الرسائل الاحتيالية.. فخ قديم مازال يؤتي ثماره

منذ ظهور الانترنت في القرن الماضي، سعى العديد من الأشخاص إلى استغلال هذه الشبكة في الأعمال الغير شرعية، ولما كانت التكنولوجيا محصورة بين شقين تقني وبشري، استغل هؤلاء كل الثغرات الموجودة فيهما لتحقيق غاياتهم، فتارةً يستغلون الثغرات التقنية في الأجهزة والبرامج، والثغرات المعرفية للمستخدمين تارةً أخرى.

ومع تزايد الأشخاص القادرين على الاتصال بالانترنت حول العالم، تزداد عمليات الاحتيال وبالتالي سقوط أعداد متزايدة من المستخدمين في هذه الفخاخ الافتراضية، وهو ما تؤكده تقارير وإحصائيات نوردها لاحقاً.

قشور لا تعبر عن الجوهر

يعتبر التصيد الاحتيالي جريمة تستغل كلاً من الشقين اللذين ذكرناهما آنفاً، فهو يستخدم الهندسة الاجتماعية والتقنيات الحديثة لسرقة البيانات الشخصية للمستخدمين، أهمها معلومات الحساب البنكي، تستهدف الهندسة الاجتماعية الضحايا غير الحذرين من خلال خداعهم، بالاعتقاد بأنهم يتعاملون مع طرف شرعي وموثوق به.

خلال استخدامك للانترنت، قد تتلقى رسالة عبر تطبيقات الدردشة أو مواقع التواصل من أحد أصدقائك أو أقاربك، أو بريدًا إلكترونيًا، وتبدو الرسالة كأنها من جهة معروفة، ويُطلب منك إدخال معلوماتك الشخصية أو التحقق منها عن طريق زيارة أحد مواقع الويب، أو الرد على البريد الإلكتروني، للحصول على وظيفة أو منحة أو الاطلاع على خبر مثير، قد يبدو عنوان الويب مشابهًا لذلك الحقيقي، وقد يكون البريد الإلكتروني مقنعًا بما يكفي لحثك على اتخاذ الإجراء المطلوب.

بمجرد النقر على الرابط، تُحوّل إلى موقع ويب مخادع يبدو مطابقًا للموقع الحقيقي -مثل المواقع الحكومية والبنكية- إلى حد بعيد، ويطلب منك إدخال معلومات شخصية حساسة مثل كلمات المرور وأرقام بطاقات الائتمان… إلخ، وبعد التسجيل تجد نفسك تنتقل من موقع لآخر وتكتشف في النهاية كذب هذه الأخبار، وبذلك تكون قد ابتلعت الطعم وأرسلت معلوماتك الشخصية لهؤلاء المحتالين.

وقد يكون الأمر أكثر خطورة من ذلك، فباستخدام حيل تقنية، وخلال تواجدك في الموقع المزيف، تُزرع البرامج الضارة على الأجهزة المحمولة والكمبيوتر ما يمكّن المخترقين من التحكم الكلي بأجهزة الضحايا، وسرقة بياناتهم وملفاتهم مباشرةً منها، دون أدنى شك منهم، فالهدف الأساسي من هذه المواقع هو سرقة معلوماتك.

والأمثلة على ذلك تكاد لا تحصر، نذكر منها رسالة انتشرت مؤخراً تدعي وجود منحة يقدمها مصرف سورية المركزي للسوريين بسبب الأزمات التي يعيشوا بها، وأرفقت الرسالة برابط يوصل إلى موقع لتتحقق من إمكانية الحصول على المنحة حسب زعمهم، إلا أن الخبر عارٍ عن الصحة تماماً، فالرابط المرفق هو رابط احتيالي وليس للموقع الرسمي لمصرف سورية المركزي.

حيث استخدم المحتالون حيلاً تقنية ليخدعوا فيها ذوي الخبرة الضعيفة بالتكنولوجيا، بجعل نطاق الموقع المزيف باسم (markazi)، واستخدام شعار المصرف المركزي في واجهته، ليعطي انطباعاً زائفاً بمصداقيته، في حين أن عنوان الموقع الرسمي لمصرف سورية المركزي هو (cb.gov.sy).

وغالباً ما يكون التصيد هو البداية فقط، حيث تستخدم هذه المعلومات لإجراء عمليات أكثر خطورة، مثل انتحال الهوية وبرامج الفدية وتسريب المعلومات الحساسة، ويكون الأذى الذي يلحق بالشركات أكثر عنفاً منه بالأفراد، مما يسبب خسارات تصل إلى ملايين الدولارات.

أرقام وإحصائيات تدق ناقوس الخطر

لكي تتكون لدينا نظرة مقاربة للواقع، لابد لنا من الاطلاع على أبرز الإحصائيات التي رصدت وتابعت أهم المتغيرات. فاعتبارًا من أبريل 2022، كان هناك 5 مليارات مستخدم للإنترنت في جميع أنحاء العالم، ومستخدمو وسائل التواصل الاجتماعي يمثلون 93% منهم، أي ما يقارب 60% من سكان العالم، وبمعدل يصل إلى 300 مليون مستخدم جديد سنوياً، وهو رقمٌ كبيرٌ يُسيل لعابَ المحتالين والمخترقين، فزيادة العدد تعني زيادة الضحايا.

وهو ما أكده تقرير مجموعة مكافحة التصيد الإلكتروني (APWG) -وهي جمعية غير هادفة للربح تأسست في عام 2003، تركز على القضاء على المخاطر الناتجة عن التصيد الاحتيالي وبرامج الفدية-  للربع الأول من العام الجاري، حيث اعتبرت المجموعةُ الربعَ الأولَ من هذا العام هو الربع الأسوء من ناحية التصيد الإلكتروني.

وتضمن التقرير إحصائيات غطت جوانب عدة متعلقة بالتصيد الإلكتروني (phishing)، حيث رصدت المجموعة أكثر من مليون هجوم تصيد احتيالي عالمياً، مقارنةً بحوالي 888 ألف هجوم في الربع الأول من 2021.

وفي أمريكا وحدها، بلغ عدد ضحايا التصيد الإلكتروني (Phishing attacks) عام 2021 ما يزيد عن 323 ألف ضحية، بخسائر تجاوزت 44 مليون دولار، وذلك بحسب مركز شكاوى جرائم الإنترنت التابع للـ (FBI).

هذه الإحصائيات وغيرها تستدعي انتباهنا إلى وجود تهديد محتمل قد يناب أي واحد منّا في أية لحظة، ما يستلزم تبيان هذه التهديدات والتوعية بمخاطرها، وكيفية حماية أنفسنا وأجهزتنا، وإبقاء معلوماتنا الحساسة في مأمن منها.

الوقاية خير من العلاج

حكمة قديمة يصلح إسقاطها على موضوعنا، وفي الوقت الذي لا يمكننا وضع حد لمتصيدين، يمكننا بخطوات بسيطة حماية أنفسنا من أشهر طرق التصيد الإلكتروني وأكثرها شيوعاً، نفردها في نقاط رئيسية:

• تأكد من أن الموقع رسمي، وذلك من خلال عدة مؤشرات أهمها النطاق (Domain name)، فالمواقع الحكومية والرسمية غالباً ما تنتهي بـ (.gov) أو النطاق العلوي للدولة كـ (.sy) لسوريا.
  
  
• لا تفتح روابط وصلتك من مصدر غير موثوق، كما لا تفتح أية رابط يدعي أخباراً غير منطقية ولو وصلك من مصدر موثوق.
  
  
• خلال تواجدك في الموقع، تأكد من وجود القفل بجانب شريط العنوان، فهو يشير إلى أن اتصالك بهذا الموقع محمي، كونه يستخدم بروتوكول (HTTPS)، وإلا فلا تُدخل أية معلومات شخصية.
  
  
• تحقق من عنوان البريد الإلكتروني الذي وصلك، ودقق في تهجئته، فوجود تغيير بسيط بحرف أو رمز يعني أنه يعود لجهة أخرى.
  
  
• عند مطالعتك للأخبار الحكومية على مواقع التواصل، تأكد من أن الصفحة رسمية، ووجود علامة التوثيق الزرقاء دليل أولي على مصداقية الصفحة.

أما بالنسبة للشركات والمؤسسات، فلابد من بناء سياسات أمنية خاصة بالشركة، لحماية مواردها التقنية والبشرية، عبر إجراء اختبارات إختراق بشكل دوري لكشف كافة الثغرات الأمنية الموجودة في الموارد التقنية والتي يمكن للمخترقين استغلالها، وبتدريبات ترفع من الوعي الأمني للكوادر البشرية، قد يراها بعض المدراء بطراً وسرفاً، إلا أن تكلفتها لا تساوي عُشر الخسائر الناتجة عن هذه التهديدات.