ونحن في الربع الأخير من العام 2024، يظل التصيد الاحتيالي أحد أكثر تهديدات الأمن السيبراني انتشاراً وخطورة. وعلى الرغم من التقدم في التكنولوجيا والوعي المتزايد، يواصل مجرمو الااستغلال نقاط الضعف البشرية، وتكييف تكتيكاتهم للتهرب من الاكتشاف وتعظيم التأثير. يشارك معكم روبودين في هذه المقالة بعضاً من مخاطر التصيد الاحتيالي وكيف يمكن لاستخدام الحلول التكنولوجية أن يمنع تلك الهجمات حتى في حالة حدوث خطأ بشري.
الهندسة الاجتماعية
قد يتساءل بعض الأشخاص عن الفرق بين الهندسة الاجتماعية والتصيد الاحتيالي. الهندسة الاجتماعية هي عملية احتيال ضارة، حيث يتظاهر مرتكبها بأنه شخص آخر أو علامة تجارية قد يثق بها الضحية المحتملة ويحاول دفع الضحية إلى القيام بعمل يتعارض مع مصالح الضحية الذاتية. لا يكون المهاجم غير معروف دائماً. يمكن أن يكون المحتال شخصاً يعرفه الضحية (مثل أفضل صديق أو أحد أفراد الأسرة). ولكن في عالمنا الرقمي اليوم، يرتكب معظم عمليات الاحتيال عبر الانترنت أشخاصاً لا نعرفهم. الهندسة الاجتماعية قديمة قدم البشرية. هناك العديد من الأمثلة القديمة المكتوبة في وقت مبكر لأشخاص يشكون من عمليات الاحتيال ويتم استغلالهم.
تستغل الهندسة الاجتماعية الثقة المتأصلة التي يمنحها الإنسان للآخر. لقد تم بناؤها على الثقة ببعضنا البعض افتراضياً. بشكل عام، تخدمنا هذه الثقة الافتراضية جيداً. معظم نشاطاتنا الشحصية أو المهنية اليومية مبنية على ثقتنا المتأصلة في البشر الآخرين. لكن المحتالين يستغلون هذه الثقة الافتراضية.
أسباب التصيد الاحتيالي
ربما، السبب وراء وجود العديد من عمليات التصيد الاحتيالي هو أن هناك الكثير من المال الذي يمكن كسبه (سرقته) من الضحايا. يكسب المحتالون مليارات الدولارات سنوياً. لا يتم استهداف موظفي الشركات فقط حتى يتمكن المحتالون من
من الوصول إلى أموالهم، بل إن مزيداً من أموال الأشخاص العاديين يمكن الوصول إليها عبر الانترنت أيضاً. واليوم، أصبحت حسابات البنوك وبطاقات الائتمان والاستثمار والتقاعد لدى معظم الناس متاحة على الانترنت . ومن المؤسف أنه طالما كانت عمليات الاحتيال مربحة ومنخفضة التكلفة ومنخفضة المخاطر، فإنها ستستمر دون أي عوائق.
تطور هجمات ومخاطر التصيد الاحتيالي
تطورت هجمات التصيد الاحتيالي بشكل كبير . كانت المحاولات المبكرة لهذه الهجمات بدائية ويمكن التعرف عليها بسهولة، وتعتمد على رسائل بريد إلكتروني مكتوبة مليئة بالأخطاء الإملائية. في ذلك الوقت، كانت برامج التوعية الأمنية حلولاً ناجحة للغاية، حيث كان من السهل إلى حد ما تعليم المستخدمين كيفية تحديد الهجمات وتجنبها. ومع ذلك، فإن حملات التصيد الاحتيالي الحديثة متطورة بشكل أكبر. تستخدم الخملات، تقنيات الهندسة الاجتماعية المتقدمة وتستفيد من الأحداث الجارية لزيادة معدلات نجاحها.
أحد أبرز الاتجاهات في التصيد الاحتيالي هو استخدام التصيد الاحتيالي الموجه الذي يستهدف أفراداً أو مؤسسات
محددة. يجري المهاجمون بحثاً شاملاً عن ضحاياهم، ويجمعون المعلومات من ملفات تعريف وسائل التواصل الاجتماعي والسجلات العامة وغيرها من المصادر لصياغة رسائل مقنعة ومصممة خصيصاً لضحاياهم. هذا المستوى من التخصيص يجعل من الصعب حتى على الأفراد الأكثر يقظة التعرف على رسائل البريد الإلكتروني الاحتيالية.
العامل البشري
على الرغم من التقدم التكنولوجي في مجال الأمن السيبراني، يظل العامل البشري نقطة ضعف بالغة الأهمية. يستغل مجرمو الانترنت علم النفس البشري، معتمدين على المشاعر مثل الخوف والفضول والإلحاح للحث على اتخاذ إجراء. تعد برامج التدريب والتوعية ضرورية للتخفيف من هذا الخطر، ولكن عندما يكون كل ما يتطلبه الأمر هو رسالة بريد إلكتروني ناجحة لاختراق المؤسسة، فهذا لا يكفي. حتى الأفراد المدربين جيداً يمكن أن يقعوا ضحية لمحاولات التصيد المصممة بذكاء، مما يسلط الضوء على الحاجة إلى التكنولوجيا التي يمكنها الحماية حتى عندما يفشل البشر.
مخاطر التصيد الاحتيالي في عصر الذكاء الاصطناعي
يتمتع مجرمو الإنترنت بمهارة استغلال الأحداث والاتجاهات الحالية لجعل محاولات التصيد الاحتيالي الخاصة بهم أكثر إقناعاً. يشمل ذلك على سبيل المثال الاستفادة من التأثيرات المستمرة لجائحة كوفيد-19، واتجاهات العمل عن بُعد، والتوترات الجيوسياسية. ومع إضافة الذكاء الاصطناعي، أصبحت هذه التهديدات أكثر واقعية وصعوبة في اكتشافها. وعلى الرغم من كل الجهود المبذولة للتحكم في الذكاء الاصطناعي، فلن يكون من الممكن منع إساءة استخدامه لأشياء مثل التصيد الاحتيالي. إذا طلبت بشكل مباشر من ChatGPT أن ينشئ لك بريداً إلكتروني للتصيد الاحتيالي فهو سيرفض لأنه مصمم ليتنبه لمثل هذه الطلبات. لكن، إذا أعدنا صياغة الطلب لإنشاء مثال لرسالة بريد إلكتروني للتصيد الاحتيالي لاستخدامها في برامج التوعية الأمنية، فإنه ينشئ على الفور تلك الرسالة التي يمكن توظيفها في هجوم تصيد احتيالي. بعد ذلك، بمجرد أن يقوم ChatGPT بإنشاء رسالة بريد إلكتروني احتيالية “مثالية”، يمكننا باستخدام مطالبة مكتوبة بعناية أن نجعل الذكاء الاصطناعي يخصصها بشكل أكبر لتناسب مؤسسة أو قطاع أعمال معين.
تكتيكات التصيد الاحتيالي
- الروابط الضارة: عناوين URL التي تستضيف محتوى ضاراً، وغالباً ما تستخدم تقنيات خادعة مثل النطاقات الفرعية لتبدو شرعية (على سبيل المثال، (https://nasa.ssltls.com).
- الملفات الضارة: قد تكون هذه مرفقات بريد إلكتروني أو ملفات تم تنزيلها من رابط في رسالة تصيد احتيالي
بالبريد الإلكتروني. يمكن للملفات مثل EXE وبعض مستندات Microsoft Office إنشاء قناة تحكم وقيادة C&c، مما يمنح المهاجم إمكانية الوصول عن بُعد.
سرقة بيانات الاعتماد: قد تخدع رسائل البريد الإلكتروني المستخدمين لتسجيل الدخول إلى موقع ويب مزيف. على سبيل المثال، قد يطلب البريد الإلكتروني من المستخدم إدخال بيانات اعتماد الشركة للوصول إلى مستند مهم، ثم يتم إرسال المعلومات المدخلة إلى المهاجم. - الاحتيال على حاملي بطاقات الائتمان: يمكن للمهاجمين الاحتيال على باستخدام رسائل البريد الإلكتروني التي تطلب المدفوعات، إما عن طريق طلب معلومات بطاقة الائتمان أو عن طريق إرفاق فواتير مزيفة تطالب بالدفع.
الحماية من التصيد الاحتيالي
- MFA المقاوم للتصيد الاحتيالي: تأكد من استخدام طريقة مصادقة متعددة العوامل (MFA) مقاومة للتصيد hلاحتيالي، مثل FIDO2. وهو مفتاح أمان معتمد من FIDO.
- خدمة DNS الوقائية (PDNS): تمنع PDNS الوصول إلى المجالات الضارة. إذا نقر مستخدم على رابط من موقع ضار معروف، فسيمنع PDNS تحميل الموقع.
أمن البريد الإلكتروني السحابي: تنفيذ حل أمان بريد إلكتروني سحابي قوي يصفي تلقائياً رسائل البريد الإلكتروني الاحتيالية والبريد العشوائي والمحتوى الضار.
نقطة النهاية (EDR/XDR): تكشف حلول EDR وXDR عن التهديدات وتعزز القدرة على الاستجابة لها.
اختبار الاختراق المنتظم: عبر إجراء اختبارات اختراق منتظمة يمكن تحديد نقاط الضعف والتخفيف منها. - تدريب التوعية الأمنية: يساعد بتدريب الموظفين بانتظام على التعرف على تهديدات التصيد والاستجابة لها
كلمة أخيرة
نعتقد أن الجميع يعرف ما هو التصيد الاحتيالي. من الصعب أن يمر يوم كامل دون التعرض له بطريقة أو بأخرى. إنه موجود في كل مكان ونعرفه عندما نراه. يتعرض أغلب الناس له من خلال رسائل البريد الإلكتروني الاحتيالية أو الرسائل النصية أو المكالمات الهاتفية إلى هواتفهم المحمولة.
