وفقًا لتقرير حديث يمكن إرجاع 90٪ من جميع خروقات البيانات إلى هجمات التصيد الاحتيالي. على الرغم من شيوعها وانتشارها إلا أن القليل من الشركات تعرف كيفية حماية نفسها بشكل فعال من هذه الجرائم الإلكترونية المدمرة.
حتى تفهم أكثر أنصحك بالإطلاع عن مقالنا عن الأمن السيبراني أولا.
نظرًا لأن متوسط تكلفة هجوم تصيد ناجح يكلف الآن شركة متوسطة الحجم 1.6 مليون دولار، فمن الضروري أن تعرف كيفية تحديد عملية احتيال التصيد الاحتيالي وتثقيف موظفيك حول المخاطر التي يشكلونها.
ما هو التصيد الاحتيالي phishing scam؟
التصيد الاحتيالي هو نوع من الجرائم الإلكترونية حيث يتم الاتصال بالفرد من قبل شخص يتبنى مظهر مؤسسة أو منظمة أو فرد محترم من أجل إغراء الهدف بتقديم معلومات سرية – بما في ذلك كلمات المرور والتفاصيل المصرفية ومعلومات التعريف الشخصية – إلى قراصنة.
سيتم بعد ذلك استخدام هذه المعلومات للوصول إلى حسابات الهدف، مما يؤدي غالبًا إلى خسارة مالية كبيرة.
عند استهداف الشركات يمكن أن تؤدي عمليات التصيد الاحتيالي أيضًا إلى فقدان معلومات الشركة الحساسة، مثل أرقام الإيرادات.
يتم تنفيذ عمليات الخداع عادةً عبر البريد الإلكتروني فقط.
ومع ذلك في السنوات الأخيرة كان هناك ارتفاع كبير في عدد عمليات الخداع التي يتم تنفيذها عبر الرسائل النصية (الرسائل النصية القصيرة) والمكالمات الهاتفية (التصيد).
بالإضافة إلى ذلك فإن حدوث التصيد المستهدف – هجمات التصيد الشخصية التي تستهدف عمداً هدفًا محددًا – قد ارتفع بشكل كبير.
بدءًا من الرسائل التي يُزعم أنها من البنك الذي تتعامل معه والتي تطلب منك تحديث معلومات حسابك، إلى تلك الرسائل التي يُفترض أنها من صاحب العمل والتي تطلب منك توقيع مستند مهم، فإن المطالبات المستخدمة في هجمات التصيد الاحتيالي متنوعة وغالبًا ما يصعب تحديدها.
خدع التصيد الاحتيالي وبرامج الفدية
بالإضافة إلى الحصول على معلومات سرية لا تقدر بثمن من الهدف، يمكن أيضًا استخدام عمليات التصيد الاحتيالي لنقل برامج الفدية إلى جهازك.
برامج الفدية هي شكل محدد من البرامج الضارة التي تقوم بتشفير بياناتك، مما يعني أنه لم يعد بإمكانك الوصول إلى ملفاتك ومعلوماتك.
سيطالب مجرمو الإنترنت بعد ذلك بدفع “فدية” مقابل فك تشفير هذه الملفات، على الرغم من عدم التوصية بالتأكيد بدفع الفدية.
غالبًا ما تنتشر برامج الفدية عن طريق المرفقات الموجودة في رسائل البريد الإلكتروني الاحتيالية.
بمجرد فتح هذه الملفات ستبدأ بعد ذلك في تنزيل برنامج الفدية مباشرة على الجهاز. نظرًا لارتفاع المخاطر المرتبطة بعمليات التصيد الاحتيالي، فمن الضروري أن تعرف كيفية تحديد عملية الخداع التي تقوم بالتصيد.
أربع خطوات لتحديد البريد الإلكتروني المخادع phishing email
من أسهل الطرق لمعرفة ما إذا كانت الرسالة التي تلقيتها شرعية هي قراءتها عن كثب. إذا تلقيت بريدًا إلكترونيًا من البنك الذي تتعامل معه يطلب منك تحديث التفاصيل الشخصية، فمن غير المرجح أن تحتوي على أخطاء إملائية ونحوية. كن حذرًا، فالبريد الإلكتروني من جهات غير موثوقة كثيرًا ما تحتوي على علامات تدل على عدم الاحترافية في الكتابة، وهذا أحد المؤشرات القوية على محاولة التصيد.
من الجدير بالذكر أنه على الرغم من أن المتسللين قد يكونون قد تبنوا اسم العرض الخاص بالشخص أو المنظمة الأصلية، إلا أن ذلك لا يضمن أنه من جانبهم. يفضل أن تتحقق من عنوان البريد الإلكتروني للمرسل بدقة، حيث أن استخدام نطاقات فرعية معقدة يسمح للمرسل بإخفاء هويته الحقيقية. تأكد دائمًا من أن النطاق يعكس الجهة الرسمية.
إذا تلقيت رسالة من زميل في وقت غير معتاد تحتوي على هجاء رديء بشكل غير عادي، فكن حذرًا وتحقق أولاً من المرسل قبل النقر فوق أي روابط موجودة في البريد الإلكتروني. يزداد استخدام هذه الأساليب الخادعة من قبل مجرمي الإنترنت، لذا يجب أن تكون متنبهًا. في حالة الشك، اتصل بالمرسل عبر وسيلة مختلفة للتحقق من صحة الرسالة.
الشعور غير المبرر بالإلحاح
سيحاول المتسللون غالبًا استخدام الشعور بالإلحاح لجعلك تفوتك العلامات الأكثر وضوحًا التي تدل على أنها مزيفة. هناك طريقة شائعة بشكل خاص للقيام بذلك وهي اقتراح أن حسابك قد تم اختراقه ويجب إعادة تعيينه. تذكر أن البنوك والشركات الكبرى لن تطلب منك أبدًا بيانات حساسة عبر البريد الإلكتروني.
رسائل التهديد
طريقة شائعة أخرى يحاول مجرمو الإنترنت دفعك للتخلي عن معلوماتك الشخصية أو تنزيل مرفقات ضارة وهي التهديد المباشر لك. من المهم معرفة أن هذه التهديدات تتنوع في أساليبها، وقد تتضمن أيضًا الابتزاز المالي من خلال الكشف عن معلومات حساسة.
مرفقات غريبة
إذا تلقيت يومًا بريدًا إلكترونيًا من شخص لا تعرفه، فلا تفتح أي مرفقات واردة فيه. تمثل هذه المرفقات خطرًا حقيقيًا على جهازك، خاصةً إذا كانت تأتي من مصدر غير موثوق. يحدث غالبًا أن يكون المحتوى مدمجًا مع برمجيات ضارة مثل برامج الفدية.
كيفية الحماية من عمليات التصيد الاحتيالي
على الرغم من أن الرسائل التي يرسلها مجرمو الإنترنت غالبًا ما تتخلى عن نواياهم الحقيقية، إلا أن بعضها قد يكون مصمّمًا بشكل جيد لدرجة أن مجرد البحث عن العلامات المذكورة أعلاه قد لا يكون كافيًا.
لحسن الحظ، هناك العديد من الخيارات التي يمكن أن تساعدك في تعزيز فرصك في البقاء محميًا من عمليات التصيد الاحتيالي.
1. فلترات البريد الإلكتروني
لن يضمن استخدام عامل تصفية البريد الإلكتروني وحده عدم تلقي أي رسائل بريد إلكتروني ضارة، ولكنه يساعد بالتأكيد.
يمتلك بعض موفري خدمة البريد الإلكتروني عوامل تصفية أكثر فعالية للبريد العشوائي والبريد غير الهام، لذلك يجدر البحث قبل اختيار خدمة البريد الإلكتروني التي تريد استخدامها.
إذا كنت مهتمًا بشكل خاص بمخاطر رسائل البريد الإلكتروني المخادعة، فيمكنك تعطيل جميع الارتباطات التشعبية في إعدادات البريد الإلكتروني.
على الرغم من أن هذا سيمنع الرسائل من دمج أي روابط خطيرة، إلا أنه يعني أيضًا أنك لن تتمكن من تلقي روابط من مرسلين شرعيين.
2. برامج مكافحة الفيروسات
إن امتلاك برنامج مكافحة فيروسات محدث ليس مهمًا فقط لحماية عملك من هجمات التصيد الاحتيالي، بل سيساعد في الحماية من جميع أنواع التهديدات الخطيرة.
تأتي بعض برامج مكافحة الفيروسات مزودة بإمكانيات مكافحة التصيد الاحتيالي والتي ستفحص مرفقات رسائل البريد الإلكتروني للتحقق مما إذا كانت خطيرة أم لا.
تأكد من قيامك بفحص جهازك بانتظام أيضًا، حيث يمكن أن تمر العديد من عمليات التصيد الاحتيالي دون أن يلاحظها أحد دون فحص جهازك بانتظام.
3. الشبكات الافتراضية الخاصة
تعد الشبكة الافتراضية الخاصة (VPN) جزءًا مهمًا من البرامج للحفاظ على الأمان أثناء الاتصال بالإنترنت، خاصةً إذا كنت تستخدم اتصالات WiFi العامة للوصول إلى المعلومات الحساسة.
تشكل شبكات WiFi العامة مجموعة كاملة من التهديدات ومن الأفضل تجنبها ما لم يكن لديك شبكة افتراضية خاصة فعالة، مثل CyberGhost أو Hotspot Shield يمكنها تشفير بياناتك أثناء الاتصال بالإنترنت.
لا تقم أبدًا بتسجيل الدخول إلى حسابك المصرفي أو الوصول إلى معلومات الشركة الحساسة أثناء الاتصال بشبكة غير آمنة.
لا يؤدي القيام بذلك إلى تعريضك لخطر هجمات التصيد الاحتيالي فحسب، بل يعرضك أيضًا لهجمات الوسيط والممارسات الضارة الأخرى.
4. تثقيف موظفيك
يمكن القول أن تثقيف موظفيك هو أهم خطوة في العملية برمتها. على الرغم من أنك قد تتعرف على علامات البريد الإلكتروني الاحتيالي، إذا لم يتعرف زملاؤك على ذلك، فإن شبكتك في خطر.
من الطرق الجيدة للتأكد من أن جميع القوى العاملة لديك على دراية بالمخاطر ومعرفة كيفية التعرف على خدعة التصيد الاحتيالي هي من خلال إجراء اختبارات محاكاة التصيد الاحتيالي. يتيح لك القيام بذلك أن تكون واثقًا من أن كل شخص في مكتبك يدرك المخاطر.
في النهاية، يعد الخطأ البشري أكبر خطر يهدد سلامة بيانات شركتك، وبدون تدريب كافٍ، فمن المرجح أن تظل شركتك واحدة من آلاف الشركات التي تقع ضحية لعمليات التصيد الاحتيالي كل عام.
أفضل الممارسات للتعامل مع التصيد الاحتيالي
للتعامل بفعالية مع هجمات التصيد الاحتيالي وحماية نفسك ومؤسستك، يجب اتباع مجموعة من الممارسات الأساسية. إليك بعض النصائح التي يمكن أن تساعدك في تعزيز أمانك الرقمي.
التثقيف والتوعية
يعتبر تثقيف الموظفين حول المخاطر الخاصة بالتصيد الاحتيالي أهم خطوة. نظم جلسات تدريبية منتظمة لمناقشة أحدث أساليب التصيد والتي تشمل تقنيات مثل التصيد المستهدف. تأكد من أن جميع الأفراد في مؤسستك يعرفون كيفية التعرف على علامات التصيد المختلفة.
تحديث الأنظمة والتطبيقات
من الضروري الحفاظ على تحديث جميع الأنظمة والبرمجيات المستخدمة في مؤسستك. تجعل التحديثات المستمرة من الصعب على القراصنة استغلال الثغرات الأمنية. استخدم أنظمة الأمان المتقدمة التي تأتي مع ميزات الكشف عن التصيد الاحتيالي.
التأكد من الروابط والمرفقات
عند تلقي رسالة من مصدر غير معروف، تحقق جيدًا من الروابط قبل النقر عليها. يمكنك تمرير الماوس فوق الرابط للتأكد من أنه يؤدي إلى الموقع الصحيح. تجنب فتح المرفقات غير المعروفة أو العروض الغير متوقعة.
تفعيل المصادقة الثنائية
يجب على الشركات تفعيل خاصية المصادقة الثنائية عند تسجيل الدخول إلى الحسابات. تعزز هذه الميزة من الأمان من خلال إضافة طبقة إضافية للتحقق، مما يجعل من الصعب على المهاجمين الوصول إلى المعلومات الحساسة حتى لو استطاعوا الحصول على كلمة المرور.
الإبلاغ عن محاولات التصيد
قم بإبلاغ قسم تكنولوجيا المعلومات في مؤسستك عن أي محاولة تصيد، حتى يتمكنوا من اتخاذ الإجراءات اللازمة. يساعد ذلك في تحسين وعي الجميع وتحديث السياسات الأمنية بمعلومات جديدة حول الأساليب المستخدمة من قبل المتسللين.
