التصيد الإلكتروني والحماية منه
التقنية أحدثت تغيرًا جذريًا خلال العشرين عامًا الماضية في نمط حياتنا وطريقة تواصلنا، عموم هذه التغييرات والتحول الرقمي المستمر لمختلف القطاعات هو من أجل تسخير التقنية لتسهيل حياة المجتمعات، ولكن مع سرعة التطور في التقنية أصبح من الصعب الحفاظ على نسبة الوعي في كيفية التصدي للتهديدات والجرائم السيبرانية.
يوجد هنالك العديد من أنواع الهجمات السيبرانية لكن أكثرها شيوعًا هي التصيد أو الاحتيال الإلكتروني، وهو يعني قيام شخص أو مجموعة بانتحال جهة اتصال موثوقة عبر إضافة صبغة شرعية لاستدراج الضحية واللعب على عنصر الثقة لجمع بيانات حساسة ككلمات المرور أو تفاصيل البطاقات الائتمانية.
يجب التنويه أولًا أنه من الصعب اختراق الشركات كفيسبوك مثلًا من أجل الوصول إلى حسابات شخصية، حيث أن سيرفرات هذه الشركات توفر مستوىً عالٍ من الحماية، إذًا فكيف يتم الاختراق؟ شركات وسائل التواصل الاجتماعي تضع سياساتها للوصول إلى الحسابات، وتختلف من شركةٍ إلى أخرى، حيث يتم الاختراق عادةً عبر التحايل على هذه السياسات عن طريق الهندسة الاجتماعية، وهي حيل تمكن المخترق من جذب الضحية لاستخدام أحد السياسات لسرقة الحساب.
التصيد هو أحد أنواع الهندسة الاجتماعية، ويوجد هناك طرق عديدة من أجل التصيد، حيث أنه من الممكن إرسال رسائل مزيفة عبر البريد الالكتروني لتسجيل الدخول إلى صفحة مزيفة من أجل سرقة كلمة المرور.
من الصعب منع هجمات الهندسة الاجتماعية بشكلٍ تام كونها مصممة للتعامل مع المشاعر البشرية الطبيعية كالفضول واحترام السلطة والرغبة في مساعدة المقربين، ولكن من الممكن تجنب هذه الهجمات عبر النصائح التالية:
التحقق بخطوتين - أكثر الطرق فعالية لتجنب سرقة الحساب، حيث أنه يحجب أي تسجيل دخول إلى الحساب دون إدخال الكود الذي يتم إرساله لصاحب الحساب، ونرى استخدام هذه التقنية بكثرة لدى البنوك أيضًا عند كل خطوة سواءً كانت شراء أو حتى إضافة مستفيد من أجل تقليل مخاطر السرقة. أيضا بالإمكان ربط الحساب بأحد أنظمة حماية الوصول، مثل Cisco duo، حتى يتم المصادقة على عمليات تسجيل الدخول.
فكر قبل أن تضغط - لا بأس بالضغط عندما تتصفح أحد المواقع الموثوقة، ولكن تجنب الضغط على الروابط التي تأتيك عبر البريد الالكتروني أو تطبيقات التواصل قبل أن تلقي نظرة على المحتوى الذي يسبق الرابط، هل من المفترض أن تملأ بياناتك الحساسة بناءً عليها أم لا؟ حيث أن أغلب رسائل التصيد عبر البريد الالكتروني تتكلم بصيغة عامة مثل عزيزي العميل بدون ذكر اسمك، كذلك يجب الانتباه إلى أسلوب المتحدث في رسائل تطبيقات التواصل حيث يتم استخدام كلمات لطيفة عزيزي/تي وحبيبي/تي من أجل استدراج الضحية.
اذهب إلى المصدر - في حال الاشتباه في صحة أحد الروابط المتلقاة كتفعيل الحساب أو تغيير كلمة المرور لأحد الحسابات، يجب الذهاب إلى الموقع الرئيسي للجهة حيث يوجد به صفحة للتنبيهات والتأكد من إشعارات التغيير والتفعيل للحسابات.
لا يوجد ربح نقدي - عادةً ما يتم التصيد عبر إيهام الضحية بفوزه بمبلغ نقدي كبير والاشتراط عليه بملء نموذج يحوي حساباته البنكية والشخصية لإرسال المبلغ إليه، ينبغي تجنب هذا النوع من الرسائل وفي حال المشاركة في أحد مسابقات الحسابات المشهورة بالإمكان الاقتصار على إرسال رقم الهاتف فقط مع أخذ الحيطة والحذر.
تأكد من عنوان الرابط - من الطبيعي أن نكون قلقين عندما نشارك معلوماتنا المالية الحساسة، في الغالب مشاركة المعلومات مع المواقع الموثوقة لا تستدعي القلق، ولكن يفضّل أن يتم التأكد من عدة أمور في الرابط قبل إرسال المعلومات:
1 - أن يبدأ الرابط بكلمة https وليس http حيث أن الأول يعني أن الموقع يستخدم SSL لتشفير بياناتك.
2 - وجود أيقونة“قفل”بجانب الرابط في المتصفح للتأكد من أن الاتصال بين المتصفح والسيرفر مشفر.
في حال عدم تحقق الشرطين أعلاه يجب عدم إرسال أية معلومات حساسة إلى الموقع المراد زيارته.
احذر من الشبكات العامة - يفضّل عدم القيام بأي عمليات شراء عند الاتصال بشبكات عامة كالمقاهي والمجمعات التجارية لسهولة التنصت على البيانات وسرقتها في حال إرسالها إلى مواقع غير مشفرة.
أولًا، في حال التهديد أو الابتزاز يجب التواصل فورًا مع الجهات المعنية عبر أقرب مركز شرطة، تطبيق كلنا - أمن أو عبر الاتصال على 989.
ثانيًا، يجب إعادة ضبط كلمة المرور في أسرع وقت عبر البريد الإلكتروني أو الهاتف.
ثالثًا، يجب إخطار المتابعين أو جهات الاتصال بالاختراق حتى يتم تجنب أي محاولة تصيد لهم وإخبارهم بالتبليغ عن الحساب حتى يتم إغلاقه عند الضرورة.
رابعًا، في حال عدم القدرة على استعادة الحساب يجب التواصل مع الجهة المسؤولة عن الحساب حتى يتم التحقق من أنك المالك الفعلي للحساب ليتم إعادته، ولكن بسبب وجود إجراءات احترازية لدى معظم الجهات، سوف يستغرق الأمر فترة من الزمن.
نظام مكافحة الجرائم المعلوماتية في مملكتنا الحبيبة يضمن حفظ الحقوق المترتبة على الاستخدام المشروع للأجهزة والشبكات المعلوماتية وحماية المصلحة والآداب العامة، ففي حال وجود معلومات عن المخترق يجب المسارعة بالتواصل مع الجهات المعنية ليتم ضمان الحقوق وفق سرية تامة.
