كتب : وائل الجعفري
أصبح التصيّد الاحتيالي أحد أهم محاولات القراصنة لخداع الموظفين الحكوميين أو الأفراد، لتقديم معلومات شخصية عن طريق انتحال صفة جهة اتصال معروفة.
وتوفر هيئة تنظيم الاتصالات والحكومة الرقمية «تدرا» خدمة «اختبار التصيد الإلكتروني» للجهات الحكومية، والتي تقيس مدى استجابة الموظفين للرسائل الاحتيالية، وذلك عبر إرسال رسائل مزيفة وإقناعهم بإرسال معلوماتهم الخاصة أو فتح روابط ومرفقات.
ويتم توفير تقرير للجهة حول من قام بفتح البريد والضغط على الرابط، ومن قام بتوفير معلوماته الخاصة، حيث يساعد التقرير في فهم مدى وعي الموظفين بالمخاطر الأمنية.
كما وتوفر بيانات ومعلومات البريد الإلكتروني لعينة الدراسة من موظفي الجهة الحكومية الطالبة للخدمة.
يتم التسجيل في الخدمة عبر موقع «تدرا» أو التطبيق الرسمي على الهاتف المتحرك باستخدام الهوية الرقمية، وإرسال الطلب للحصول على الخدمة ليتم استلام مستند قواعد الاشتباك من قبل «الهيئة»، ثم تعبئة وتوفير البيانات المطلوبة والسير في إجراءات التصيد الإلكتروني، ثم يتم الحصول على تقرير تقييم مدى وعي الموظفين بالمخاطر الأمنية.
ويستغرق تقديم الخدمة 11 يوم عمل، حيث يتم السماح للهيئة بالنفاذ إلى شبكة وخوادم الجهة الحكومية الطالبة للخدمة ليتم تقديم التقييم.
وتتم مشاركة مستند قواعد الاشتباك مع الأشخاص المعنيين في الجهة الحكومية، حيث يحتوي المستند على المعلومات المطلوبة من الجهة، وفي حال وجود أسئلة أخرى يمكن التواصل مع الفريق المعني في «الهيئة».
ويعمل التصيد الاحتيالي عبر إرسال مجرمي الإنترنت رسائل تتضمن رابطاً أو مرفقاً ضاراً. ويكون الهدف من ذلك أن ينقر المستهدفون على الرابط، وهو ما قد يقوم بتنزيل برنامج ضار أو يقودهم إلى موقع غير شرعي لسرقة معلوماتهم الشخصية.
وأصبح التصيد الاحتيالي عبر السنوات أكثر تقدماً بشكل كبير، ويتمثل التحدي في التصيد الاحتيالي في أنّه قد يكون من الصعب اكتشافه، حيث تصبح الأساليب أكثر تعقيداً، خاصة مع استحداث الذكاء الاصطناعي، ويعتمد مجرمو الإنترنت على الهندسة الاجتماعية لإقناع الضحايا بفتح المرفقات المشبوهة.
يُعد هجوم الهندسة الاجتماعية الأكثر شيوعاً، حيث يخدع الضحية لتقوم بفعل سريع عبر معلومات خادعة، على سبيل المثال، الاحتيال على الخوف من أن دائرة الإيرادات الداخلية سترفع قضية على الضحية، وتتضمن رسالة التصيد الاحتيالي دعوة عاجلة لاتخاذ إجراء مثل «تحرك الآن أو ستغرمك دائرة الإيرادات الداخلية»، وهو ما يجعل الضحية تقدم لمجرم الإنترنت معلومات حساسة.
وتتضمن الأمثلة الأكثر تقدماً أشياء مثل رسالة غير شرعية من زميل أو مدير في العمل، أو رسالة تتضمن معلومات متلقٍ مؤكدة، حيث يمكن أن تؤدي هذه الأمثلة إلى اختراق أنواع عديدة من البيانات.
عادة ما يتم استخدام محاكاة الرابط إلى جانب الهندسة الاجتماعية وباستخدام احتيال دائرة الإيرادات الداخلية على سبيل المثال، يتم خداع الضحية لتصدق أنّها مديونة بأموال لدائرة الإيرادات الداخلية. ومن النظرة الأولى سيبدو أنّ الرابط شرعي وقد يتضمن ما يبدو أنّه عنوان URL صحيح لموقع دائرة الإيرادات الداخلية.
وفور النقر عليه، سيتم توجيه المستخدم لموقع غير شرعي، حيث يتم طلب معلوماته وعندما تدخل الضحية معلوماتها، سيعرفها مجرم الإنترنت، ويمكنه استخدامها لأغراضه الشخصية الضارة.