تصيد

التصيّد ( PHISHING ) هو محاولة الحصول على المعلومات السرية لمستخدمي الانترنت سواء أكانت معلومات شخصية أو مالية، عن طريق الرسائل الالكترونية و مواقع الانترنت التي تبدو و كأنها مبعوثة من شركات موثوقة أو مؤسسات مالية وحكومية؛ كالبنوك الالكترونية (online banks ).

من أين أتت كلمة ( Phishing)؟

أتت كلمة Phishing لأنّ محتالي الانترنت( Internet Scammers) يستخدمون رسائل الكترونية مغرية لاصطياد( fish ) كلمات السر و البيانات المالية من بحر(sea) مستخدمي الانترنت. كما وأن قراصنة الانترنت Hackers ) ) يميلون لاستبدال حرف f )) بحرفيّ ( ph ) فقد تم اشتقاق هذه الكلمة.

كيف تتم عملية التصيّد؟

يقوم المتصيدون ( phishers ) بإرسال رسائل الكترونية( e-mails ) زائفة تطلب من مستخدمي الشبكة زيارة إحدى المواقع الالكترونية بحيث يطلب من المستخدم إجراء تحديث على بياناته، مثل:اسم المستخدم، كلمة المرور، بطاقة الائتمان، الضمان الاجتماعي، رقم الحساب في البنك. هذه المواقع الالكترونية هي مواقع زائفة، صمّمت فقط لسرقة معلومات المستخدم.ومن الأمثلة عليها موقع شبيه ب(yahoo) ؛حيث يقوم المستخدم بإدخال اسم البريد و كلمة السر للدخول إلى بريده الالكتروني، دون العلم أنه تم الاطلاع على تلك البيانات المدخلة. و من الطرق الأخرى أن يقوم المتصيدون، بشكل غير ملاحظ، بتحميل برنامج كمبيوتر على أجهزة المستخدمين تسمح لهم بالوصول إلى تلك الأجهزة أو المعلومات الخاصة بالمستخدمين.

أنواع التصيّد:

في بداية ظهوره، كان التصيّد يعتمد استخدام الرسائل الإلكترونية الزائفة محتوية على روابط لمواقع على الشبكة هدفها الحصول على معلومات مستخدم الإنترنت، لكن خلال العامين الماضيين تطوّرت عملية التصيّد لتشمل تقنيات جديدة للوصول إلى ضحاياها، وهنا نشمل أهم التقنيّات الحديثة:

1- الصيد بالرّمح:" Spear Phishing "

وهو مصطلح عاميّ يستخدم لوصف عملية تصيّد تستهدف مهاجمة هدف محدّد جدا،و تقوم بذلك عن طريق إرسال رسائل إلكترونية زائفة تبدو كأنها أصلية إلى مجموعة محددة من مستخدمي الإنترنت،مثل مستخدمي منتج أو خدمة معيّنة،أصحاب الحسابات الإلكترونية، موظفين أو أعضاء في شركة أو مجموعة، مواقع إلكترونية لوكالات حكومية أو شركات أو مجموعات أو شبكات اجتماعية. من الأمثلة النموذجية على هذه الطريقة - حيث تبدو أنها من مصدر موثوق- أن يقوم شخص بانتحال صفة مسؤول في العمل - والذي عادة يقوم بإرسال رسائل إلى مجموعة أو كلّ الموظفين(مثل مدير المصادر البشرية أو مسؤول أنظمة الحاسوب في الشركة)- ويرسل رسالة يطلب بها معلومات خاصة كـ اسم المستخدم أو كلمة السر حيث تبدو معقولة ظاهريا. مقارنة مع النوع التقليدي من التصيّد الذي يستهدف الأفراد عامة فان التصيّد بالرمح يستخدم عدة تقنيات لجمع معلومات أدق عن الأشخاص باستخدام القرصنة ( Hacking ) أو انتحال شخصيات حتى يقوم بعملية التصيّد بالرمح بشكل واقعي و قابل للتصديق أكثر.

2- البرامج الماكرة " Redirection and Other Malicious Code-Based Schemes ":

تعتمد هذه الطريقة على أن يقوم المستخدم عن غير معرفة بإنزال برامج ماكرة (Malicious Code) على حاسوبه المنزلي أو المكتبي حيث تقوم بإعادة توجيه المستخدم من دون معرفته إلى موقع شبيه بالموقع الذي يريد الدخول إليه ويقوم بجمع المعلومات الخاصة التي يدخلها المستخدم،وتسمى هذه العملية إعادة توجيه (Redirection).

من الأنواع الأخرى للبرامج الماكرة:

• برنامج تسجيل أزرار لوحة المفاتيح ( keylogging software ):

حيث يقوم بتسجيل ما يدخله المستخدم من أحرف و أرقام للدخول إلى حسابه الماليّ، و إرسالها إلى المتصيّد (phisher) ليقوم الأخير بسحب الأموال من ذلك الحساب.

• الباب الخلفي (Backdoor):

حيث يقوم هذا البرنامج بإعطاء المتصيد منفذا إلى جهاز المستخدم ليقوم عن طريق هذا المنفذ بالدخول إلى بيانات المستخدم و حساباته المالية و نقل الأموال منه، حيث يظهر أن المستخدم نفسه هو الذي قام بهذه العملية و لذلك في كثير من الحالات عندما يدّعي المستخدم بوجود عمليات تحويل أموال غير شرعية من حسابه يصعب إثبات ادّعائه.

3- التصيّد الصوتي " Vishing or voice phishing "

تتمّ هذه العملية عن طريق أن:

• يقوم المتصيد بإرسال رسالة إلكترونية إلى المستخدم تتضمّن رقم هاتف خدمة عملاء مزيّف، وعندما يقوم المستخدم بالاتصال به ، يتم سؤاله عن معلوماته الشخصية و المالية.
• يقوم المتصيد بالاتصال بالمستخدم والطلب منه أن يتصل برقم هاتف خدمة عملاء مزيّف، وعندما يقوم المستخدم بالاتصال به يتم سؤاله عن معلوماته الشخصية و المالية.

وقد أثارت هذه الطريقة مشكلة لسببين:

• إمكانية استخدام تقنية الصوت عبر الإنترنت (Voice over Internet Protocol (VoIP)) و بعض البرامج الرخيصة التي توحي للمستخدم بأن الرقم الذي اتّصل به هو رقم مركز خدمة عملاء فعلي.

• تقليد بروتوكول البنك المتبع لخداع المستخدم و إيهامه أنّ المتصيّد هو أحد موظّفي البنك.

الوقاية من التصيّد:

1- حماية جهاز الحاسوب باستخدام برامج مضاد الفيروسات( anti-viruses )،جدار النار(firewalls ) ويجب تحديثها باستمرار.

2- التأكد من تحديث متصفح الانترنت.

• تنزيل شريط أدوات لمتصفح الانترنت للحماية من المواقع الالكترونية المزيفة المعروفة.

3- التأكد من استخدام موقع الكتروني آمن في حال إدخال معلومات خاصة

• تأكد من أن بداية عنوان الموقع في شريط العنوان للمتصفح هو: " https://" و ليس

" http://".

4- الحذر من الروابط في الرسائل الالكترونية و التي تقود إلى صفحات الكترونية( في حال الاشتباه بالرسالة)، من الممكن في هذه الحالة إجراء اتصال هاتفي مع الشركة.

5- تجنب تعبئة النماذج(forms) المتعلقة بالمعلومات المالية أو تطلب أية معلومة خاصة في الرسائل الالكترونية.

• إن لم تكن الرسالة الالكترونية تحتوي على توقيع رقمي (digital sign) فليس من الممكن التأكد من أنها ليست مزيّفة.

6- تجنّب إعطاء أي معلومات خاصة مثل رموز التعريف الشخصية (PIN) أو كلمات السر عند التحدّث عبر الهاتف مع البنوك أو المؤسّسات المالية لأنها لا تطلب هذه المعلومات عبر الهاتف بل تتطلّب الوجود الشّخصي.

ملخّص:

التصيّد هو شكل من أشكال السلوك الإجرامي الذي يشكل التهديدات المتزايدة للمستخدمين، والمؤسسات المالية، والمؤسسات التجارية. ولأنه لا يبدو أن مخاطر و أضرار التصيّد في تراجع بل على العكس فإنها تزداد تعقيدا، فان تنفيذ القانون و الوكالات الحكومية و القطاع الخاص -على مستوى دولي- عليها أن تتعاون في جهودها الرامية إلى مكافحة التصيّد ، من خلال تحسين التعليم العام (Public Education) والوقاية,و التوثيق( Authentication), و الجهود الثنائية و الوطنية (Binational and National enforcement efforts ).

وفي حين يشكل التصيّد تهديدا بحدّ ذاته،من المهم أيضا أن ندرك أنّ التحديات التي تواجه واضعي السياسات والمسؤولين عن إنفاذ القانون في ما يخص التصيّد تعكس قضيّة أكبر و هي سرقة الهويّة (identity theft).

References :

http://www.webopedia.com/TERM/p/phishing.html

http://www.rcmp-grc.gc.ca/scams/vishing_e.htm

http://www.microsoft.com/athome/security/email/spear_phishing.mspx