نلمس كل يوم العديد من الإيجابيات للثورة الرقمية المتسارعة التي نشهدها. ولكن التأثير السلبي الأكبر يتمثل في زيادة خطر التهديدات السيبرانية. ومن هذه التهديدات الهندسة الاجتماعية وإحدى وجوهها التصيد الاحتيالي بالرسائل القصيرة الذي يتحدث عنه روبودين في مقال اليوم. زادت الرسائل النصية غير المرغوب فيها ، مما جعل المستهلكين عُرضة لمجرمي الانترنت الذين يحاولون سرقة معلومات شخصية قيمة. و تسعى الحكومات وشركات الاتصالات للتصدي لهذه الرسائل.لكن يزال من المهم أكثر من أي وقت مضى أن يكون الجميع على دراية بمخاطر هذا الموضوع.
التصيد الاحتيالي بالرسائل القصيرة
الرسائل القصيرة ليست النوع الوحيد من خدمات الرسائل التي يمكنك الحصول عليها على الهاتف المحمول، ولكنها الأكثر شيوعاً. بالنسبة للعديد من الأشخاص، SMS هي الرسائل النصية والعكس صحيح. يستخدم المحتالون الرسائل النصية القصيرة بشكل شائع جداً لإرسال رسائل الهندسة الاجتماعية. يسمى هذا النوع من الهجمات بالتصيد عبر الرسائل النصية القصيرة (Smishing). غالباً ما تتضمن رسائل Smishing روابط URL غريبة المظهر. من الناحية الإيجابية، ما تراه كرابط في رسالة SMS هو ما يمثله هذا الرابط. لست مضطراً إلى التمرير فوق رابط URL لمعرفة ما يرتبط به الرابط حقاً (كما تفعل في البريد الإلكتروني وعلى الويب).
استغلال الروابط المختصرة
ولكن من الناحية السلبية، غالباً ما يستخدم المحتالون عناوين URL “المختصرة”. تبدأ عناوين URL هذه باسم المجال الرئيس للخدمة المختصرة (مثال: bit.ly ). ويكون متبوعاً إما بسلسلة عشوائية من الأحرف أو بعض النصوص التي يختارها الشخص الذي أنشأ الرابط المختصر. أحياناً، ينشئ المحتالون روابط مختصرة تتضمن كلمات مضللة مثل “تحقق” أو : “جائزة”. يساهم ذلك في تقليل حذر ضحاياهم ودفعهم للنقر على رابط URL المختصر أو فتحه. فإنه يأخذه بعد ذلك إلى عنوان URL الأصلي الذي كان يختزله الرابط. يمكن أن تأتي رسائل SMS من أرقام هواتف تملكها الجهات الضارة أو حصلوا عليها بالخداع أو التزوير. أو يمكن أن تصل الرسائل من الرموز القصيرة ,هي أرقام مكونة من 4 أرقام غالباً أو من معرفات تملكها مؤسسات.
تدرك شركات الاتصالات و المسوقون الفعليون مدى أهمية الرسائل النصية القصيرة. كما يدركون خطورة التلاعب بها أو إساءة استخدامها عبر هجمات Smishing . ولذلك يسعون دائماً لتطوير إجراءاتهم لتخفيف مخاطر هذه الهجمات. أحد الحلول المقترحة هو استبدال الرموز القصيرة بأرقام ذات ترميز محدد مخصص للتسويق. و بالتالي، يتحقق مزودي خدمات الاتصالات من مشغليه مسبقاً لتقليل سوء الاستخدام والاساءة عبر التصيد الاحتيالي باسنخدام Smishing. لقد تلقى أغلب مستخدمي الهواتف الخليوية رسالة احتيال أو رسالة مزعجة قصيرة واحدة على الأقل وهي تكلف ضحاياها ملايين الدولارات سنوياً حول العالم مما يعني أن المحتالين مازالوا يوظفون الرسائل النصية القصيرة لتنفيذ هجماتهم، وكذلك فإن متلقي تلك الرسائل لم يطوروا دفاعاتهم أو حذرهم لتفادي خطر هذه الهجمات.
الحماية من التصيد الاحتيالي بالرسائل القصيرة
نظراً لتزايد رسائل البريد العشوائي والتصيد الاحتيالي، يحتاج مزودو خدمات الاتصالات أكثر من أي وقت مضى إلى التأكد من امتثال عملائهم من بائعي الرسائل القصيرة للقواعد واللوائح. ويشمل ذلك احترام الملكية الفكرية و العلامات التجارية، والتأكد من شرعية الشركات، وفهم حالات الاستخدام، والحصول على الموافقة المناسبة لعروض الخدمات الجديدة. تتبنى شركات الاتصالات طرقاً لجعل استخدام المحتالين للرسائل القصيرة أكثر صعوبة. لقد سئم المستخدمون من عمليات الاحتيال عبر الرسائل النصية، ولذلك انتقلوا إلى تطبيقات المراسلة الأخرى، مثل WhatsApp وما إلى ذلك، ولكن حتى تلك التطبيقات أصبحت ساحة لعمليات الاحتيال أيضاً، وإن بأشكال مختلفة. والدرس المستفاد هو أنه في أي مكان يمكن لشخصين التواصل فيه، سيحاول المحتالون التسلل إليه واستغلاله.
في أغلب الدول، يُطلب الآن من كل كيان يسعى إلى إرسال رسائل نصية قصيرة تسجيل علامته التجارية وحملته قبل أن يتمكن من إرسال أي رسائل. وتقع على عاتق مزودي خدمات الاتصالات مسؤولية فرض هذه القواعد والتأكد من امتثال عملائهم لها بشكل كامل. وعلى غرار كيفية إدارة الامتثال في عالم الرسائل القصيرة، يفرض مزودو خدمة الرسائل وكذلك مزودو تطبيقات الدردشة الكبيرة مثل WhatsApp قواعد صارمة للتسجيل والتحقق. بالإضافة إلى ذلك، يوفر المزودون أمن الخدمة من البداية إلى النهاية من خلال تشفير الرسائل بين طرفي المرسل والمستقبل، إضافة للمصادقة بخطوتين وغيرها من الإجراءات الأمنية.
كيف تميز رسالة نصية احتيالية؟
للتعرف على رسالة احتيالية يجب فهم الأنواع المختلفة لأرقام الهواتف المستخدمة لهذا النوع من الرسائل. يتم إرسال معظم الرسائل النصية المشروعة عبر أرقام قصيرة تحتوي على 4-6 أرقام أو معرف اسمي مرتبط بشركة مسجلة أصولاً لدى شركة الاتصالات. ويفترض مع مرور الوقت أن تقل احتمالية تلقي رسالة نصية غير مرغوب فيها أو هجوم تصيد من رقم قصير نتيجة الضبط الذي تمارسه الجهات الناظمة للاتصالات عالمياً.
من ناحية أخرى، إذا تلقيت رسالة من رقم هاتف عادي مكون من 10 أرقام ويدعي مثلاً- أنه المصرف الذي تتعامل معه، فيجب أن تكون حذراً لأن الرسالة التي تأتي من رقم طويل هي احتيالية غالباً، وخصوصاً إذا كان مضمونها يتضمن روابط أو يطلب منك معلومات أو كلمة سر. وفي حالات مشابهة، يجب على المستهلكين تجنب الرابط المقدم والاتصال بالعلامة التجارية مباشرةً عبر قناة اتصال موثوقة ،غير الرقم الذي وردت منه الرسالة، للتحقق من صحة مضمونها أو الإبلاغ عنها. غالباً ما ينتحل المحتال شخصية علامة تجارية كبيرة ويطلب معلومات شخصية، ويدعي إعادة تعيين الحساب أو تحديث المعلومات أو منحك جائزة.
التخفيف من التصيد الاحتيالي؟
لقد أدت الرقمنة إلى تغيير جوهري في شكل الأعمال التجارية، ويدرك أصحاب الأعمال بشكل متزايد أن استخدامهم لمنصات الدردشة بشكل فعال و آمن يوفر لهم مكاسب كبيرة. أما البنوك ومقدمي الخدمات المالية فهم يفضلون إجراء غالبية التعاملات داخل تطبيق يحمل علامتهم التجارية، لكنهم أيضاً يستخدمون الرسائل النصية القصيرة للإشعارات وما إلى ذلك. وبالمثل، فإن المصارف تتحقق من هوية مستخدمي خدماتها بطرق محكمة، كما تدير برامج توعية أمنية لتقليل المخاطر المتعلقة بالتصيد الاحتيالي بكل أنواعه. كما توفر أغلب الشركات قنوات للإبلاغ عند الشك بأي نشاط احتيالي، سواءاً كان داخلياً من أحد موظفي الشركة أو خارجياً من جهات تنتحل صفة أولئك الموظفين أو تدعي تمثيل الشركة.
كلمة أخيرة
في بيئة الأعمال الحالية، تسعى الشركات التي تمتلك رؤيا استراتيجية لأن تُبقي البيانات التجارية وبيانات العملاء الحساسة آمنة بالتوازي مع الاستخدام المدروس لقنوات التواصل و الاتصال مع عملائها بشكل يحفظ خصوصيتهم وأمنهم بشكل يعزز ثقتهم بالشركة و يزيد ولاءهم.
