الاطلاع على تلك البيانات المدخلة. و من الطرق الأخرى أن يقوم المتصيدون، بشكل غير ملاحظ، بتحميل برنامج كمبيوتر على أجهزة المستخدمين تسمح لهم بالوصول إلى تلك الأجهزة أو المعلومات الخاصة بالمستخدمين.
أنواع التصيّد
في بداية ظهوره، كان التصيّد يعتمد استخدام الرسائل الإلكترونية الزائفة محتوية على روابط لمواقع على الشبكة هدفها الحصول على معلومات مستخدم الإنترنت، لكن خلال العامين الماضيين تطوّرت عملية التصيّد لتشمل تقنيات جديدة للوصول إلى ضحاياها، وهنا نشمل أهم التقنيّات الحديثة:
الصيد بالرّمح (Spear Phishing)
وهو مصطلح شائع يستخدم لوصف عملية تصيّد تستهدف مهاجمة هدف محدّد جدا، وتقوم بذلك عن طريق إرسال رسائل إلكترونية زائفة تبدو كأنها أصلية إلى مجموعة محددة من مستخدمي الإنترنت، مثل مستخدمي منتج أو خدمة معيّنة، أصحاب الحسابات الإلكترونية، موظفين أو أعضاء في شركة أو مجموعة، مواقع إلكترونية لوكالات حكومية أو شركات أو مجموعات أو شبكات اجتماعية. من الأمثلة النموذجية على هذه الطريقة - حيث تبدو أنها من مصدر موثوق- أن يقوم شخص بانتحال صفة مسؤول في العمل - والذي عادة يقوم بإرسال رسائل إلى مجموعة أو كلّ الموظفين(مثل مدير المصادر البشرية أو مسؤول أنظمة الحاسوب في الشركة)- ويرسل رسالة يطلب بها معلومات خاصة كـ اسم المستخدم أو كلمة السر حيث تبدو معقولة ظاهريا. مقارنة مع النوع التقليدي من التصيّد الذي يستهدف الأفراد عامة فان التصيّد بالرمح يستخدم عدة تقنيات لجمع معلومات أدق عن الأشخاص باستخدام القرصنة أو انتحال شخصيات حتى يقوم بعملية التصيّد بالرمح بشكل واقعي وقابل للتصديق أكثر.
البرامج الماكرة اوالخبيثة (Redirection and Other Malicious Code-Based Schemes)
تعتمد هذه الطريقة على أن يقوم المستخدم عن غير معرفة بإنزال برامج ماكرة (Malicious Code) على حاسوبه المنزلي أو المكتبي حيث تقوم بإعادة توجيه المستخدم من دون معرفته إلى موقع شبيه بالموقع الذي يريد الدخول إليه ويقوم بجمع المعلومات الخاصة التي يدخلها المستخدم، وتسمى هذه العملية إعادة توجيه (Redirection).
من الأنواع الأخرى للبرامج الماكرة:
- برنامج تسجيل أزرار لوحة المفاتيح keylogger:
حيث يقوم بتسجيل ما يدخله المستخدم من أحرف وأرقام للدخول إلى حسابه الماليّ، وإرسالها إلى المتصيّد (phisher) ليقوم الأخير بسحب الأموال من ذلك الحساب.
- الباب الخلفي (Backdoor):
حيث يقوم هذا البرنامج بإعطاء المتصيد منفذا إلى جهاز المستخدم ليقوم عن طريق هذا المنفذ بالدخول إلى بيانات المستخدم وحساباته المالية ونقل الأموال منه، حيث يظهر أن المستخدم نفسه هو الذي قام بهذه العملية ولذلك في كثير من الحالات عندما يدّعي المستخدم بوجود عمليات تحويل أموال غير شرعية من حسابه يصعب إثبات ادّعائه.
التصيّد الصوتي (Vishing or voice phishing)
تتمّ هذه العملية عن طريق أن:
- يقوم المتصيد بإرسال رسالة إلكترونية إلى المستخدم تتضمّن رقم هاتف خدمة عملاء مزيّف، وعندما يقوم المستخدم بالاتصال به، يتم سؤاله عن معلوماته الشخصية والمالية.
- يقوم المتصيد بالاتصال بالمستخدم والطلب منه أن يتصل برقم هاتف خدمة عملاء مزيّف، وعندما يقوم المستخدم بالاتصال به يتم سؤاله عن معلوماته الشخصية والمالية.
وقد أثارت هذه الطريقة مشكلة لسببين:
- إمكانية استخدام تقنية الصوت عبر الإنترنت (Voice over Internet Protocol (VoIP)) وبعض البرامج الرخيصة التي توحي للمستخدم بأن الرقم الذي اتّصل به هو رقم مركز خدمة عملاء فعلي.
- تقليد بروتوكول البنك المتبع لخداع المستخدم وإيهامه أنّ المتصيّد هو أحد موظّفي البنك.
الوقاية من التصيّد
1- حماية جهاز الحاسوب باستخدام برامج مضاد الفيروسات(anti-viruses)،جدار النار(firewalls) ويجب تحديثها باستمرار.
2- التأكد من تحديث متصفح الإنترنت.
- تنزيل شريط أدوات لمتصفح الإنترنت للحماية من المواقع الإلكترونية المزيفة المعروفة.
3- التأكد من استخدام موقع إلكتروني آمن في حال إدخال معلومات خاصة
- تأكد من أن بداية عنوان الموقع في شريط العنوان للمتصفح هو: " https://" وليس
" http://". وجود حرف اس بالانجليزية بعد اتش تي تي بي وهو يعني موقع مامون الاستخدام والبيانات المنقولة مشفرة عبر هذه الصفحة
4- الحذر من الروابط في الرسائل الإلكترونية والتي تقود إلى صفحات إلكترونية(في حال الاشتباه بالرسالة)، من الممكن في هذه الحالة إجراء اتصال هاتفي مع الشركة.
5- تجنب تعبئة النماذج(forms) المتعلقة بالمعلومات المالية أو تطلب أية معلومة خاصة في الرسائل الإلكترونية.
- إن لم تكن الرسالة الإلكترونية تحتوي على توقيع رقمي (digital sign) فليس من الممكن التأكد من أنها ليست مزيّفة.
6- تجنّب إعطاء أي معلومات خاصة مثل رموز التعريف الشخصية (PIN) أو كلمات السر عند التحدّث عبر الهاتف مع البنوك أو المؤسّسات المالية لأنها لا تطلب هذه المعلومات عبر الهاتف بل تتطلّب الوجود الشّخصي.
ملخّص
التصيّد هو شكل من أشكال السلوك الإجرامي الذي يشكل التهديدات المتزايدة للمستخدمين، والمؤسسات المالية، والمؤسسات التجارية. ولأنه لا يبدو أن مخاطر وأضرار التصيّد في تراجع بل على العكس فإنها تزداد تعقيدا، فان تنفيذ القانون والوكالات الحكومية والقطاع الخاص -على مستوى دولي- عليها أن تتعاون في جهودها الرامية إلى مكافحة التصيّد، من خلال تحسين التعليم العام (Public Education) والوقاية، والتوثيق(Authentication), والجهود الثنائية والوطنية (Binational and National enforcement efforts).
وفي حين يشكل التصيّد تهديدا بحدّ ذاته، من المهم أيضا أن ندرك أنّ التحديات التي تواجه واضعي السياسات والمسؤولين عن إنفاذ القانون في ما يخص التصيّد تعكس قضيّة أكبر وهي سرقة الهويّة (identity theft).
References
http://www.webopedia.com/TERM/p/phishing.html
http://www.rcmp-grc.gc.ca/scams/vishing_e.htm
http://www.microsoft.com/athome/security/email/spear_phishing.mspx
az:Fişinq
bn:ফিশিং
ca:Pesca electrònica
cs:Phishing
da:Phishing
de:Phishing
Phishing]]
eo:Ŝteltruko
es:Phishing
eu:Phishing
fa:فیشینگ
fi:Verkkourkinta
fr:Hameçonnage
ga:Fioscaireacht
gl:Phishing
he:דיוג
hu:Adathalászat
id:Pengelabuan
io:Phishing
it:Phishing
ja:フィッシング (詐欺)
ka:ფიშინგი
ko:피싱
la:Expiscatio
lt:Fišingas
lv:Pikšķerēšana
mk:Мрежно рибарење
ml:പിഷിംഗ്
ms:Phishing
nl:Phishing
nn:Phishing
no:Phishing
pl:Phishing
pt:Phishing
ro:Înșelăciune electronică
ru:Фишинг
sh:Phishing
simple:Phishing
sk:Phishing
sl:Spletno ribarjenje
sr:Фишинг
sv:Nätfiske
th:ฟิชชิง
tr:Yemleme
uk:Фішинг
vi:Tấn công giả mạo
zh:钓鱼式攻击
zh-min-nan:Phishing
zh-yue:釣魚 (網絡)
