Phishing (التصيّد)

bank-hack-followup-head-to-come-showcase_image-6-a-7246.jpg


التعريف
هي محاولة الهاكر الوصول لمعلومات شخصية او مالية عن طريق رسالة الكترونية أو مواقع التواصل الاجتماعي وتبدو كخدمة مقدمة من شركة موثوقة أو شركة مالية أو حكومية

سيناريو الاختراق
يستقبل الضحية رسالة زائفة تطالبه بـ ( تحديث بياناته أو انه حصل على جائزة أو تطالبه بفتح ملف مرفق ) بأي حيلة كانت، و عند وقوعه في المصيدة يتم ارسال كافة المعلومات للهاكر

كيفية معرفة أن الرسالة وهمية ؟
1. يجب التأكد من عنوان البريد الالكتروني المرسل ، مثلا قد تصلك رسالة مزيفه من تويتر تطالبك بتحديث بياناتك وعند قراءة البريد المرسل تجده no-replay@ttwiter.com حيث ان اغلب الهاكر يستخدمون دومين مشابه لمحتوى الرسالة.

2. ستجد أن الكلمات بها اخطاء املائية او الجمل المكتوبة بها طابع غير رسمي.

phishing_email_example.jpg


3. اذا كان هناك رابط بالايميل ، عند التأشير عليه فقط ستجد الرابط الموجه اليه مختلف عن المكتوب بالرسالة.

ZA001141187.gif

4. تصلك رسالة تنبهك بوجود فايروسات بجهازك ولابد من تحميل برنامج حماية ورابط لبرنامج معين لتثبيته.

5. في مواقع التواصل الاجتماعي قد تأتيك رسالة من صديق لك به خدمة لا يوفرها الموقع مثلا: معرفة من قام بزيارة صفحتك و بها رابط احذر منها.

انواع Phishing ؟
1. صفحات انترنت تشبه الموقع الذي تريد دخوله فعند كتابه اسم المستخدم وكلمة المرور يقوم بارسالها للهاكر.

2. تثبيت برنامج عن طريق الخطأ أو الاحتيال بجهازك يسجل أي كتابة تقوم بها على الكيبورد (Keylogger) حيث يقوم البرنامج بارسال أي شئ تقوم بكتابته للهاكر.

3. الباب الخلفي (Backdoor) تثبيت برنامج عن طريق الخطأ أو الاحتيال بجهازك يفتح منفذ بجهازك يمكن الهاكر من الدخول لجهازك و يسيطر عليه بالكامل بدون علمك ابدا.


الوقاية !

1. استخدام برنامج حماية من الفيروسات وجدار ناري (FireWall) مع تحديثه باستمرار.

2. التأكد من تحديث نظام التشغيل و المتصفح باستمرار.

3. التأكد من الرابط دائما عند الدخول لأي موقع يتطلب اسم مستخدم و كلمة مرور حيث تجد الرابط يبدأ بـ (https) وتعني التصفح الآمن.

4. عدم فتح أي رابط تشك بعدم صحته سواء كان برسالة او بأي موقع من شخص مجهول.

5. تثبيت اضافة بمتصفح قوقل كروم (Password-Alert) حيث تقوم بتنبيهك إذا كان الموقع يقوم بتتبع باسوردك وارساله لشخص مجهول.


Password-Alert-590x332.png




كيف تقوم بتوعية موظفينك بأخطار الاختراق ؟

1. يجب أن توفر كتيب للاستخدام الآمن وسياسات الشركة لجميع المخاطر الالكترونية حيث يقوم بعمل هذا الكتيب اختصاصي في مجال أمن المعلومات.

2. عقد ورشة عمل لجميع الموظفين دورية كل سنة يتم فيها شرح جميع المخاطر الالكترونية بشكل عام.

3. ارسال فيديو قصير توعوي كل شهر لجميع الموظفين يشرح موضوع واحد فقط لكيفية الحماية من الاختراق.

4. تقوم بعمل اختبار دوري للموظفين اصحاب المراكز الحساسة بالشركة بارسال رسائل Phishing لهم و ترى كيف يتعاملوا معها.

5. تقوم بعمل اختبار لجميع الموظفين بارسال رسالة Phishing حيث تكون مرة سنويا لترى مدى وعيهم.

هذا والله أعلم .،

إعداد : م. محمد الحداد