تصيد

من ويكيبيديا، الموسوعة الحرة
اذهب إلى: تصفح، ‏ ابحث

التصيّد (بالإنجليزية: Phishing) هو محاولة الحصول على المعلومات الخاصة بمستخدمي الانترنت سواء أكانت معلومات شخصية أو مالية، عن طريق الرسائل الإلكترونية أومواقع الانترنت التي تبدو وكأنها مبعوثة من شركات موثوقة أو مؤسسات مالية وحكومية، كالبنوك

أصل كلمة (Phishing)[عدل]

أتت كلمة Phishing لأنّ محتالي الإنترنت (Internet Scammers) يستخدمون رسائل إلكترونية مغرية لاصطياد(fishing) كلمات السر والبيانات المالية من بحر (sea) مستخدمي الإنترنت. كما وأن قراصنة الإنترنت Hackers يميلون لاستبدال حرف (f) بحرفيّ (ph) فقد تم اشتقاق هذه الكلمة.

كيف تتم عملية التصيّد[عدل]

يقوم المتصيدون (phishers) بإرسال رسائل إلكترونية e-mails زائفة تطلب من مستخدمي الشبكة زيارة إحدى المواقع الإلكترونية بحيث يطلب من المستخدم إجراء تحديث على بياناته، مثل:اسم المستخدم، كلمة المرور، بطاقة الائتمان، الضمان الاجتماعي، رقم الحساب في البنك. هذه المواقع الإلكترونية هي مواقع زائفة، صمّمت فقط لسرقة معلومات المستخدم.ومن الأمثلة عليها موقع شبيه ب(yahoo) ؛حيث يقوم المستخدم بإدخال اسم البريد وكلمة السر للدخول إلى بريده الإلكتروني، دون العلم أنه تم الاطلاع على تلك البيانات المدخلة. و من الطرق الأخرى أن يقوم المتصيدون، بشكل غير ملاحظ، بتحميل برنامج كمبيوتر على أجهزة المستخدمين تسمح لهم بالوصول إلى تلك الأجهزة أو المعلومات الخاصة بالمستخدمين.

أنواع التصيّد[عدل]

في بداية ظهوره، كان التصيّد يعتمد استخدام الرسائل الإلكترونية الزائفة محتوية على روابط لمواقع على الشبكة هدفها الحصول على معلومات مستخدم الإنترنت، لكن في الأعوام الأخيرة الماضية تطوّرت عملية التصيّد لتشمل تقنيات جديدة للوصول إلى ضحاياها، وهنا نشمل أهم التقنيّات الحديثة:

البرامج الماكرة اوالخبيثة (Redirection and Other Malicious Code-Based Schemes)[عدل]

تعتمد هذه الطريقة على أن يقوم المستخدم عن غير معرفة بإنزال برامج ماكرة (Malicious Code) على حاسوبه المنزلي أو المكتبي حيث تقوم بإعادة توجيه المستخدم من دون معرفته إلى موقع شبيه بالموقع الذي يريد الدخول إليه ويقوم بجمع المعلومات الخاصة التي يدخلها المستخدم، وتسمى هذه العملية إعادة توجيه (Redirection).

من الأنواع الأخرى للبرامج الماكرة:

  • برنامج تسجيل أزرار لوحة المفاتيح keylogger:

حيث يقوم بتسجيل ما يدخله المستخدم من أحرف وأرقام للدخول إلى حسابه الماليّ، وإرسالها إلى المتصيّد (phisher) ليقوم الأخير بسحب الأموال من ذلك الحساب.

  • الباب الخلفي (Backdoor):

حيث يقوم هذا البرنامج بإعطاء المتصيد منفذا إلى جهاز المستخدم ليقوم عن طريق هذا المنفذ بالدخول إلى بيانات المستخدم وحساباته المالية ونقل الأموال منه، حيث يظهر أن المستخدم نفسه هو الذي قام بهذه العملية ولذلك في كثير من الحالات عندما يدّعي المستخدم بوجود عمليات تحويل أموال غير شرعية من حسابه يصعب إثبات ادّعائه.

التصيّد الصوتي (Vishing or voice phishing)[عدل]

تتمّ هذه العملية عن طريق أن:

  • يقوم المتصيد بإرسال رسالة إلكترونية إلى المستخدم تتضمّن رقم هاتف خدمة عملاء مزيّف، وعندما يقوم المستخدم بالاتصال به، يتم سؤاله عن معلوماته الشخصية والمالية.
  • يقوم المتصيد بالاتصال بالمستخدم والطلب منه أن يتصل برقم هاتف خدمة عملاء مزيّف، وعندما يقوم المستخدم بالاتصال به يتم سؤاله عن معلوماته الشخصية والمالية.

وقد أثارت هذه الطريقة مشكلة لسببين:

  • إمكانية استخدام تقنية الصوت عبر الإنترنت (Voice over Internet Protocol (VoIP)) وبعض البرامج الرخيصة التي توحي للمستخدم بأن الرقم الذي اتّصل به هو رقم مركز خدمة عملاء فعلي.
  • تقليد بروتوكول البنك المتبع لخداع المستخدم وإيهامه أنّ المتصيّد هو أحد موظّفي البنك.

الوقاية من التصيّد[عدل]

1- حماية جهاز الحاسوب باستخدام برامج مضاد الفيروسات(anti-viruses)،جدار النار(firewalls) ويجب تحديثها باستمرار.

2- التأكد من تحديث متصفح الإنترنت.

  • تنزيل شريط أدوات لمتصفح الإنترنت للحماية من المواقع الإلكترونية المزيفة المعروفة.

3- التأكد من استخدام موقع إلكتروني آمن في حال إدخال معلومات خاصة

  • تأكد من أن بداية عنوان الموقع في شريط العنوان للمتصفح هو: " https://" وليس " http://". وجود حرف اس بالإنجليزية بعد اتش تي تي بي وهو يعني موقع مامون الاستخدام والبيانات المنقولة مشفرة عبر هذه الصفحة

4- الحذر من الروابط في الرسائل الإلكترونية والتي تقود إلى صفحات إلكترونية(في حال الاشتباه بالرسالة)، من الممكن في هذه الحالة إجراء اتصال هاتفي مع الشركة.

5- تجنب تعبئة النماذج(forms) المتعلقة بالمعلومات المالية أو تطلب أية معلومة خاصة في الرسائل الإلكترونية.

  • إن لم تكن الرسالة الإلكترونية تحتوي على توقيع رقمي (digital sign) فليس من الممكن التأكد من أنها ليست مزيّفة.

6- تجنّب إعطاء أي معلومات خاصة مثل رموز التعريف الشخصية (PIN) أو كلمات السر عند التحدّث عبر الهاتف مع البنوك أو المؤسّسات المالية لأنها لا تطلب هذه المعلومات عبر الهاتف بل تتطلّب الوجود الشّخصي.

ملخّص[عدل]

التصيّد هو شكل من أشكال السلوك الإجرامي الذي يشكل التهديدات المتزايدة للمستخدمين، والمؤسسات المالية، والمؤسسات التجارية. ولأنه لا يبدو أن مخاطر وأضرار التصيّد في تراجع بل على العكس فإنها تزداد تعقيدا، فان تنفيذ القانون والوكالات الحكومية والقطاع الخاص -على مستوى دولي- عليها أن تتعاون في جهودها الرامية إلى مكافحة التصيّد، من خلال تحسين التعليم العام (Public Education) والوقاية، والتوثيق(Authentication), والجهود الثنائية والوطنية (Binational and National enforcement efforts).

وفي حين يشكل التصيّد تهديدا بحدّ ذاته، من المهم أيضا أن ندرك أنّ التحديات التي تواجه واضعي السياسات والمسؤولين عن إنفاذ القانون في ما يخص التصيّد تعكس قضيّة أكبر وهي سرقة الهويّة (identity theft).

وصلات خارجية[عدل]