التصيد الاحتيالي

كيف تحمي منظمتك من الهجمات الإلكترونية

في عالم اليوم الرقمي، أصبحت المنظمات عرضة لعدة تهديدات سيبرانية، وأحد أبرز هذه التهديدات هو التصيد الاحتيالي الموجه.

هذه الهجمات لا تقتصر فقط على استهداف الأفراد، بل أصبحت تشكل تهديدًا كبيرًا للأمن السيبراني في المؤسسات والمنظمات.

يقوم المهاجمون باستخدام تقنيات متطورة تشمل الهندسة الاجتماعية لخداع الموظفين والمستفيدين بهدف الحصول على معلومات حساسة،

على سبيل المثال كلمات المرور أو بيانات الدخول إلى الأنظمة الحيوية.

تعد هذه الهجمات من أخطر أنواع الهجمات الإلكترونية نظرًا لتخصيصها العالي ومواءمتها مع المعلومات الشخصية والمهنية للضحية.

لذلك، تعد حماية المنظمات من التصيد الاحتيالي الموجه أمرًا بالغ الأهمية للحفاظ على سلامة البيانات وضمان استمرارية العمليات التجارية.

في هذا المقال، سنستعرض أبرز أنواع التصيد الاحتيالي، وكيفية التمييز بين التصيد العادي والتصيد الاحتيالي الموجه، ونقدم لك نصائح عملية لحماية منظمتك من هذه الهجمات المتطورة

ما هو التصيد الاحتيالي؟

هو نوع من الهجمات الإلكترونية التي تستخدم رسائل بريد إلكتروني أو رسائل نصية أو منشورات على وسائل التواصل الاجتماعي تبدو شرعية لخداع الضحية وإقناعه بمشاركة معلومات حساسة مثل كلمات المرور، إما مباشرة أو عبر صفحة دخول مزيفة.

ما هو التصيد الاحتيالي الموجَّه؟

هو نسخة مستهدفة من هجوم التصيد الاحتيالي، حيث يتم توجيه الهجوم إلى شخص معين أو مجموعة باستخدام معلومات شخصية لجعل الرسالة تبدو أكثر واقعية وذات طابع عاجل.
مثلما تعتمد بعض هجمات كسر الحماية على قواميس مخصصة، فإن التصيد بالرمح يرفع من احتمالية نجاح الهجوم من خلال التخصيص.
كلا من التصيد العادي والتصيد الاحتيالي يندرجان تحت مفهوم الهندسة الاجتماعية، وهو عندما يتقمص المهاجم هوية شخص آخر لخداع الضحية. على سبيل المثال، قد يدّعي المهاجم أنه موظف في بنك ويطلب من الضحية معلومات تسجيل الدخول.

الفرق بين التصيد العادي والتصيد الاحتيالي الموجَّه؟

التصيد الاحتيالي الموجَّه هو نسخة أكثر دقة وتخصيصًا من التصيد العادي.

التصيد العادي: إرسال رسالة عامة لكل شخص في ولاية نيويورك منتحلًا اسم بنك شهير مع رابط وهمي لموقع البنك.
التصيد الاحتيالي الموجَّه: إرسال بريد إلكتروني لموظفي شركة صغيرة يبدو وكأنه من المدير التنفيذي، يطلب منهم التحقق من بيانات تسجيل الدخول لأداة معروفة يستخدمها الفريق.

أنواع أخرى من التصيد:

إلى جانب التصيد والتصيد الاحتيالي، هناك أنواع أخرى شائعة تشمل:

التصيد الكبير (Whaling): استهداف شخصيات مرموقة مثل المدير التنفيذي أو المدير المالي بهدف تحقيق مكاسب مالية ضخمة.
التصيد الصوتي (Vishing): استخدام المكالمات الهاتفية بدلًا من البريد الإلكتروني لتنفيذ الهجوم. أحيانًا يبدأ الهجوم بتصيد عادي للحصول على معلومات تُستخدم لاحقًا في المكالمة.

أبرز تكتيكات التصيد الاحتيالي الموجه:

يستخدم المهاجمون تكتيكات متنوعة لإقناع الضحية بشرعية الرسالة. ومن أبرز هذه الأساليب:
تنبيهات الأمان: مثل رسالة نصية تزعم وجود نشاط مشبوه في بطاقة ائتمان محددة.
شكاوى العملاء: استغلال تقييم سلبي قمت بكتابته مؤخرًا لإرسال رسالة مزيفة من خدمة العملاء.
انتحال الهوية: في إحدى الهجمات، قد يتلقى موظف في المنظمة بريدًا إلكترونيًا يبدو وكأنه مرسل من المدير التنفيذي. تتضمن الرسالة على سبيل المثال طلبًا “عاجلًا” لتحديث بيانات الدخول لنظام داخلي ، مرفقًا بمبرر يبدو رسميًا. لتعزيز مصداقية الرسالة، قد تتضمن تفاصيل دقيقة تتعلق بالموظف أو الفريق الذي يعمل فيه. لكن في الواقع، المرسل ليس المدير التنفيذي، بل مهاجم انتحل هويته بهدف خداع الموظف وتنفيذ عملية احتيال قد تكلّف المنظمة الكثير.

أمثلة على التصيد الاحتيالي الموجه:

في إحدى الهجمات قبل عقد من الزمن، تم اختراق منتج SecureID التابع لشركة RSA من خلال ملف Excel تم توزيعه عبر البريد الإلكتروني

يحتوي على كود خبيث.

في عام 2015، خسرت شركة Ubiquiti حوالي 46.7 مليون دولار بسبب هجوم تصيد كبير استهدف المدير التنفيذي روبرت بيرا.

أيضًا، قررت شركة Caesars دفع ملايين الدولارات للقراصنة، بينما خسرت MGM ملايين بسبب التوقف عن العمل لمدة 10 أيام.

حتى المؤسسات الحكومية والمدارس أصبحت أهدافًا مفضلة بسبب ضعف البنية التقنية وقلة الوعي الأمني لدى الموظفين.

إحصائيات عن التصيّد الاحتيالي الموجَّه (Spear Phishing):

يشكّل البريد العشوائي حوالي 48٪ من إجمالي الرسائل الإلكترونية المرسلة يوميًا، أي ما يقارب 3.4 مليار رسالة.

وأكثر من خُمس هذه الرسائل مصدرها روسيا، وغالبًا ما تُرسل بهدف التصيد الاحتيالي.

إذا لم يتم تدريب الموظفين على اكتشاف الرسائل المشبوهة، فليس سوى مسألة وقت قبل أن يقع أحدهم ضحية لها.
نصف هجمات الهندسة الاجتماعية تتضمّن استخدام البريد الإلكتروني، بينما تشمل نحو ثلاثة أرباع الهجمات بشكل عام تقنيات الهندسة الاجتماعية.

وفي عام 2022، كان نحو ربع الهجمات التي استهدفت الشركات الأمريكية من نوع برامج الفدية (Ransomware).
وبحسب شركة Symantec، فإن 65٪ من الهجمات السيبرانية تتضمن تصيّدًا احتياليًا. كما أن انتشار العملات الرقمية (العملات المشفرة)

جعل من هجمات الفدية أكثر صعوبة من حيث الإحباط أو المنع أو حتى الملاحقة القانونية.

وغالبًا، لا يكون هناك حلّ سوى دفع الفدية. ووفقًا لشركة IBM، فإن متوسط تكلفة اختراق البيانات يبلغ قرابة 5 ملايين دولار.
وبينما كان التصيد الاحتيالي الموجَّه يتم تقليديًا عبر البريد الإلكتروني، ثم لاحقًا عبر الرسائل النصية،

أصبحت وسائل التواصل الاجتماعي أيضًا مصدرًا رئيسيًا للاحتيال. ويُعدّ موقع LinkedIn من أبرز هذه المنصات،

حيث تُسهل المعلومات العامة التي ينشرها الأفراد عن أماكن عملهم ووظائفهم ومواقعهم الجغرافية على المهاجمين مهمة انتحال شخصيات موظفين بشكل مقنع.

كيف تحمي منظمتك من هجمات التصيد الاحتيالي:

افترض دائمًا أن هناك رسائل تصيد تصل إلى بريدك يوميًا، هناك بعض النصائح الفعّالة للتصدي لها:

استخدام المصادقة متعددة العوامل (MFA): تأكد من أن جميع الحسابات في المنظمة تستخدم المصادقة متعددة العوامل (MFA) كطبقة أمان إضافية. حتى إذا تم اختراق كلمة المرور، فإن وجود MFA سيصعب من مهمة المهاجمين.
التدريب المستمر: من المهم تدريب الموظفين على كيفية التعرف على الرسائل المشبوهة والتهديدات السيبرانية الجديدة، مثل التصيد الاحتيالي الموجه والتصيد الكبير. يجب تحديث التدريب بشكل دوري وفقًا لأحدث الأساليب المستخدمة من قبل المهاجمين.
استخدام برامج مكافحة الفيروسات: تأكد من أن جميع الأجهزة في المنظمة تحتوي على برامج مكافحة الفيروسات والبرمجيات الخبيثة المحدثة. يجب أيضًا إجراء فحص دوري للكشف عن أي تهديدات.
التحقق من الروابط المضمنة: قبل النقر على أي رابط، تحقق من الرابط في شريط العنوان في المتصفح. بعض المهاجمين يستخدمون روابط مشبوهة قد تبدو مشابهة للمواقع الأصلية، ولكنها تحتوي على تغييرات صغيرة.
التحديثات المنتظمة للبرمجيات: تأكد من أن جميع البرمجيات والأنظمة في المنظمة مُحدثة بأحدث الإصلاحات الأمنية. غالبًا ما يستغل المهاجمون الثغرات في البرمجيات القديمة للوصول إلى الأنظمة.
حظر الوصول إلى المواقع المشبوهة: استخدام برامج حظر الوصول إلى المواقع المشبوهة أو التي تحتوي على محتوى مضر، خاصة تلك التي قد تُستخدم في هجمات التصيد الاحتيالي أو التصيد الكبير.
إجراء اختبارات محاكاة: يمكن إجراء اختبارات محاكاة لالتصيد الاحتيالي بانتظام لموظفيك لتحديد مستوى الوعي الأمني لديهم وكيفية تعاملهم مع هذه التهديدات.
إبلاغ عن الهجمات بسرعة: تأكد من أن جميع الموظفين يعرفون كيفية الإبلاغ عن أي هجوم تصيد مشبوه بسرعة، سواء كان عبر البريد الإلكتروني أو من خلال قنوات التواصل الداخلي الخاصة بالمنظمة.
التصفح الآمن: استخدم متصفحًا آمنًا يحتوي على ميزات لحظر المواقع المشبوهة وتقديم إشعارات عند وجود مخاطر محتملة.
الاحتفاظ بنسخ احتياطية منتظمة: احتفظ بنسخ احتياطية للبيانات بشكل منتظم، حتى في حال وقوع هجوم تصيد أدى إلى فقدان بيانات حساسة أو تضرر الأنظمة.