التصيّد ( PHISHING ) هو محاولة الحصول على المعلومات السرية لمستخدمي الانترنت سواء أكانت معلومات شخصية أو مالية، عن طريق الرسائل الالكترونية و مواقع الانترنت التي تبدو و كأنها مبعوثة من شركات موثوقة أو مؤسسات مالية وحكومية؛ كالبنوك الالكترونية (online banks ).
فهرس |
أتت كلمة Phishing لأنّ محتالي الانترنت( Internet Scammers) يستخدمون رسائل الكترونية مغرية لاصطياد( fish ) كلمات السر و البيانات المالية من بحر(sea) مستخدمي الانترنت. كما وأن قراصنة الانترنت Hackers ) ) يميلون لاستبدال حرف f )) بحرفيّ ( ph ) فقد تم اشتقاق هذه الكلمة.
يقوم المتصيدون ( phishers ) بإرسال رسائل الكترونية( e-mails ) زائفة تطلب من مستخدمي الشبكة زيارة إحدى المواقع الالكترونية بحيث يطلب من المستخدم إجراء تحديث على بياناته، مثل:اسم المستخدم، كلمة المرور، بطاقة الائتمان، الضمان الاجتماعي، رقم الحساب في البنك. هذه المواقع الالكترونية هي مواقع زائفة، صمّمت فقط لسرقة معلومات المستخدم.ومن الأمثلة عليها موقع شبيه ب(yahoo) ؛حيث يقوم المستخدم بإدخال اسم البريد و كلمة السر للدخول إلى بريده الالكتروني، دون العلم أنه تم الاطلاع على تلك البيانات المدخلة. و من الطرق الأخرى أن يقوم المتصيدون، بشكل غير ملاحظ، بتحميل برنامج كمبيوتر على أجهزة المستخدمين تسمح لهم بالوصول إلى تلك الأجهزة أو المعلومات الخاصة بالمستخدمين.
في بداية ظهوره، كان التصيّد يعتمد استخدام الرسائل الإلكترونية الزائفة محتوية على روابط لمواقع على الشبكة هدفها الحصول على معلومات مستخدم الإنترنت، لكن خلال العامين الماضيين تطوّرت عملية التصيّد لتشمل تقنيات جديدة للوصول إلى ضحاياها، وهنا نشمل أهم التقنيّات الحديثة:
1- الصيد بالرّمح:" Spear Phishing "
وهو مصطلح عاميّ يستخدم لوصف عملية تصيّد تستهدف مهاجمة هدف محدّد جدا،و تقوم بذلك عن طريق إرسال رسائل إلكترونية زائفة تبدو كأنها أصلية إلى مجموعة محددة من مستخدمي الإنترنت،مثل مستخدمي منتج أو خدمة معيّنة،أصحاب الحسابات الإلكترونية، موظفين أو أعضاء في شركة أو مجموعة، مواقع إلكترونية لوكالات حكومية أو شركات أو مجموعات أو شبكات اجتماعية. من الأمثلة النموذجية على هذه الطريقة - حيث تبدو أنها من مصدر موثوق- أن يقوم شخص بانتحال صفة مسؤول في العمل - والذي عادة يقوم بإرسال رسائل إلى مجموعة أو كلّ الموظفين(مثل مدير المصادر البشرية أو مسؤول أنظمة الحاسوب في الشركة)- ويرسل رسالة يطلب بها معلومات خاصة كـ اسم المستخدم أو كلمة السر حيث تبدو معقولة ظاهريا. مقارنة مع النوع التقليدي من التصيّد الذي يستهدف الأفراد عامة فان التصيّد بالرمح يستخدم عدة تقنيات لجمع معلومات أدق عن الأشخاص باستخدام القرصنة ( Hacking ) أو انتحال شخصيات حتى يقوم بعملية التصيّد بالرمح بشكل واقعي و قابل للتصديق أكثر.
2- البرامج الماكرة " Redirection and Other Malicious Code-Based Schemes ":
تعتمد هذه الطريقة على أن يقوم المستخدم عن غير معرفة بإنزال برامج ماكرة (Malicious Code) على حاسوبه المنزلي أو المكتبي حيث تقوم بإعادة توجيه المستخدم من دون معرفته إلى موقع شبيه بالموقع الذي يريد الدخول إليه ويقوم بجمع المعلومات الخاصة التي يدخلها المستخدم،وتسمى هذه العملية إعادة توجيه (Redirection).
من الأنواع الأخرى للبرامج الماكرة:
حيث يقوم بتسجيل ما يدخله المستخدم من أحرف و أرقام للدخول إلى حسابه الماليّ، و إرسالها إلى المتصيّد (phisher) ليقوم الأخير بسحب الأموال من ذلك الحساب.
حيث يقوم هذا البرنامج بإعطاء المتصيد منفذا إلى جهاز المستخدم ليقوم عن طريق هذا المنفذ بالدخول إلى بيانات المستخدم و حساباته المالية و نقل الأموال منه، حيث يظهر أن المستخدم نفسه هو الذي قام بهذه العملية و لذلك في كثير من الحالات عندما يدّعي المستخدم بوجود عمليات تحويل أموال غير شرعية من حسابه يصعب إثبات ادّعائه.
3- التصيّد الصوتي " Vishing or voice phishing "
تتمّ هذه العملية عن طريق أن:
1- حماية جهاز الحاسوب باستخدام برامج مضاد الفيروسات( anti-viruses )،جدار النار(firewalls ) ويجب تحديثها باستمرار.
2- التأكد من تحديث متصفح الانترنت.
3- التأكد من استخدام موقع الكتروني آمن في حال إدخال معلومات خاصة
" http://".
4- الحذر من الروابط في الرسائل الالكترونية و التي تقود إلى صفحات الكترونية( في حال الاشتباه بالرسالة)، من الممكن في هذه الحالة إجراء اتصال هاتفي مع الشركة.
5- تجنب تعبئة النماذج(forms) المتعلقة بالمعلومات المالية أو تطلب أية معلومة خاصة في الرسائل الالكترونية.
6- تجنّب إعطاء أي معلومات خاصة مثل رموز التعريف الشخصية (PIN) أو كلمات السر عند التحدّث عبر الهاتف مع البنوك أو المؤسّسات المالية لأنها لا تطلب هذه المعلومات عبر الهاتف بل تتطلّب الوجود الشّخصي.
التصيّد هو شكل من أشكال السلوك الإجرامي الذي يشكل التهديدات المتزايدة للمستخدمين، والمؤسسات المالية، والمؤسسات التجارية. ولأنه لا يبدو أن مخاطر و أضرار التصيّد في تراجع بل على العكس فإنها تزداد تعقيدا، فان تنفيذ القانون و الوكالات الحكومية و القطاع الخاص -على مستوى دولي- عليها أن تتعاون في جهودها الرامية إلى مكافحة التصيّد ، من خلال تحسين التعليم العام (Public Education) والوقاية,و التوثيق( Authentication), و الجهود الثنائية و الوطنية (Binational and National enforcement efforts ).
وفي حين يشكل التصيّد تهديدا بحدّ ذاته،من المهم أيضا أن ندرك أنّ التحديات التي تواجه واضعي السياسات والمسؤولين عن إنفاذ القانون في ما يخص التصيّد تعكس قضيّة أكبر و هي سرقة الهويّة (identity theft).
http://www.webopedia.com/TERM/p/phishing.html
http://www.rcmp-grc.gc.ca/scams/vishing_e.htm
http://www.microsoft.com/athome/security/email/spear_phishing.mspx