Investor's wiki
ar العربية
Navigation
Home Glossary
InvestingStocksBondsCryptoPersonal FinanceFundamental AnalysisTechnical AnalysisTradingBankingTaxes
Disclaimer Terms of Use Privacy Policy Cookie Policy
Navigation
Home Glossary
InvestingStocksBondsCryptoPersonal FinanceFundamental AnalysisTechnical AnalysisTradingBankingTaxes
Disclaimer Terms of Use Privacy Policy Cookie Policy

التصيد

التصيد
Personal FinanceCryptoFinancial FraudCybersecurityConfidential Information

ما هو التصيد؟

التصيد هو نوع من الهجمات الإلكترونية التي تمنح المتسللين الوصول إلى البيانات الآمنة للضحية. في حين أن القرصنة التقليدية تنطوي على أسلوب القوة الغاشمة لتجربة العديد من مجموعات كلمات المرور المختلفة ، فإن التصيد الاحتيالي يستخدم الهندسة الاجتماعية لخداع المستخدمين للتخلي عن معلومات تسجيل الدخول الخاصة بهم. إنه أسلوب متجانس في "الصيد" ، حيث يستهدف المتسللون العديد من المستخدمين على أمل "لدغة" ، ويكلف التصيد الاحتيالي المستخدمين مليارات الدولارات في جميع أنحاء العالم ، وقد استخدمه وكلاء حكومات الولايات في الحروب الاقتصادية والسياسية.

تعريف أعمق

يعمل التصيد الاحتيالي من خلال تهدئة الضحايا إلى شعور زائف بالأمان. في كثير من الأحيان ، ليس لدى المستخدم المستهدف أي فكرة عن أي شيء غير صحيح: يبدو أن الهجوم جاء من مصدر موثوق ، مثل زميل أو صديق ، أو من شركة مثل بنك المستخدم أو مزود البريد الإلكتروني. على الرغم من أن البريد الإلكتروني كان الوسيلة الأساسية للهجوم ، فقد استخدم بعض المتسللين الاتصالات الهاتفية والرسائل النصية لاستهداف الأشخاص.

في هجوم التصيد الاحتيالي ، ينشئ المتسلل موقعًا إلكترونيًا أو بريدًا إلكترونيًا يشبه تمامًا تلك التي يشاهدها المستخدمون بشكل شائع كل يوم. في بعض الحالات ، يحتوي البريد الإلكتروني على رابط يبدو غير ضار يقوم بتثبيت برامج ضارة على كمبيوتر المستخدم يمكنها تسجيل ضغطات المفاتيح أو توفير "نفق" في بيانات الضحية. غالبًا ما يوجه الآخرون المستخدمين إلى صفحة تسجيل دخول لا يمكن تمييزها عن النوع الذي يعتبره الأشخاص أمراً مفروغًا منه عند استخدام بريدهم الإلكتروني أو حساباتهم على وسائل التواصل الاجتماعي أو البنوك عبر الإنترنت. ومع ذلك ، فإن البيانات التي يتم إدخالها في هذه الصفحات تذهب مباشرة إلى المخترق ، مما يسمح له بتسجيل الدخول وسرقة المعلومات.

هذه المواقع المخادعة تعيش على عناوين URL مزيفة تشبه المواقع الحقيقية التي اعتاد الضحايا عليها. محاكاة ساخرة لعنوان URL الحقيقي لـ Gmail ، ** https: //mail.google.com/** ، يمكن أن تبدو مثل ** http: //mail.googlecom.com**. لاحظ التعديلات الطفيفة على الاسم. قد يختفي هذا الارتباط خلف النص ، مثل "انقر هنا" ، لتبدو شرعية. يستخدم المخادعون أيضًا عناوين بريد إلكتروني تبدو حقيقية ، ولكن بمجرد وصولهم إلى حساب الضحية ، يمكنهم إرسال بريد إلكتروني إلى أشخاص آخرين في قائمة جهات الاتصال الخاصة بها من عنوان البريد الإلكتروني الفعلي للضحية.

تحتوي جميع أنظمة البريد الإلكتروني تقريبًا على شكل من أشكال الحماية من التصيد الاحتيالي الذي يكتشف عناوين البريد الإلكتروني الاحتيالية أو الروابط الموجودة في النص الأساسي للبريد الإلكتروني وينقل تلك الرسالة إلى مجلد البريد العشوائي. ومع ذلك ، لا توجد حماية آلية مثالية ، ولا يتطلب الأمر سوى هجوم واحد ناجح لإلحاق أضرار جسيمة بالمؤسسة.

مثال التصيد

استهدفت الحملة الرئاسية لهيلاري كلينتون عام 2016 ، وأبرز هجوم تصيد احتيالي. تلقى رئيس حملتها ، جون بوديستا ، الذي شغل منصب نائب رئيس موظفي الرئيس بيل كلينتون ، رسالة بريد إلكتروني على ما يبدو من Google تشير إلى أن حساب Gmail الخاص به قد تعرض للاختراق من قبل المتسللين وأنه بحاجة إلى تغيير كلمة المرور الخاصة به. لم يكن ذلك صحيحا. أرسل المتسللون البريد الإلكتروني بأنفسهم. ومع ذلك ، فقد أدخل معلومات تسجيل الدخول القديمة الخاصة به ، والتي تم إرسالها إلى المتسللين ، الذين أطلقوا بعد ذلك 20000 من رسائل البريد الإلكتروني الشخصية لبوديستا إلى ويكيليكس ، وكانت التداعيات التي تلت ذلك عاملاً رئيسياً في خسارة كلينتون في الانتخابات العامة. كانت محاولة التصيد الاحتيالي جيدة لدرجة أنها خدعت مدير تكنولوجيا المعلومات للحملة ، الذي أخبر Podesta أنه "بريد إلكتروني شرعي".

يسلط الضوء

  • قد تستخدم محاولة التصيد الاحتيالي موقعًا رسميًا أو بريدًا إلكترونيًا أو أشكال اتصال أخرى لخداع المستخدمين لتسليم تفاصيل مثل أرقام بطاقات الائتمان أو أرقام الضمان الاجتماعي أو كلمات المرور.

  • يمكن أن تظهر مواقع التصيد الاحتيالي متطابقة مع مواقع الويب الرسمية ، مما يدفع المستخدمين إلى إدخال بيانات اعتمادهم الحقيقية على موقع الويب الضار.

  • التصيد الاحتيالي هو نوع من سرقة البيانات التي تنطوي على تطوع أشخاص عن غير قصد بمعلوماتهم الشخصية إلى جهة فاعلة سيئة.