التصيد Phishing

phishing

سأقتطف تعريف هذا المصطلح من ويكيبديا وسأعلق على بعض النقاط ,

التصيّد (بالإنجليزية: PHISHING) هو محاولة الحصول على المعلومات الخاصة بمستخدمي الانترنت سواء أكانت معلومات شخصية أو مالية، عن طريق الرسائل الالكترونية أومواقع الانترنت التي تبدو و كأنها مبعوثة من شركات موثوقة أو مؤسسات مالية وحكومية، كالبنوك الالكترونية (online banks).

كيف تتم عملية التصيّد

يقوم المتصيدون ( phishers ) بإرسال رسائل الكترونية( e-mails ) زائفة تطلب من مستخدمي الشبكة زيارة إحدى المواقع الالكترونية بحيث يطلب من المستخدم إجراء تحديث على بياناته، مثل:اسم المستخدم، كلمة المرور، بطاقة الائتمان، الضمان الاجتماعي، رقم الحساب في البنك. هذه المواقع الالكترونية هي مواقع زائفة، صمّمت فقط لسرقة معلومات المستخدم.ومن الأمثلة عليها موقع شبيه ب(yahoo) ؛حيث يقوم المستخدم بإدخال اسم البريد و كلمة السر للدخول إلى بريده الالكتروني، دون العلم أنه تم الاطلاع على تلك البيانات المدخلة. كيف هذا ؟ يحدث هذا عن طريق قيام المتصيد مثلا بانشاء موقع شبيه بالموقع الذى يتعامل معه الضحية بنفس التصميم وطريقة الدخول ويرسل له رسالة تطالبه بالدخول لحسابه مثلا لحدوث تغيير فى بياناته ,او للاطلاع على آخر عملية شراء قام بها الى آخره من الاسباب الزائفة ,مثلا انشاء موقع مثلا اذا كان هناك بنك يسمى BankIIT  وله موقع مثلا http://www.BankIIT.com  يقوم الشخص المتصيد بانشاء موقع شبيه بالموقع السابق له نفس التصميم ويضعه مثلا كاسم تحت النطاق مثلا http://www.BankIIT.acountonline.com واعطاء انطباع انه نفس الموقع ,يعتمد على حسن نية الضحية وقلة خبرته ,او عن طريق الحصول على نطاق شبيه مثلا http://www.BankLIT.com بتغيير ال I الى L [هذا مجرد مثال] وطبعا اعطائه نفس التصميم ,وهكذا,او مثلا انشاء موقع وايهام المشتركين الجدد انه يمكنهم استخدام اسم مستخدم البريد الالكترونى خاصتهم وكلمة السر [هذا غير خدمات استخدام حساب ياهو عن طريق خدمة شبكية تدخلك على موقع ياهو لتقوم بالدخول ثم ترجع الى الموقع    الذ ى انت به] عموما يفضل عدم استخدام هذا النوع من الخدمات ,او مثلا انشاء موقع للشراء الالكترونى وطلب بيانات حساب الفيزا الخاصة بالمستخدم لاتمام عملية الشراء .

الوقاية من التصيّد

1- حماية جهاز الحاسوب باستخدام برامج مضاد الفيروسات( anti-viruses )،جدار النار(firewalls ) ويجب تحديثها باستمرار.

2- التأكد من تحديث متصفح الانترنت.

  • تنزيل شريط أدوات لمتصفح الانترنت للحماية من المواقع الالكترونية المزيفة المعروفة.

3- التأكد من استخدام موقع الكتروني آمن في حال إدخال معلومات خاصة

  • تأكد من أن بداية عنوان الموقع في شريط العنوان للمتصفح هو: “https://” و ليس

http://”. هذا فى حالة انك كنت تقوم باستخدام حسابات مالية وليس بالضرورة ان يتم توفيره مع خدمات البريد .

4- الحذر من الروابط في الرسائل الالكترونية و التي تقود إلى صفحات الكترونية( في حال الاشتباه بالرسالة)، من الممكن في هذه الحالة إجراء اتصال هاتفي مع الشركة.

5- تجنب تعبئة النماذج(forms) المتعلقة بالمعلومات المالية أو تطلب أية معلومة خاصة في الرسائل الالكترونية.

  • إن لم تكن الرسالة الالكترونية تحتوي على توقيع رقمي (digital sign) فليس من الممكن التأكد من أنها ليست مزيّفة.

6- تجنّب إعطاء أي معلومات خاصة مثل رموز التعريف الشخصية (PIN) أو كلمات السر عند التحدّث عبر الهاتف مع البنوك أو المؤسّسات المالية لأنها لا تطلب هذه المعلومات عبر الهاتف بل تتطلّب الوجود الشّخصي.

7-اذا كنت تتعامل مع موقع خاص بالبيع والشراء فتأكد من وجود علامة Verisign Verisign وليس مجرد الصورة فقط ,فأنت ترانى واضع الصورة بسهولة ,بل يجب ان تكون الصورة عبارة عن وصلة لموقع Verisign ليس هذا فقط ,بل يجب ان تكون الوصلة تتحدث عن الموقع الذى تتعامل معه “موقع البيع والشراء” وانه آمن وهناك أيضا خدمة شبيهة هى GeoTrust Geotrust

ولها نفس طريقة العمل .

8-هناك انظمة دفع الكترونى حيث تحصل على كارت فيزا خاص التعامل على الشبكة الالكترونية فقط بمبلغ صغير على قدر عملية الشراء كأنه كارت شحن ,تضع به المبلغ الذى تريد انفاقه عن طريق الشبكة الالكترونية,بحيث اذا تعرضت للسرقة لا يكون المبلغ كبيرا .

يمكنك مراجعة موضوع مشابه سابق عن هذه العملية هنا

حول أحمد حسان
Senior IT Specialist @ German Hospital of Alexandria ,Co-Developed Medxpress ,Hospital ERP system ,Microsoft Certified Solution Developer

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s

%d مدونون معجبون بهذه: