كيفية حماية الأموال والبيانات الشخصية على الإنترنت

2024 مؤلف: Malcolm Clapton | [email protected]. آخر تعديل: 2023-12-17 03:46

كلما زادت معرفتك ، زادت صعوبة خداعك. إليك كل ما تحتاج لمعرفته حول التصيد الاحتيالي باستخدام Microsoft.

اعثر على المزيد من النصائح حول كيفية حماية نفسك من التهديدات الرقمية.

ما هو التصيد الاحتيالي وما مدى خطورته

يعد التصيد الاحتيالي نوعًا شائعًا من الاحتيال الإلكتروني ، والغرض منه هو اختراق الحسابات واختطافها أو سرقة معلومات بطاقة الائتمان أو أي معلومات سرية أخرى.

في أغلب الأحيان ، يستخدم مجرمو الإنترنت البريد الإلكتروني: على سبيل المثال ، يرسلون رسائل نيابة عن شركة معروفة جيدًا ، لجذب المستخدمين إلى موقعها المزيف بحجة الترويج المربح. الضحية لا يتعرف على المزيف ، ويدخل اسم المستخدم وكلمة المرور من حسابه ، وبالتالي يقوم المستخدم نفسه بنقل البيانات إلى المحتالين.

يمكن لأي شخص أن يعاني. غالبًا ما تستهدف رسائل البريد الإلكتروني الخادعة التلقائية جمهورًا عريضًا (مئات الآلاف أو حتى الملايين من العناوين) ، ولكن هناك أيضًا هجمات تستهدف هدفًا محددًا. غالبًا ما تكون هذه الأهداف هي كبار المديرين أو غيرهم من الموظفين الذين يتمتعون بامتياز الوصول إلى بيانات الشركة. تسمى إستراتيجية التصيد الشخصية هذه باسم صيد الحيتان ، والتي تُترجم إلى "اصطياد الحيتان".

يمكن أن تكون عواقب هجمات التصيد مدمرة. يمكن للمحتالين قراءة مراسلاتك الشخصية ، وإرسال رسائل تصيد إلى دائرة جهات الاتصال الخاصة بك ، وسحب الأموال من الحسابات المصرفية ، والعمل بشكل عام نيابة عنك بمعنى واسع. إذا كنت تدير شركة ، فإن الخطر يكون أكبر. المخادعون قادرون على سرقة أسرار الشركة ، أو إتلاف الملفات الحساسة ، أو تسريب بيانات عملائك ، والإضرار بسمعة الشركة.

وفقًا لتقرير اتجاهات أنشطة التصيد الاحتيالي لمجموعة عمل مكافحة التصيد الاحتيالي ، في الربع الأخير من عام 2019 وحده ، اكتشف خبراء الأمن السيبراني أكثر من 162000 موقع ويب احتيالي و 132000 حملة بريد إلكتروني. خلال هذا الوقت ، أصبحت حوالي ألف شركة من جميع أنحاء العالم ضحايا للتصيد الاحتيالي. يبقى أن نرى عدد الهجمات التي لم يتم الكشف عنها.

تطور وأنواع التصيد

مصطلح "التصيد" يأتي من الكلمة الإنجليزية "الصيد". يشبه هذا النوع من عمليات الاحتيال الصيد حقًا: يرمي المهاجم الطُعم على شكل رسالة أو رابط مزيف وينتظر المستخدمين لدغهم.

ولكن في اللغة الإنجليزية يتم تهجئة التصيد بشكل مختلف قليلاً: التصيد الاحتيالي. يتم استخدام digraph ph بدلاً من الحرف f. وفقًا لإصدار واحد ، هذه إشارة إلى كلمة زائفة ("مخادع" ، "محتال"). من ناحية أخرى - لثقافة المتسللين الأوائل ، الذين أطلق عليهم اسم phreakers ("phreakers").

يُعتقد أن مصطلح التصيد الاحتيالي قد استخدم لأول مرة علنًا في منتصف التسعينيات في مجموعات أخبار Usenet. في ذلك الوقت ، أطلق المحتالون أولى هجمات التصيد التي تستهدف عملاء مزود الإنترنت الأمريكي AOL. أرسل المهاجمون رسائل يطلبون فيها تأكيد أوراق اعتمادهم ، متنكرين كموظفين في الشركة.

مع تطور الإنترنت ، ظهرت أنواع جديدة من هجمات التصيد الاحتيالي. بدأ المحتالون في تزوير مواقع ويب كاملة واتقنوا قنوات مختلفة وخدمات اتصالات. اليوم ، يمكن تمييز هذه الأنواع من التصيد الاحتيالي.

• البريد الإلكتروني التصيد. يقوم المحتالون بتسجيل عنوان بريدي مشابه لعنوان شركة معروفة أو أحد معارف الضحية المختارة ، وإرسال رسائل منها. في الوقت نفسه ، من خلال اسم المرسل والتصميم والمحتوى ، يمكن أن تكون الرسالة المزيفة مطابقة تقريبًا للرسالة الأصلية. يوجد بالداخل فقط رابط إلى موقع مزيف أو مرفقات مصابة أو طلب مباشر لإرسال بيانات سرية.
• رسائل التصيد الاحتيالي عبر الرسائل القصيرة (smishing). يشبه هذا النظام المخطط السابق ، ولكن يتم استخدام الرسائل القصيرة بدلاً من البريد الإلكتروني.يتلقى المشترك رسالة من رقم مجهول (قصير عادة) مع طلب بيانات سرية أو رابط لموقع وهمي. على سبيل المثال ، يمكن للمهاجم أن يقدم نفسه كمصرف ويطلب رمز التحقق الذي تلقيته سابقًا. في الواقع ، يحتاج المحتالون إلى الكود لاختراق حسابك المصرفي.
• التصيد الاحتيالي على وسائل التواصل الاجتماعي. مع انتشار برامج المراسلة الفورية ووسائل التواصل الاجتماعي ، غمرت هجمات التصيد هذه القنوات أيضًا. يمكن للمهاجمين الاتصال بك من خلال حسابات وهمية أو مخترقة لمنظمات معروفة أو لأصدقائك. خلاف ذلك ، فإن مبدأ الهجوم لا يختلف عن السابق.
• التصيد عبر الهاتف (التصيد). لا يقتصر المحتالون على الرسائل النصية ويمكنهم الاتصال بك. في أغلب الأحيان ، يتم استخدام المهاتفة عبر الإنترنت (VoIP) لهذا الغرض. يمكن للمتصل انتحال شخصية ، على سبيل المثال ، موظف في خدمة الدعم لنظام الدفع الخاص بك وطلب البيانات للوصول إلى المحفظة - من المفترض أن يتم التحقق منها.
• البحث في التصيد الاحتيالي. يمكنك العثور على تصيد في نتائج البحث مباشرة. يكفي الضغط على الرابط الذي يؤدي إلى الموقع الوهمي وترك بيانات شخصية عليه.
• تصيّد منبثق. غالبًا ما يستخدم المهاجمون النوافذ المنبثقة. عند زيارة مورد مشكوك فيه ، قد ترى لافتة تعد ببعض الفوائد - على سبيل المثال ، الخصومات أو المنتجات المجانية - نيابة عن شركة معروفة. بالنقر فوق هذا الرابط ، سيتم نقلك إلى موقع يتحكم فيه مجرمو الإنترنت.
• الزراعة. لا ترتبط مباشرة بالتصيد الاحتيالي ، ولكن الزراعة هي أيضًا هجوم شائع جدًا. في هذه الحالة ، يقوم المهاجم بسخرية بيانات DNS عن طريق إعادة توجيه المستخدم تلقائيًا بدلاً من المواقع الأصلية إلى المواقع المزيفة. الضحية لا يرى أي رسائل مشبوهة ولافتات مما يزيد من فاعلية الهجوم.

يستمر التصيد في التطور. تحدثت Microsoft عن التقنيات الجديدة التي اكتشفتها خدمة الحماية من التهديدات المتقدمة Microsoft 365 Advanced Threat Protection في عام 2019. على سبيل المثال ، تعلم المحتالون إخفاء المواد الضارة في نتائج البحث بشكل أفضل: يتم عرض الروابط الشرعية في الأعلى ، مما يؤدي بالمستخدم إلى مواقع التصيد الاحتيالي من خلال عمليات إعادة توجيه متعددة.

بالإضافة إلى ذلك ، بدأ مجرمو الإنترنت في إنشاء روابط تصيد تلقائيًا ونسخًا دقيقة من رسائل البريد الإلكتروني بمستوى جديد نوعيًا ، مما يسمح لهم بخداع المستخدمين بشكل أكثر فعالية وتجاوز الإجراءات الأمنية.

في المقابل ، تعلمت Microsoft تحديد التهديدات الجديدة وحظرها. استخدمت الشركة كل معرفتها بالأمن السيبراني لإنشاء حزمة Microsoft 365. فهي توفر الحلول التي تحتاجها لعملك ، مع ضمان حماية معلوماتك بشكل فعال ، بما في ذلك من التصيد الاحتيالي. يحظر Microsoft 365 Advanced Threat Protection المرفقات الضارة والارتباطات التي قد تكون ضارة في رسائل البريد الإلكتروني ، ويكشف عن برامج الفدية والتهديدات الأخرى.

كيف تحمي نفسك من التصيد الاحتيالي

تحسين محو الأمية التقنية الخاصة بك. كما يقول المثل ، فإن المحذر مسلح. ادرس أمن المعلومات بنفسك أو استشر الخبراء للحصول على المشورة. حتى مجرد المعرفة القوية بأساسيات الصحة الرقمية يمكن أن يوفر لك الكثير من المتاعب.

كن حذرا. لا تتبع الروابط أو تفتح المرفقات في رسائل من محاورين غير معروفين. يرجى التحقق بعناية من تفاصيل الاتصال بالمرسلين وعناوين المواقع التي تزورها. لا تستجيب لطلبات الحصول على معلومات شخصية ، حتى عندما تبدو الرسالة قابلة للتصديق. إذا طلب منك أحد ممثلي الشركة معلومات ، فمن الأفضل الاتصال بمركز الاتصال الخاص به والإبلاغ عن الموقف. لا تنقر فوق النوافذ المنبثقة.

استخدم كلمات المرور بحكمة. استخدم كلمة مرور فريدة وقوية لكل حساب. اشترك في الخدمات التي تحذر المستخدمين إذا ظهرت كلمات مرور حساباتهم على الويب ، وقم بتغيير رمز الوصول فورًا إذا تبين أنه تم اختراقه.

قم بإعداد مصادقة متعددة العوامل. تعمل هذه الوظيفة أيضًا على حماية الحساب ، على سبيل المثال ، باستخدام كلمات مرور لمرة واحدة. في هذه الحالة ، في كل مرة تقوم فيها بتسجيل الدخول إلى حسابك من جهاز جديد ، بالإضافة إلى كلمة المرور ، سيتعين عليك إدخال رمز مكون من أربعة أو ستة أحرف يتم إرساله إليك عبر رسالة نصية قصيرة أو يتم إنشاؤه في تطبيق خاص. قد لا يبدو الأمر ملائمًا للغاية ، لكن هذا الأسلوب سيحميك من 99٪ من الهجمات الشائعة. بعد كل شيء ، إذا قام المحتالون بسرقة كلمة المرور ، فلن يتمكنوا من الدخول بدون رمز التحقق.

استخدم تسهيلات تسجيل الدخول بدون كلمة مرور. في هذه الخدمات ، حيثما أمكن ، يجب عليك التخلي تمامًا عن استخدام كلمات المرور ، واستبدالها بمفاتيح أمان الأجهزة أو المصادقة من خلال تطبيق على الهاتف الذكي.

استخدم برامج مكافحة الفيروسات. سيساعد برنامج مكافحة الفيروسات المحدث جزئيًا على حماية جهاز الكمبيوتر الخاص بك من البرامج الضارة التي تعيد التوجيه إلى مواقع التصيد الاحتيالي أو تسرق معلومات تسجيل الدخول وكلمات المرور. لكن تذكر أن حمايتك الرئيسية لا تزال متمسكة بقواعد الصحة الرقمية والالتزام بتوصيات الأمن السيبراني.

إذا كنت تدير شركة

ستكون النصائح التالية مفيدة أيضًا لأصحاب الأعمال والمديرين التنفيذيين في الشركة.

تدريب الموظفين. اشرح للمرؤوسين ما هي الرسائل التي يجب تجنبها وما هي المعلومات التي لا يجب إرسالها عبر البريد الإلكتروني وقنوات الاتصال الأخرى. منع الموظفين من استخدام بريد الشركة للأغراض الشخصية. قم بإرشادهم حول كيفية التعامل مع كلمات المرور. يجدر أيضًا التفكير في سياسة الاحتفاظ بالرسائل: على سبيل المثال ، لأغراض أمنية ، يمكنك حذف الرسائل الأقدم من فترة معينة.

قم بإجراء التدريب على هجمات التصيد. إذا كنت ترغب في اختبار رد فعل موظفيك تجاه التصيد الاحتيالي ، فحاول تزوير هجوم. على سبيل المثال ، قم بتسجيل عنوان بريدي مشابه لعنوانك ، وأرسل رسائل منه إلى المرؤوسين تطلب منهم تزويدك ببيانات سرية.

اختر خدمة بريدية موثوقة. مزودو البريد الإلكتروني المجاني معرضون بشدة لاتصالات الأعمال. يجب على الشركات اختيار خدمات الشركات الآمنة فقط. على سبيل المثال ، يتمتع مستخدمو خدمة بريد Microsoft Exchange ، وهي جزء من مجموعة Microsoft 365 ، بحماية شاملة ضد التصيد الاحتيالي والتهديدات الأخرى. لمواجهة المحتالين ، تحلل Microsoft مئات المليارات من رسائل البريد الإلكتروني كل شهر.

استعن بخبير في الأمن السيبراني. إذا كانت ميزانيتك تسمح بذلك ، فابحث عن محترف مؤهل يوفر الحماية المستمرة ضد التصيد الاحتيالي والتهديدات الإلكترونية الأخرى.

ماذا تفعل إذا كنت ضحية للتصيد

إذا كان هناك سبب للاعتقاد بأن بياناتك قد وقعت في الأيدي الخطأ ، فتصرف على الفور. افحص أجهزتك بحثًا عن فيروسات وقم بتغيير كلمات مرور الحساب. أبلغ موظفي البنك أن تفاصيل الدفع الخاصة بك قد تكون مسروقة. إذا لزم الأمر ، أبلغ العملاء بالتسرب المحتمل.

لمنع تكرار مثل هذه المواقف ، اختر خدمات تعاون موثوقة وحديثة. المنتجات ذات آليات الحماية المدمجة هي الأنسب: ستعمل بشكل ملائم قدر الإمكان ولن تضطر إلى المخاطرة بالأمن الرقمي.

على سبيل المثال ، يتضمن Microsoft 365 مجموعة من ميزات الأمان الذكية ، بما في ذلك حماية الحسابات وتسجيلات الدخول من الاختراق باستخدام نموذج تقييم مخاطر مضمن أو مصادقة بدون كلمة مرور أو متعددة العوامل لا تتطلب تراخيص إضافية.

بالإضافة إلى ذلك ، توفر الخدمة تحكمًا ديناميكيًا في الوصول مع تقييم المخاطر مع مراعاة مجموعة واسعة من الظروف. يحتوي Microsoft 365 أيضًا على أتمتة مضمنة وتحليلات البيانات ، ويسمح لك أيضًا بالتحكم في الأجهزة وحماية المعلومات من التسرب.